Reach

Grow

Manage

Automate

Reach

Grow

Manage

Automate

DMARC: Cómo Proteger Tu Reputación de Email

Pájaro

13 abr 2016

Correo electrónico

1 min read

DMARC: Cómo Proteger Tu Reputación de Email

Pájaro

13 abr 2016

Correo electrónico

1 min read

DMARC: Cómo Proteger Tu Reputación de Email

En esta publicación, te contaremos todo lo que necesitas saber sobre cómo aprovechar DMARC para proteger tu reputación de correo electrónico y te daremos consejos sobre cómo configurarlo para tus dominios.

Un Effective Tool to Fight Mail Fraudulento

A menudo mencionado junto con los protocolos de autenticación de correo electrónico SPF y DKIM, DMARC, o Domain-based Message Authentication, Reporting, and Conformance, no es en sí mismo un protocolo de autenticación. En cambio, el propósito de DMARC es permitirnos a nosotros, los propietarios de dominios, proteger nuestra reputación de correo electrónico mediante:

  • Anunciar prácticas de autenticación de correo electrónico,

  • Solicitar un trato para el correo que falla en las verificaciones de autenticación, y

  • Solicitar informes sobre el correo que afirma ser de su dominio.


DMARC puede ser una herramienta eficaz para que usemos en nuestra lucha contra el correo fraudulento que tiene como objetivo nuestro nombre de dominio (por ejemplo, phishing y suplantación), y que puede promover una mayor confianza entre nuestros destinatarios para nuestro correo. Para organizaciones que requieren cifrado de extremo a extremo más allá de la autenticación, implementar S/MIME con métodos eficientes de recopilación de claves públicas de los destinatarios proporciona capas adicionales de seguridad. Esta mayor confianza debería, a su vez, llevar a un mayor compromiso con nuestro correo, y el correo que se abre y genera clics impulsa las ventas y un mayor ROI para nuestras campañas de correo electrónico.

Además de proteger nuestro dominio, predecimos que implementar DMARC ahora será una excelente manera de "futuro-proteger" nuestro dominio. Aquí en Bird, creemos que a medida que la industria se mueva hacia IPv6, casi seguramente se moverá de un modelo de reputación basado en IP a un modelo de reputación basado en dominio. La reputación basada en dominio requerirá autenticación basada en dominio, y DMARC, en conjunto con DKIM y SPF, ayudará a los dominios a establecer una reputación basada en dominio mucho antes de que pueda ser absolutamente necesario.

En esta publicación, te contaremos todo lo que necesitas saber sobre cómo aprovechar DMARC para proteger tu reputación de correo electrónico y te daremos consejos sobre cómo configurarlo para tus dominios.

Términos to Know

Antes de configurar DMARC para su dominio, queremos asegurarnos de que estamos hablando el mismo idioma. Comencemos definiendo algunos términos que utilizaremos a lo largo de este documento.

RFC5322.From Domain

El RFC5322.FromDomain es la parte del dominio de la dirección de correo electrónico que generalmente ve un destinatario de nuestro correo al leerlo. En el siguiente ejemplo, el RFC5322.From domain es “joesbaitshop.com”

From: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domain

DKIM es un protocolo de autenticación que permite a un dominio hacerse responsable de un mensaje de manera que pueda ser validada por el receptor del mensaje; esto se hace mediante el uso de firmas criptográficas insertadas en los encabezados del mensaje al salir de su punto de origen. Estas firmas son esencialmente instantáneas de cómo se veía el mensaje en ese momento, y el receptor puede utilizar estas instantáneas para verificar si el mensaje ha llegado sin cambios a su destino. El proceso de producir e insertar estas instantáneas se llama firma DKIM, y el dominio que se hace responsable del mensaje al firmarlo inserta su nombre en el encabezado en una etiqueta de clave-valor como “d=signingDomain”, por lo que se le conoce como el DKIM d= domain.

Return-Path Domain

El dominio de ruta de retorno, a veces llamado RFC5321.From Domain o el dominio Mail From, es el dominio al que se dirigen los rebotados; también es el dominio en el que se realizan las verificaciones SPF durante la transacción de correo electrónico. Este dominio generalmente no es visto por el destinatario, a menos que el destinatario sea lo suficientemente hábil como para mirar todos los encabezados en un mensaje dado.

