previous icon Volver al blog
Jan 24, 2024
9 minutos leer

¿Qué es DMARC y cómo implementarlo?

En nuestra era digital, las amenazas por correo electrónico son una preocupación importante, con el phishing y la suplantación de identidad volviéndose cada vez más sofisticados. DMARC es el poderoso escudo que las empresas y las personas necesitan. Este protocolo de autenticación garantiza la integridad del correo electrónico, protegiéndose contra la suplantación de dominio y los ciberataques. En este artículo, desmitificamos DMARC, explicando su importancia para reforzar la seguridad del correo electrónico.

El 3 de octubre de 2023, Google y Yahoo hicieron un anuncio sobre nuevos requisitos obligatorios para la entrega de correo electrónico que entrarán en vigencia en febrero de 2024. Para los remitentes que envían más de 5,000 correos electrónicos diarios a direcciones de Gmail, Google exigirá cumplir con un conjunto de medidas de autenticación para garantizar la entrega segura de correo electrónico a las bandejas de entrada de Gmail. Aunque Yahoo no ha especificado un umbral mínimo de envío, se alineará con los criterios de Google.

Los requisitos prescritos incluyen:

  • Implementación tanto de SPF como de DKIM.

  • Envío de correos electrónicos con un dominio 'De' que se alinee con los dominios SPF o DKIM.

  • Envío desde un dominio con una política DMARC de al menos p=ninguna.

  • DNS adelante y inversa válidos (FCrDNS).

  • Incorporar un mecanismo de baja para darse de baja con un solo clic (RFC 8058).

  • Mantener una baja tasa de informes de spam.

Para obtener una lista detallada de requisitos, puedes consultar el artículo de ayuda de Google. Aunque CM.com supervisará la mayoría de los requisitos obligatorios, necesitamos tu ayuda para agregar DMARC.

¿Qué es DMARC?

DMARC (Autenticación de Mensajes basada en Dominio, Informes y Conformidad) es un protocolo de autenticación de correo electrónico diseñado para dar a los propietarios de dominios de correo electrónico la capacidad de proteger su dominio contra el uso no autorizado, conocido como suplantación de correo electrónico. DMARC permite que el propietario del dominio publique una política en los registros DNS que especifica qué mecanismos (por ejemplo, SPF, DKIM) se utilizan para autenticar los mensajes de correo electrónico enviados desde su dominio, y también proporciona un mecanismo para recibir informes de mensajes que pasan o fallan la evaluación de DMARC.

¿Cómo Implementar DMARC?

Implementar DMARC implica varios pasos:

Realizar una auditoría de la infraestructura de correo electrónico de tu dominio

Antes de poder implementar DMARC, necesitas comprender cómo se envía el correo electrónico desde tu dominio. Esto incluye identificar todos los servidores y aplicaciones que envían correo electrónico en nombre de tu dominio, así como cualquier servicio de terceros que se utilice para enviar correo electrónico.

Configurar SPF y DKIM

DMARC se basa en mecanismos de autenticación de correo electrónico existentes, como SPF (Marco de Política del Remitente) y DKIM (Correo Identificado por Claves de Dominio). Estos protocolos te permiten especificar qué servidores están autorizados para enviar correo electrónico en nombre de tu dominio y firmar criptográficamente los mensajes de correo electrónico para demostrar que se enviaron desde tu dominio.

Publicar una política DMARC

Una vez que hayas configurado SPF y DKIM, puedes crear una política DMARC que especifique cómo los receptores de correo electrónico deben manejar los mensajes que no superan la evaluación de DMARC. La política se publica en los registros DNS de tu dominio.

Monitorizar los informes DMARC

Una vez que hayas publicado una política DMARC, los receptores de correo electrónico comenzarán a enviarte informes sobre cómo se está manejando el correo electrónico de tu dominio. Estos informes proporcionarán información sobre qué mensajes pasan o fallan la evaluación de DMARC, así como otros detalles sobre los mensajes.

Tomar medidas basadas en los informes DMARC

Analiza los datos en los informes DMARC para identificar problemas de suplantación de correo electrónico y tomar las medidas adecuadas.

Monitorizar y actualizar tu política DMARC.

Monitoriza la efectividad de tu política DMARC con el tiempo y realiza ajustes según sea necesario.

