¿Por qué falla DMARC? Solucionar el fallo de DMARC en 2024

Blog, DMARC

¿Está fallando DMARC y causando problemas de entrega de correo electrónico? Nuestra guía explica las causas más comunes y ofrece una sencilla solución en 5 pasos.

por Maitham Al Lawati

Tiempo de lectura: 10 min
¿Por qué falla DMARC? Solucionar el fallo de DMARC en 2024
Índice-

El error DMARC se produce cuando un correo electrónico enviado desde su dominio no supera las comprobaciones de autenticación de correo electrónico establecidas por DMARC. Cuando un correo electrónico no supera la autenticación DMARC, puede bloquearse, lo que reduce la capacidad de entrega y daña la reputación del remitente.

Los fallos de DMARC plantean retos importantes para las empresas que dependen del correo electrónico para la comunicación empresarial. Resolver estos problemas es crucial para mantener una comunicación fluida, proteger su dominio y garantizar que sus correos electrónicos lleguen siempre a sus destinatarios.

Puntos clave

  1. Los fallos de DMARC pueden provocar problemas importantes en la entrega del correo electrónico y la seguridad del dominio.
  2. Entre las causas habituales de los fallos de DMARC se incluyen problemas de alineación con DKIM o SPF, firmas mal configuradas y fuentes de envío no autorizadas.
  3. Para resolver los fallos de DMARC, empiece por implantar una política DMARC relajada y garantizar la alineación de SPF y DKIM.
  4. La supervisión continua mediante informes DMARC es esencial para identificar y rectificar los problemas de autenticación.
  5. La utilización de herramientas como PowerDMARC puede ayudar a automatizar la detección de amenazas y mejorar la seguridad general del correo electrónico.

¿Por qué falla DMARC? 5 causas comunes

Las razones más comunes para que DMARC falle pueden incluir fallos de alineación, desalineación de la fuente de envío, problemas con su firma DKIM, correos electrónicos reenviados, etc. Exploremos estas razones una por una: 

1. Fallos de alineación DMARC

Fallos de alineación de DMARC

DMARC utiliza la alineación de dominios para autenticar sus correos electrónicos. Esto significa que DMARC verifica si el dominio mencionado en la dirección del remitente (en la cabecera visible) es auténtico comparándolo con el dominio mencionado en la cabecera oculta Return-path (para SPF) y la cabecera de firma DKIM (para DKIM). Si alguno de los dos coincide, el correo electrónico pasa el DMARC, de lo contrario se produce un fallo de verificación DMARC. 

Por lo tanto, si sus correos electrónicos están fallando DMARC puede ser un caso de desalineación de dominio. Es decir, ni los identificadores SPF ni DKIM están alineados y el correo electrónico parece enviado desde una fuente no autorizada. Sin embargo, ésta es sólo una de las razones por las que falla el DMARC.

¡Simplifique la seguridad con PowerDMARC!

Prueba de 15 díasAgendar demo

Modo de alineación DMARC

Su modo de alineación de protocolo también puede provocar el fallo de DMARC. Puede elegir entre los siguientes modos de alineación para la autenticación SPF:

  • Relajado: Esto significa que si el dominio en el encabezado Return-path y el dominio en el encabezado From son simplemente una coincidencia organizativa, incluso entonces SPF pasará.
  • Estricto: Esto significa que sólo si el dominio en el encabezado Return-path y el dominio en el encabezado From coinciden exactamente, sólo entonces SPF pasará.

Alineación SPF

Puede elegir entre los siguientes modos de alineación para la autenticación DKIM:

  • Relajado: Esto significa que si el dominio en la firma DKIM y el dominio en el encabezado De son simplemente una coincidencia organizativa, incluso entonces DKIM pasará.
  • Estricto: Esto significa que sólo si el dominio en la firma DKIM y el dominio en la cabecera From coinciden exactamente, sólo entonces DKIM pasa.

Alineación DKIM

Tenga en cuenta que para que los correos electrónicos pasen la autenticación DMARC, es necesario que el SPF o el DKIM estén alineados.

2. La firma DKIM no está configurada

Un caso muy común en el que su DMARC puede estar fallando es que no haya especificado una firma DKIM para su dominio. En estos casos, tu proveedor de servicios de intercambio de correo electrónico asigna por defecto una firma firma DKIM predeterminada a los mensajes salientes que no coinciden con el dominio de la cabecera "De". En estos casos, el MTA receptor no puede alinear los dos dominios y detecta una discrepancia. Esto provoca un fallo de DKIM y DMARC para su mensaje.