Por defecto, todo el correo enviado a través de bird.com tendrá birdmail.com como su dominio de ruta de retorno, como en el siguiente ejemplo:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Sin embargo, para que DMARC funcione para su dominio, querrá aprovechar un dominio de rebote personalizado, uno que termine en el mismo dominio que su dominio de envío, por ejemplo, bounces.yourdomain.com al usar yourdomain.com como su dominio de envío.

Organizational Domain

El término “Organizational Domain” se refiere al dominio que fue enviado a un registrador para crear la presencia del dominio en internet. Para Bird, nuestros dominios organizacionales son bird.com y birdmail.com.

Domain Alignment

El último término a entender respecto a DMARC es “Domain Alignment”, y viene en dos variantes: “relajado” y “estricto”.

Relaxed Domain Alignment

Se dice que dos dominios tienen una alineación de dominio relajada cuando sus dominios organizacionales son los mismos. Por ejemplo, a.mail.bird.com y b.foo.bird.com tienen alineación de dominio relajada por su común dominio organizacional, bird.com.

Strict Domain Alignment

Se dice que dos dominios están en alineación de dominio estricta si y solo si son idénticos. Por lo tanto, foo.bird.com y foo.bird.com están en alineación estricta, ya que los dos dominios son idénticos. Por otro lado, foo.bird.com y bar.foo.bird.com solo están en alineación relajada.

DMARC Domain Alignment Requirements

Para que las verificaciones de validación de DMARC pasen, DMARC requiere que haya una alineación de dominio de la siguiente manera:

  • Para SPF, el RFC5322.From domain y el dominio Return-Path deben estar alineados

  • Para DKIM, el RFC5322.From domain y el DKIM d= domain deben estar alineados

La alineación puede ser relajada o estricta, según la política publicada del dominio de envío.

Antes de configurar DMARC para su dominio, queremos asegurarnos de que estamos hablando el mismo idioma. Comencemos definiendo algunos términos que utilizaremos a lo largo de este documento.

RFC5322.From Domain

El RFC5322.FromDomain es la parte del dominio de la dirección de correo electrónico que generalmente ve un destinatario de nuestro correo al leerlo. En el siguiente ejemplo, el RFC5322.From domain es “joesbaitshop.com”

From: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domain

DKIM es un protocolo de autenticación que permite a un dominio hacerse responsable de un mensaje de manera que pueda ser validada por el receptor del mensaje; esto se hace mediante el uso de firmas criptográficas insertadas en los encabezados del mensaje al salir de su punto de origen. Estas firmas son esencialmente instantáneas de cómo se veía el mensaje en ese momento, y el receptor puede utilizar estas instantáneas para verificar si el mensaje ha llegado sin cambios a su destino. El proceso de producir e insertar estas instantáneas se llama firma DKIM, y el dominio que se hace responsable del mensaje al firmarlo inserta su nombre en el encabezado en una etiqueta de clave-valor como “d=signingDomain”, por lo que se le conoce como el DKIM d= domain.

Return-Path Domain

El dominio de ruta de retorno, a veces llamado RFC5321.From Domain o el dominio Mail From, es el dominio al que se dirigen los rebotados; también es el dominio en el que se realizan las verificaciones SPF durante la transacción de correo electrónico. Este dominio generalmente no es visto por el destinatario, a menos que el destinatario sea lo suficientemente hábil como para mirar todos los encabezados en un mensaje dado.

Por defecto, todo el correo enviado a través de bird.com tendrá birdmail.com como su dominio de ruta de retorno, como en el siguiente ejemplo:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Sin embargo, para que DMARC funcione para su dominio, querrá aprovechar un dominio de rebote personalizado, uno que termine en el mismo dominio que su dominio de envío, por ejemplo, bounces.yourdomain.com al usar yourdomain.com como su dominio de envío.

Organizational Domain

El término “Organizational Domain” se refiere al dominio que fue enviado a un registrador para crear la presencia del dominio en internet. Para Bird, nuestros dominios organizacionales son bird.com y birdmail.com.

Domain Alignment

El último término a entender respecto a DMARC es “Domain Alignment”, y viene en dos variantes: “relajado” y “estricto”.

Relaxed Domain Alignment

Se dice que dos dominios tienen una alineación de dominio relajada cuando sus dominios organizacionales son los mismos. Por ejemplo, a.mail.bird.com y b.foo.bird.com tienen alineación de dominio relajada por su común dominio organizacional, bird.com.