Mantener actualizados los registros DNS

Mantén tus registros DNS actualizados en caso de que realices cambios en tu infraestructura de correo electrónico o actualices tu política DMARC.

Es importante recordar que DMARC es un proceso continuo que requiere monitorización constante, mantenimiento y actualizaciones. Si no estás familiarizado con los detalles técnicos de la infraestructura de correo electrónico y DNS, se recomienda contratar un proveedor de seguridad de correo electrónico o un registrador de dominios que ofrezca servicios de implementación de DMARC. Pueden ayudarte a implementar y mantener una política DMARC para tu dominio.

Al implementar DMARC, los propietarios de dominios pueden proteger su dominio contra el uso no autorizado y evitar que su dominio se utilice para enviar correos electrónicos no deseados o de phishing. Esto ayuda a proteger la reputación del propietario del dominio y puede reducir la probabilidad de que su dominio sea incluido en listas negras de proveedores de correo electrónico. Además, DMARC puede ayudar a proteger a los destinatarios de mensajes de correo electrónico enviados desde un dominio, al permitirles identificar y rechazar más fácilmente mensajes que probablemente sean intentos de spam o phishing.

Cómo crear un registro DMARC

Para agregar un registro DMARC a tu DNS, deberás crear un registro TXT que incluya tu política DMARC. El formato del registro DMARC es el siguiente:

_dmarc.example.com. TXT "v=DMARC1; p=reject; sp=none; pct=100; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; adkim=r; aspf=r"

Este registro contiene varias reglas diferentes, cada una de las cuales se utiliza para especificar un aspecto diferente de tu política DMARC. Aquí tienes una explicación de cada una de las reglas en el registro de ejemplo:

  • v=DMARC1: Esta es la versión de DMARC que se está utilizando.

  • p=reject: Esta regla especifica la acción que deben tomar los receptores de correo electrónico cuando un mensaje no supera la evaluación de DMARC. En este ejemplo, la acción es "rechazar", lo que significa que los receptores de correo electrónico deben rechazar los mensajes que no superen la evaluación de DMARC. (Esta acción debe implementarse después de asegurarse de que todos los flujos de correo electrónico estén debidamente autenticados).

  • sp=none: Esta regla especifica la acción que deben tomar los receptores de correo electrónico cuando un mensaje no supera la evaluación de DMARC pero la política del propietario del dominio es "ninguna".

  • pct=100: Esta regla especifica el porcentaje de mensajes que deben estar sujetos a la evaluación de DMARC. En este ejemplo, el 100% de los mensajes estarán sujetos a la evaluación de DMARC.

  • rua=mailto:[email protected]: Esta regla especifica la dirección de correo electrónico a la que se deben enviar los informes agregados.

  • ruf=mailto:[email protected]: Esta regla especifica la dirección de correo electrónico a la que se deben enviar los informes forenses.

  • fo=1: Esta regla especifica que el propietario del dominio desea recibir un informe de fallo cuando un mensaje no supere la evaluación de DMARC pero pase la evaluación de SPF o DKIM.

  • adkim=r: Esta regla especifica que se debe usar una alineación estricta para la evaluación de DKIM.

  • aspf=r: Esta regla especifica que se debe usar una alineación estricta para la evaluación de SPF.

Una vez que hayas creado tu registro DMARC, deberás agregarlo a los registros DNS de tu dominio. El proceso para agregar un registro TXT a tu DNS variará según tu proveedor de DNS, por lo que deberás consultar su documentación para obtener instrucciones específicas.

Puedes verificar tu registro DMARC en EmailConsul.com o cualquier otra herramienta de verificación de DMARC para asegurarte de que esté configurado correctamente y funcionando.

¿Qué es un Informe DMARC?

El informe DMARC típicamente incluye la siguiente información:

  • El dominio para el cual se generó el informe.

  • El período de informe (es decir, las fechas de inicio y finalización de los datos en el informe).

  • El número de mensajes que pasaron o fallaron la evaluación de DMARC para el dominio.

  • Información sobre los resultados de autenticación SPF y DKIM para los mensajes.

  • Las direcciones IP y otra información identificativa de los servidores que enviaron los mensajes.

  • Detalles adicionales sobre los mensajes, como las líneas de asunto y las direcciones de los destinatarios.