3. Fuentes de envío no añadidas a sus DNS

Es importante tener en cuenta que cuando configura DMARC para su dominio con SPF, los MTA receptores realizan consultas DNS para autorizar sus fuentes de envío. Esto significa que a menos que tenga todas sus fuentes de envío autorizadas en el DNS de su dominio, sus correos electrónicos fallarán SPF y posteriormente DMARC para aquellas fuentes que no estén en la lista, ya que el receptor no sería capaz de encontrarlas en su DNS.

Por lo tanto, para asegurarse de que sus correos electrónicos legítimos siempre se entregan, asegúrese de hacer entradas en todos sus proveedores de correo electrónico de terceros autorizados que están autorizados a enviar correos electrónicos en nombre de su dominio, en su registro DNS SPF.

4. Correo electrónico reenviado a través de servidores intermediarios

En un escenario típico de reenvío de correo electrónico, hay servidores adicionales que intervienen entre dos servidores principales que se comunican. Se denominan servidores intermediarios. Su correo electrónico puede pasar a través de uno o más de estos servidores intermediarios antes de ser entregado finalmente al servidor principal de destino o al servidor del destinatario. La comprobación SPF falla porque la dirección IP del servidor intermediario no coincide con la del servidor remitente, y esta nueva dirección IP no suele incluirse en el registro SPF del servidor original.

Afortunadamente, el reenvío de correo electrónico no suele afectar a los resultados de la autenticación DKIM. En algunos casos excepcionales, el servidor intermediario puede realizar algunos cambios en el contenido, como añadir o alterar los pies de página de los mensajes, lo que puede provocar un error. Sin embargo, estas situaciones no son muy comunes. 

Para resolver este problema, debe optar inmediatamente por el cumplimiento total de DMARC en su organización, alineando y autenticando todos los mensajes salientes con SPF y DKIM. DMARC pasará para el mensaje si SPF o DKIM pasa para el correo electrónico. 

Lectura relacionada: Reenvío de correo electrónico y DMARC

5. Su dominio está siendo suplantado

Su dominio está siendo suplantado

Si todo va bien en el lado de la implementación, sus correos electrónicos pueden estar fallando DMARC como resultado de un ataque de suplantación de identidad. Esto ocurre cuando suplantadores y actores de amenazas intentan enviar correos electrónicos que parecen proceder de su dominio utilizando una dirección IP maliciosa.

Recientes estadísticas de fraude por correo electrónico han concluido que los casos de suplantación de identidad por correo electrónico van en aumento, lo que supone una gran amenaza para la reputación de su organización. En estos casos, si tiene DMARC implementado en una política de rechazo, fallará y el correo electrónico suplantado no se entregará en la bandeja de entrada del destinatario. Por lo tanto, la suplantación de dominio puede ser la respuesta a por qué DMARC falla en la mayoría de los casos.

 

¡Solucione los fallos DMARC como un profesional con PowerDMARC!

Prueba de 15 díasAgendar demo

Cómo solucionar un fallo DMARC en 5 pasos ?

Para solucionar el fallo de DMARC, le recomendamos que se registre en nuestro Analizador DMARC y comience su viaje de informes y supervisión de DMARC.

Paso 1: Empezar con una política DMARC relajada (p=none)

Con una política de ninguno, puede empezar por supervisar su dominio con Informes agregados DMARC (RUA) y vigilar de cerca sus correos entrantes y salientes, esto le ayudará a responder a cualquier problema de entrega no deseado. Esto permitirá que sus mensajes lleguen a sus destinatarios incluso si DMARC falla para ellos. Sin embargo, esto le deja vulnerable a ataques de phishing y spoofing.

Política más suave

Paso 2: Garantizar la correcta alineación de SPF y DKIM

Compruebe si hay errores en su registro DNS y combine sus implementaciones DMARC con DKIM y SPF para obtener la máxima seguridad y reducir el riesgo de falsos negativos. 

Puede utilizar un comprobador DMARC gratuito para encontrar errores en la sintaxis DMARC o en la formación de registros DNS. Estos pueden incluir espacios de más, faltas de ortografía, etc.