Strict Domain Alignment

Se dice que dos dominios están en alineación de dominio estricta si y solo si son idénticos. Por lo tanto, foo.bird.com y foo.bird.com están en alineación estricta, ya que los dos dominios son idénticos. Por otro lado, foo.bird.com y bar.foo.bird.com solo están en alineación relajada.

DMARC Domain Alignment Requirements

Para que las verificaciones de validación de DMARC pasen, DMARC requiere que haya una alineación de dominio de la siguiente manera:

  • Para SPF, el RFC5322.From domain y el dominio Return-Path deben estar alineados

  • Para DKIM, el RFC5322.From domain y el DKIM d= domain deben estar alineados

La alineación puede ser relajada o estricta, según la política publicada del dominio de envío.

Antes de configurar DMARC para su dominio, queremos asegurarnos de que estamos hablando el mismo idioma. Comencemos definiendo algunos términos que utilizaremos a lo largo de este documento.

RFC5322.From Domain

El RFC5322.FromDomain es la parte del dominio de la dirección de correo electrónico que generalmente ve un destinatario de nuestro correo al leerlo. En el siguiente ejemplo, el RFC5322.From domain es “joesbaitshop.com”

From: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domain

DKIM es un protocolo de autenticación que permite a un dominio hacerse responsable de un mensaje de manera que pueda ser validada por el receptor del mensaje; esto se hace mediante el uso de firmas criptográficas insertadas en los encabezados del mensaje al salir de su punto de origen. Estas firmas son esencialmente instantáneas de cómo se veía el mensaje en ese momento, y el receptor puede utilizar estas instantáneas para verificar si el mensaje ha llegado sin cambios a su destino. El proceso de producir e insertar estas instantáneas se llama firma DKIM, y el dominio que se hace responsable del mensaje al firmarlo inserta su nombre en el encabezado en una etiqueta de clave-valor como “d=signingDomain”, por lo que se le conoce como el DKIM d= domain.

Return-Path Domain

El dominio de ruta de retorno, a veces llamado RFC5321.From Domain o el dominio Mail From, es el dominio al que se dirigen los rebotados; también es el dominio en el que se realizan las verificaciones SPF durante la transacción de correo electrónico. Este dominio generalmente no es visto por el destinatario, a menos que el destinatario sea lo suficientemente hábil como para mirar todos los encabezados en un mensaje dado.

Por defecto, todo el correo enviado a través de bird.com tendrá birdmail.com como su dominio de ruta de retorno, como en el siguiente ejemplo:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Sin embargo, para que DMARC funcione para su dominio, querrá aprovechar un dominio de rebote personalizado, uno que termine en el mismo dominio que su dominio de envío, por ejemplo, bounces.yourdomain.com al usar yourdomain.com como su dominio de envío.

Organizational Domain

El término “Organizational Domain” se refiere al dominio que fue enviado a un registrador para crear la presencia del dominio en internet. Para Bird, nuestros dominios organizacionales son bird.com y birdmail.com.

Domain Alignment

El último término a entender respecto a DMARC es “Domain Alignment”, y viene en dos variantes: “relajado” y “estricto”.

Relaxed Domain Alignment

Se dice que dos dominios tienen una alineación de dominio relajada cuando sus dominios organizacionales son los mismos. Por ejemplo, a.mail.bird.com y b.foo.bird.com tienen alineación de dominio relajada por su común dominio organizacional, bird.com.

Strict Domain Alignment

Se dice que dos dominios están en alineación de dominio estricta si y solo si son idénticos. Por lo tanto, foo.bird.com y foo.bird.com están en alineación estricta, ya que los dos dominios son idénticos. Por otro lado, foo.bird.com y bar.foo.bird.com solo están en alineación relajada.

DMARC Domain Alignment Requirements

Para que las verificaciones de validación de DMARC pasen, DMARC requiere que haya una alineación de dominio de la siguiente manera:

  • Para SPF, el RFC5322.From domain y el dominio Return-Path deben estar alineados

  • Para DKIM, el RFC5322.From domain y el DKIM d= domain deben estar alineados

La alineación puede ser relajada o estricta, según la política publicada del dominio de envío.