Analizar los informes DMARC implica analizar los datos en los informes para comprender cómo se está autenticando el correo electrónico enviado desde un dominio y para identificar posibles problemas de suplantación de correo electrónico. Los informes DMARC generalmente se envían en formato XML, y los desarrolladores pueden utilizar bibliotecas de análisis XML para extraer los datos de los informes.

Una vez que hayas analizado el informe DMARC y extraído los datos, puedes utilizarlos para identificar problemas de suplantación de correo electrónico, como mensajes que no superan la evaluación de DMARC o mensajes que provienen de fuentes inesperadas.

También puedes utilizar los datos para monitorear la efectividad de la política DMARC de tu dominio a lo largo del tiempo y realizar ajustes según sea necesario.

Un informe DMARC generalmente contiene mucha información y puede ser bastante complejo. Aquí tienes un ejemplo de un informe DMARC completo que ilustra algunos de los elementos clave:

<feedback>
  <report_metadata>
    <org_name>example.com</org_name>
    <email>mailto:[email protected]</email>
    <extra_contact_info>https://example.com/dmarc</extra_contact_info>
    <report_id>1234567890</report_id>
    <date_range>
      <begin>2022-01-01</begin>
      <end>2022-01-31</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>example.com</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>reject</p>
    <sp>none</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>192.0.2.1</source_ip>
      <count>100</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>example.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>example.com</domain>
        <result>pass</result>
        <selector>selector1</selector>
      </dkim>
      <spf>
        <domain>example.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
    <extensions>
      <reason>
        <type>forwarded</type>
        <comment>This message was forwarded from another address.</comment>
      </reason>
      <reason>
        <type>autoreply</type>
        <comment>This message is an automatic reply.</comment>
      </reason>
    </extensions>
  </record>
  <record>
    <row>
      <source_ip>192.0.2.2</source_ip>
      <count>50</count>
      <policy_evaluated>
        <disposition>reject</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>example.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>example.com</domain>
        <result>fail</result>
        <selector>selector1</selector>
      </dkim>
      <spf>
        <domain>example.com</domain>
        <result>fail</result>
      </spf>
    </auth_results>
    <extensions>

Aquí tienes una explicación de los elementos clave en el informe de ejemplo:

  • <report_metadata>: Esta sección proporciona información sobre la organización que está publicando el informe, como el nombre de la organización, la información de contacto, el ID único del informe y el período de fechas que cubre el informe.

  • <policy_published>: Esta sección incluye la política DMARC que fue publicada por el propietario del dominio para el dominio en cuestión. El valor "p" de "reject" significa que el propietario del dominio ha instruido a los receptores de correo electrónico a rechazar cualquier mensaje que no supere la evaluación de DMARC, el valor "pct" de "100" significa que el 100% de los mensajes estarán sujetos a la evaluación de DMARC.

  • <record>: Esta sección incluye información sobre los mensajes que se enviaron durante el período de informe, como la dirección IP del servidor que envió el mensaje y el número de mensajes enviados desde esa IP. La sección <policy_evaluated> también incluye los resultados de las evaluaciones SPF y DKIM para el mensaje, y la sección <auth_results> incluye los detalles de los resultados de autenticación.

  • <identifiers>: Esta sección incluye el campo "from" del encabezado del mensaje, que es el dominio que se reclama como el remitente.

  • <extensions>: Esta sección incluye información adicional sobre el mensaje, como el motivo del mensaje, si es una respuesta automática o un mensaje reenviado, por ejemplo.

  • <reason>: Esta sección incluye el tipo de motivo del mensaje y un comentario.

Como se muestra, la implementación de DMARC es un proceso complejo que requiere una comprensión sólida de la infraestructura de correo electrónico y DNS, pero es fundamental para garantizar la seguridad de tu empresa y dominio al proteger contra el uso no autorizado y la suplantación de correo electrónico.

Contacta con nuestro equipo si tiene preguntas sobre DMARC

¿Te gustó este artículo? ¡Compártelo!