Compruebe su registro DMARC

Utilice la alineación SPF y DKIM 

El uso conjunto de DKIM y SPF proporciona un enfoque estratificado de la autenticación del correo electrónico. DKIM verifica la integridad del mensaje, garantizando que no ha sido manipulado, mientras que SPF verifica la identidad del servidor remitente. Juntos, ayudan a establecer la confianza en la fuente del correo electrónico, reduciendo el riesgo de suplantación de identidad, phishing y actividad de correo electrónico no autorizada.

Paso 3: Refuerce su defensa con la aplicación de la ley

Después de eso, le ayudamos a cambiar a una política aplicada que, en última instancia, le ayudará a ganar inmunidad contra la suplantación de dominios y los ataques de phishing.

Paso 4: Proteger con detección de amenazas basada en IA

Retire las direcciones IP maliciosas y notifíquelas directamente desde la plataforma PowerDMARC para evitar futuros ataques de suplantación de identidad, con la ayuda de nuestro motor de Inteligencia de Amenazas.

Paso 5: Optimizar continuamente con informes forenses

Habilite los informes forenses DMARC (RUF) obteniendo información detallada sobre los casos en los que sus correos electrónicos han fallado DMARC para que pueda llegar a la raíz del problema y solucionarlo más rápidamente.

¿Por qué falla DMARC para los proveedores de buzones de terceros?

Si utiliza proveedores de correo externos para enviar correos electrónicos en su nombre, debe activar DMARC, SPF y/o DKIM para ellos. Puede hacerlo poniéndose en contacto con ellos y pidiéndoles que se encarguen de la implementación por usted, o puede tomar el asunto en sus manos y activar manualmente los protocolos. Para ello, debe tener acceso al portal de su cuenta alojada en cada una de estas plataformas (como administrador).

Si no activa estos protocolos para su proveedor de buzones externos, DMARC puede fallar.

En caso de fallo DMARC para sus mensajes de Gmail, pase el ratón por el registro SPF de su dominio y compruebe si ha incluido _spf.google.com en él. Si no es así, puede ser una de las razones por las que los servidores receptores no identifican Gmail como tu fuente de envío autorizada. Lo mismo se aplica a tus correos electrónicos enviados desde MailChimp, SendGrid y otros.

Cuando un correo electrónico no supera las comprobaciones DMARC, los principales proveedores de correo electrónico devuelven mensajes de rechazo específicos que indican este fallo. Estos rechazos suelen indicar un problema con la autenticación del correo electrónico y aclaran que se ha infringido la política DMARC del remitente. Así es como se manifiesta en las distintas plataformas de correo electrónico:

  1. Gmail: Una comprobación DMARC fallida de un correo electrónico enviado a una bandeja de entrada de Gmail puede dar lugar a un mensaje de rechazo que indique "550-5.7.26 Este correo se ha bloqueado porque el remitente no está autenticado". El mensaje puede incluir una referencia para visitar la página de asistencia de Google para obtener más información sobre problemas de DMARC.
  2. Perspectivas: Si un correo electrónico no supera la verificación DMARC en Outlook, es posible que aparezca una respuesta que indica el rechazo de la entrega porque el dominio remitente no supera la verificación DMARC, con una política establecida en rechazar. Es posible que se incluya un identificador único en estas respuestas para ayudar en la solución de problemas.
  3. Yahoo: En caso de incumplimiento de DMARC, el mensaje de Yahoo puede indicar que el correo electrónico no ha sido aceptado por razones de política. Suele proporcionar un enlace a recursos adicionales o códigos de error para obtener más detalles.

Estos mensajes, aunque varían en su redacción, destacan universalmente un desajuste entre la configuración de correo electrónico del dominio y su política DMARC. Es necesario ajustar la configuración del servicio de correo electrónico para resolver estos problemas.

¿Cómo detectar si los mensajes están fallando DMARC?

Los fallos DMARC de los mensajes pueden detectarse fácilmente si tiene activados los informes para sus informes DMARC. Como alternativa, puedes realizar un análisis del encabezado del correo electrónico o utilizar el correo electrónico de Gmail; búsqueda de registro. Veamos cómo:

1. Habilite los informes DMARC para sus dominios

Para detectar fallos DMARC, utilice esta práctica función que ofrece su protocolo DMARC. Puede recibir informes con sus datos DMARC de los ESP simplemente definiendo una etiqueta "rua" en su registro DNS DMARC. Su sintaxis podría ser la siguiente 

v=DMARC1; ptc=100; p=reject; rua=mailto:[email protected]

La etiqueta rua debe contener la dirección de correo electrónico en la que desea recibir sus informes. 