Cómo DMARC Works para Proteger Tu Email Reputation

Cuando hablamos de un proveedor de buzón de correo u otro dominio "verificando DMARC", o "validando DMARC", o "aplicando la política DMARC", lo que queremos decir es que el dominio que recibe un mensaje está realizando los siguientes pasos:

  1. Determinar el dominio RFC5322.From del mensaje

  2. Consultar la política DMARC de ese dominio en DNS

  3. Realizar la validación de la Firma DKIM

  4. Realizar la Validación SPF

  5. Verificar la alineación del dominio

  6. Aplicar la política DMARC


Para que un mensaje pase la validación DMARC, el mensaje debe pasar solo una de las dos verificaciones de autenticación y alineación. Por lo tanto, un mensaje pasará la validación DMARC si alguna de las siguientes condiciones es verdadera:

  • El mensaje pasa las verificaciones SPF y el dominio RFC5322.From y el dominio del Return-Path están alineados, o

  • El mensaje pasa la validación DKIM y el dominio RFC5322.From y el dominio DKIM d= están alineados, o

  • Ambos casos anteriores son verdaderos

Hacer que DMARC funcione para tu dominio

Ahora que hemos explicado la mecánica de DMARC, hablemos sobre cómo hacer que DMARC funcione para nosotros, lo cual implica los siguientes tres pasos:

  1. Hacer preparativos para recibir informes DMARC

  2. Decidir qué política de DMARC usar para tu dominio

  3. Publicar tu registro DMARC

Cubriremos cada uno de estos en detalle a continuación, pero te diremos directamente que el paso 1 anterior consumirá aproximadamente el 95% de tu tiempo de preparación.

Preparando para recibir informes DMARC

Cualquier dominio que publique una política DMARC debe prepararse primero para recibir informes sobre su dominio. Estos informes serán generados por cualquier dominio que realice la validación DMARC y vea correos electrónicos que afirmen ser de nuestro dominio, y se nos enviarán al menos diariamente. Los informes vendrán en dos formatos:

  • Informes agregados, que son documentos XML que muestran datos estadísticos de cuánto correo fue visto por el informante de cada fuente, cuáles fueron los resultados de la autenticación, y cómo fueron tratados los mensajes por el informante. Los informes agregados están diseñados para ser procesados por máquinas, con sus datos almacenados en algún lugar para permitir el análisis general del tráfico, auditoría de los flujos de mensajes de nuestro dominio, y tal vez la identificación de tendencias en las fuentes de correos no autenticados, potencialmente fraudulentos.

  • Informes forenses, que son copias individuales de mensajes que fallaron la autenticación, cada uno incluido en un mensaje de correo electrónico completo usando un formato llamado AFRF. Se supone que los informes forenses contienen encabezados completos y cuerpos de mensaje, pero muchos informantes eliminan o redactan parte de la información debido a preocupaciones de privacidad. No obstante, el informe forense aún puede ser útil tanto para solucionar problemas de autenticación de nuestro propio dominio como para identificar, a partir de URIs en los cuerpos de los mensajes, dominios maliciosos y sitios web utilizados para defraudar a los clientes del propietario de nuestro dominio.


La preparación para recibir estos informes implica primero crear dos buzones en nuestro dominio para manejar estos informes, como agg_reports@ourdomain.com y afrf_reports@ourdomain.com. Tenga en cuenta que esos nombres de buzones son completamente arbitrarios, y no hay requisitos para el nombramiento de la parte local del buzón; somos libres de elegir los nombres que deseemos, pero mantenga los dos separados para facilitar el procesamiento.

Una vez que los nombres de los buzones se seleccionan y crean en nuestro dominio, lo siguiente que hay que hacer aquí es implementar herramientas para leer estos buzones y hacer uso de los datos, especialmente los informes de datos agregados, que nuevamente están diseñados para ser procesados por máquinas, en lugar de ser leídos por un humano. Los informes forenses, por otro lado, podrían ser manejables simplemente leyéndolos nosotros mismos, pero nuestra capacidad para hacerlo dependerá tanto de la comprensión de nuestro cliente de correo de cómo mostrar mensajes en el formato AFRF como del volumen de informes que recibimos.

Si bien es posible que nosotros mismos escribamos nuestras propias herramientas para procesar los informes DMARC, hasta que Bird ofrezca tales servicios para los clientes de bird.com (algo que estamos considerando, pero aún no prometemos), recomendamos que utilicemos las herramientas que ya están disponibles para la tarea.