Artículos relacionados

mobile-identity-service-hero
Dec 12, 2024 • Authentication

Servicios de Identidad Móvil: Conoce a tus usuarios

Verificar usuarios y cuentas en línea se ha vuelto indispensable en el panorama empresarial actual. Saber quién accede a tus servicios y datos en línea no solo es una buena práctica, sino que, en muchos casos, es un requisito legal. Ya sea para proteger a tus clientes y tu negocio o para cumplir con las normativas locales, identificar a la persona al otro lado de internet es crucial.

verification-services
Dec 12, 2024 • Seguridad

Tu solución integral para servicios de verificación

Asegurar cuentas en línea, datos y usuarios es imprescindible en los negocios de hoy en día, especialmente si no quieres terminar como el próximo titular de una brecha de seguridad en los periódicos. Pero simplemente implementar un montón de medidas de seguridad no siempre es suficiente. Las aplicaciones y servicios desorganizados se vuelven vulnerables al fraude y, a menudo, resultan ser poco rentables. Por eso, ahora ofrecemos una solución integral para proteger tu negocio de forma segura: la API de Verificación.

Protect Your Customers from Fraud With RCS Sender Verification
Jul 19, 2024 • RCS

Protege a tus clientes del fraude con la verificación de remitentes de RCS

La ciberdelincuencia y los mensajes de spam van en aumento. Los delincuentes intentan hacerse pasar por empresas de confianza con la esperanza de estafar a los clientes fieles con sus datos personales, credenciales de acceso e incluso información bancaria. Esto daña la confianza entre clientes y empresas. ¿Cómo puedes saber qué mensajes son legítimos y cuáles no? RCS Business ofrece perfiles de remitente verificados, ayudando a los clientes a identificar las cuentas oficiales de las empresas para que puedan participar en la comunicación empresarial con confianza.

whatsapp-otp-security
Jul 08, 2024 • WhatsApp

Contraseñas de un solo uso de WhatsApp Business: Qué son y cómo usarlas

Lo más probable es que hayas recibido contraseñas de un solo uso (OTP) alguna vez, a menudo por SMS o correo electrónico. Pero, ¿sabía que podría haber una plataforma aún mejor para enviar OTPs? WhatsApp Business Platform le permite enviar contraseñas de un solo uso en el canal de mensajería favorito de sus clientes, lo que mejora la experiencia y la relación con ellos.

messaging-fraud-and-prevention-for-businesses
Feb 07, 2024 • Instant Messaging

Fraude y prevención en mensajería A2P para empresas

Proteger los datos de la empresa contra amenazas de seguridad debe ser la máxima prioridad para todas las empresas modernas. Especialmente ahora que el fraude en la mensajería A2P (de aplicación a persona) está en aumento. Lee todo sobre los diferentes tipos de fraude en mensajería A2P y qué medidas puedes tomar para evitar ser la próxima víctima.

blog-image-2fa-best-practices
Feb 06, 2024 • Authentication

Prácticas recomendadas para la autenticación de múltiples factores

Implementar sistemas seguros es una prioridad para la mayoría de las empresas modernas. ¡O al menos debería serlo! Pero las medidas de seguridad solo funcionan si tanto los empleados como los clientes están dispuestos a adoptarlas. ¿Cómo lograr que todos se sumen?

how-to-protect-your-customers-against-a2p-messaging-fraud
Feb 05, 2024 • Seguridad

Cómo Proteger a tus Clientes contra el Fraude en Mensajes A2P

Proteger tus datos y los de tus clientes es una prioridad principal para la mayoría de las empresas modernas. ¡Y debería serlo! Ahora que los mensajes A2P (de aplicación a persona) son más grandes que nunca, el fraude en mensajes A2P también está en aumento. Como empresa, puedes protegerte contra las amenazas mediante la implementación de ciertas medidas de seguridad, pero no eres el único objetivo. ¡Los criminales también intentarán estafar o engañar a tus clientes! Echemos un vistazo a los tipos de fraude en mensajes A2P a los que pueden enfrentarse tus clientes y a las medidas que se pueden tomar contra ellos.

whatsapp-authentication
Feb 01, 2024 • Authentication

Autenticación de Dos Factores (2FA) en Diferentes Canales de Mensajería

La Autenticación de Dos Factores, o 2FA, es una forma eficaz de proteger tus datos y a tus clientes. Pero, ¿cómo se configura la Autenticación de Dos Factores? ¿Y qué canales de mensajería se pueden usar para la 2FA?

Is this region a better fit for you?
Go
close icon