En PowerDMARC proporcionamos informes simplificados y legibles por humanos que le ayudan a detectar fácilmente los fallos de DMARC y a solucionarlos más rápidamente:

2. Analizar manualmente las cabeceras de correo electrónico o utilizar herramientas de análisis

El fallo de DMARC también puede detectarse analizando las cabeceras de su correo electrónico.

a. Método manual

Puede analizar las cabeceras manualmente como se muestra a continuación

Si utilizas Gmail para enviar correos electrónicos, puedes hacer clic en un mensaje, pulsar en "más" (los 3 puntos de la esquina superior derecha) y, a continuación, en "mostrar original": 

Ya puede inspeccionar los resultados de su autenticación DMARC:

b. Herramientas de análisis automatizado

El analizador de encabezados de correo electrónico es una herramienta excelente para la detección instantánea de errores de DMARC y para mitigar el problema de los fallos de DMARC.

Con nosotros, obtendrá un análisis completo del estado de DMARC para sus correos electrónicos, alineaciones y otros cumplimientos, como se muestra a continuación:

Puedes encontrar información adicional sobre un mensaje concreto que falle DMARC utilizando la búsqueda de registro de correo electrónico de Google. Esto revelará los detalles del mensaje, los detalles posteriores a la entrega del mensaje y los detalles del destinatario. Los resultados se presentan en forma de tabla, como se muestra a continuación:

No-Configurar-Su-Firma-DKIM

Fuente de la imagen

Solucionar fallos DMARC con PowerDMARC

Fix-DMARC-Fail-with-PowerDMARC

PowerDMARC mitiga los fallos de DMARC ofreciendo una amplia gama de características y funcionalidades. En primer lugar, ayuda a las organizaciones en la correcta implantación de DMARC proporcionando orientación paso a paso y herramientas de automatización. Esto garantiza que los registros DMARC y la autenticación SPF y DKIM estén correctamente configurados, lo que aumenta las posibilidades de éxito de la implantación de DMARC.

Una vez implantado DMARC, PowerDMARC supervisa continuamente el tráfico de correo electrónico y genera informes y alertas en tiempo real sobre los fallos de DMARC. Esta visibilidad permite a las organizaciones identificar rápidamente problemas de autenticación, como fallos de SPF o DKIM, y tomar medidas correctivas.

Además de la supervisión, PowerDMARC integra funciones de inteligencia sobre amenazas de IA. Aprovecha las fuentes de amenazas globales para identificar y analizar las fuentes de ataques de phishing e intentos de suplantación de identidad. Al proporcionar información sobre la actividad sospechosa del correo electrónico, las organizaciones pueden identificar proactivamente las amenazas potenciales y tomar las medidas necesarias para mitigar los riesgos.

Contacte con nosotros ¡para empezar!

Conclusión: Fomentar la seguridad del correo electrónico de la forma correcta

Adoptando un enfoque multicapa de la seguridad del correo electrónico, las organizaciones y los particulares pueden mejorar significativamente sus defensas contra las ciberamenazas en evolución. Esto incluye implementar mecanismos de autenticación robustos, emplear tecnologías de cifrado, educar a los usuarios sobre los ataques de phishing y actualizar periódicamente los protocolos de seguridad. 

Además, la integración de herramientas de IA para mejorar las prácticas de seguridad de su correo electrónico es la mejor manera de estar al tanto de los sofisticados ataques organizados por los ciberdelincuentes.

Para evitar fallos DMARC y resolver errores DMARC fácilmente, regístrese para ponerse en contacto hoy mismo con el equipo de expertos en DMARC de PowerDMARC.

Revisión de contenidos y verificación de hechos

Este artículo ha sido redactado por un experto en ciberseguridad. Los métodos y prácticas transmitidos en este artículo son estrategias de la vida real que hemos desplegado para nuestros clientes y que les han ayudado a superar el fallo de DMARC. Si estos métodos no le funcionan, póngase en contacto con nosotros para recibir asesoramiento gratuito de un experto en DMARC.

Últimos comentarios de Maitham Al Lawati (ver todos)
Caso práctico de MSP: Infinite IT eleva las capacidades de Email Defense del cliente...abrevadero-ataqueAtaques en charcas: Definición, peligros y prevención