Which DMARC Policy to Use

La especificación DMARC proporciona tres opciones para que los propietarios de dominios especifiquen su tratamiento preferido del correo que no pase las verificaciones de validación de DMARC. Ellos son:

  • none, significa tratar el correo de la misma manera que se trataría independientemente de las verificaciones de validación de DMARC

  • quarantine, significa aceptar el correo pero colocarlo en otro lugar que no sea la Bandeja de entrada del destinatario (típicamente en la carpeta de spam)

  • reject, significa rechazar el mensaje por completo


Es importante tener en cuenta que el propietario del dominio solo puede solicitar dicho tratamiento en su registro DMARC; depende del destinatario del mensaje decidir si respeta o no la política solicitada. Algunos lo harán, mientras que otros pueden ser un poco más indulgentes al aplicar la política, como solo enviar correo a la carpeta de spam cuando la política del dominio sea reject.

Recomendamos a todos nuestros clientes que comiencen con una política de none, simplemente para estar seguros. Aunque confiamos en nuestra capacidad para autenticar adecuadamente su correo a través de la firma DKIM, aún es mejor tomarse un tiempo para examinar los informes sobre su dominio antes de ser más agresivo con su política DMARC.

Publicar Your DMARC Policy

La política DMARC de un dominio se anuncia mediante la publicación de un registro DNS TXT en un lugar específico en el espacio de nombres DNS, a saber, “_dmarc.nombrede dominio.tld” (nota el guion bajo al inicio). Un registro de política DMARC básico para nuestro dominio de ejemplo anterior, joesbaitshop.com, podría verse algo así:

_dmarc.joesbaitship.com. IN TXT "v=DMARC1; p=none; rua=mailto:agg_reports@joesbait.com; ruf=mailto:afrf_reports@joesbait.com; pct=100"

Desglosando este registro, tenemos:

  • v=DMARC1 especifica la versión DMARC (1 es la única opción ahora mismo)

  • p=none especifica el tratamiento preferido, o política DMARC

  • rua=mailto:agg_reports@joesbait.com es el buzón al cual deben enviarse los reportes agregados

  • ruf=mailto:afrf_reports@joesbait.com es el buzón al cual deben enviarse los reportes forenses

  • pct=100 es el porcentaje de correo al cual el propietario del dominio desea aplicar su política. Los dominios que recién comienzan con DMARC, especialmente aquellos que probablemente generen un alto volumen de informes, pueden querer comenzar con un número mucho menor aquí para ver cómo sus procesos de manejo de informes se enfrentan a la carga.


Existen otras opciones de configuración disponibles para que un propietario de dominio utilice en su registro de política DMARC también, pero los consejos que hemos proporcionado deberían ser un buen comienzo.

Resumen

¡Hay mucho que desempaquetar en la información anterior! Esperamos que encuentres útil el manual para crear un registro de política DMARC. También esperamos que nuestra explicación sobre por qué DMARC es importante te ayude a aclarar por qué deberías empezar a usar esta herramienta importante para proteger la reputación de tu correo electrónico.

Por supuesto, este no es un documento completo o autorizado sobre el tema. Si deseas profundizar más o necesitas más ayuda, un gran lugar para comenzar es el FAQ oficial de DMARC. Y, no hace falta decir que el equipo de soporte de Bird está listo para ayudarte a configurar tu cuenta de Bird para DMARC también.

¡Gracias por leer y comienza a proteger tus dominios con DMARC hoy!

Conectémosle con un experto de Bird.
Vea el poder completo del Bird en 30 minutos.

Al enviar, aceptas que Bird pueda contactarte sobre nuestros productos y servicios.

Puedes darte de baja en cualquier momento. Consulta el Aviso de Privacidad de Bird para obtener detalles sobre el procesamiento de datos.

Company

Newsletter

Mantente al día con Bird a través de actualizaciones semanales en tu buzón.

Conectémosle con un experto de Bird.
Vea el poder completo del Bird en 30 minutos.

Al enviar, aceptas que Bird pueda contactarte sobre nuestros productos y servicios.

Puedes darte de baja en cualquier momento. Consulta el Aviso de Privacidad de Bird para obtener detalles sobre el procesamiento de datos.

Company

Newsletter

Mantente al día con Bird a través de actualizaciones semanales en tu buzón.

Conectémosle con un experto de Bird.
Vea el poder completo del Bird en 30 minutos.

Al enviar, aceptas que Bird pueda contactarte sobre nuestros productos y servicios.

Puedes darte de baja en cualquier momento. Consulta el Aviso de Privacidad de Bird para obtener detalles sobre el procesamiento de datos.

R

Reach

G

Grow

M

Manage

A

Automate

Company

Newsletter

Mantente al día con Bird a través de actualizaciones semanales en tu buzón.