Reach

Grow

Manage

Automate

Reach

Grow

Manage

Automate

DMARC: Cómo Proteger Tu Reputación de Email

Correo electrónico

1 min read

DMARC: Cómo Proteger Tu Reputación de Email

Correo electrónico

1 min read

DMARC: Cómo Proteger Tu Reputación de Email

En esta publicación, te contaremos todo lo que necesitas saber sobre cómo aprovechar DMARC para proteger tu reputación de correo electrónico y te daremos consejos sobre cómo configurarlo para tus dominios.

Un Effective Tool to Fight Mail Fraudulento

A menudo mencionado como los protocolos de autenticación de correo electrónico SPF y DKIM, DMARC, o Autenticación de Mensajes Basada en Dominios, Informes y Cumplimiento, no es en sí mismo un protocolo de autenticación. En su lugar, el propósito de DMARC es permitirnos, a nosotros, los propietarios del dominio, proteger nuestra reputación de correo electrónico mediante:

  • Anunciar prácticas de autenticación de correo electrónico,

  • Solicitar tratamiento para correos que no pasen las verificaciones de autenticación, y

  • Solicitar informes sobre correos que afirman ser de su dominio.


DMARC puede ser una herramienta efectiva para que usemos en nuestra lucha contra el correo fraudulento que apunta a nuestro nombre de dominio (por ejemplo, phishing y spoofing), y que puede promover una mayor confianza entre nuestros destinatarios para nuestro correo. Esta mayor confianza debería, a su vez, llevar a una mayor participación con nuestro correo, y el correo que se abre y genera clics impulsa ventas y un mayor ROI para nuestras campañas de correo electrónico.

Además de proteger nuestro dominio, prevemos que implementar DMARC ahora será una excelente manera de "preparar" nuestro dominio para el futuro. Aquí en Bird, creemos que a medida que la industria se mueva a IPv6, es casi seguro que se moverá de un modelo de reputación basado en IP a un modelo de reputación basado en dominios. La reputación basada en dominios requerirá autenticación basada en dominios, y DMARC, en conjunto con DKIM y SPF, ayudará a los dominios a establecer una reputación basada en dominios mucho antes de que pueda ser absolutamente necesaria.

En este post, te contaremos todo lo que necesitas saber sobre cómo aprovechar DMARC para proteger tu reputación de correo electrónico y te daremos consejos sobre cómo configurarlo para tus dominios.

Términos to Know

Antes de que empecemos a configurar DMARC para su dominio, queremos asegurarnos de que hablamos el mismo idioma. Empecemos definiendo algunos términos que utilizaremos a lo largo de este documento.

RFC5322.From Domain

El RFC5322.From Domain es la parte del dominio de la dirección de correo electrónico que usualmente ve un receptor de nuestro correo cuando lo está leyendo. En el siguiente ejemplo, el RFC5322.From domain es "joesbaitshop.com"

From: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domain

DKIM es un protocolo de autenticación que permite a un dominio hacerse responsable de un mensaje de manera que pueda ser validado por el receptor del mensaje; esto se logra a través del uso de firmas criptográficas insertadas en los encabezados del mensaje al salir de su punto de origen. Estas firmas son efectivamente capturas de cómo se veía el mensaje en ese momento, y el receptor puede usar estas capturas para comprobar si el mensaje ha llegado inalterado a su destino. El proceso de producir e insertar estas capturas se llama firma DKIM, y el dominio que asume la responsabilidad del mensaje al firmarlo inserta su nombre en el encabezado en una etiqueta clave-valor como "d=signingDomain", por lo que se refiere como el DKIM d= domain.

Return-Path Domain

El Return-Path domain, a veces llamado el RFC5321.From Domain o el Mail From domain, es el dominio al que se envían los rebotes; también es el dominio sobre el cual se realizan verificaciones SPF durante la transacción del correo electrónico. Este dominio generalmente no es visto por el receptor, a menos que sea lo suficientemente experto para ver todos los encabezados en un mensaje dado.

Por defecto, todo el correo enviado a través de bird.com tendrá birdmail.com como su Return-Path domain, como en el siguiente ejemplo:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Sin embargo, para que DMARC funcione para su dominio, querrá aprovechar un dominio de rebote personalizado, uno que terminará en el mismo dominio que su dominio de envío, por ejemplo, bounces.yourdomain.com al usar yourdomain.com como su dominio de envío.

Organizational Domain

El término "Organizational Domain" se refiere al dominio que fue enviado a un registrador para crear la presencia del dominio en internet. Para Bird, nuestros dominios organizacionales son bird.com y birdmail.com.

Domain Alignment

El último término que entender con respecto a DMARC es "Domain Alignment," y viene en dos variantes: "relajado" y "estricto."

Relaxed Domain Alignment

Se dice que dos dominios tienen un alineamiento de dominio relajado cuando sus Organizational Domains son los mismos. Por ejemplo, a.mail.bird.com y b.foo.bird.com tienen un alineamiento de dominio relajado debido a su Organizational Domain común, bird.com.

Strict Domain Alignment

Se dice que dos dominios tienen un alineamiento de dominio estricto si y solo si son idénticos. Así que, foo.bird.com y foo.bird.com están en alineamiento estricto, ya que los dos dominios son idénticos. Por otro lado, foo.bird.com y bar.foo.bird.com sólo están en alineamiento relajado.

DMARC Domain Alignment Requirements

Para que las verificaciones de validación DMARC sean aprobadas, DMARC requiere que haya un alineamiento de dominios de la siguiente manera:

  • Para SPF, el RFC5322.From domain y el Return-Path domain deben estar en alineamiento

  • Para DKIM, el RFC5322.From domain y el DKIM d= domain deben estar en alineamiento

El alineamiento puede ser relajado o estricto, basado en la política publicada del dominio de envío.

Antes de que empecemos a configurar DMARC para su dominio, queremos asegurarnos de que hablamos el mismo idioma. Empecemos definiendo algunos términos que utilizaremos a lo largo de este documento.

RFC5322.From Domain

El RFC5322.From Domain es la parte del dominio de la dirección de correo electrónico que usualmente ve un receptor de nuestro correo cuando lo está leyendo. En el siguiente ejemplo, el RFC5322.From domain es "joesbaitshop.com"

From: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domain

DKIM es un protocolo de autenticación que permite a un dominio hacerse responsable de un mensaje de manera que pueda ser validado por el receptor del mensaje; esto se logra a través del uso de firmas criptográficas insertadas en los encabezados del mensaje al salir de su punto de origen. Estas firmas son efectivamente capturas de cómo se veía el mensaje en ese momento, y el receptor puede usar estas capturas para comprobar si el mensaje ha llegado inalterado a su destino. El proceso de producir e insertar estas capturas se llama firma DKIM, y el dominio que asume la responsabilidad del mensaje al firmarlo inserta su nombre en el encabezado en una etiqueta clave-valor como "d=signingDomain", por lo que se refiere como el DKIM d= domain.

Return-Path Domain

El Return-Path domain, a veces llamado el RFC5321.From Domain o el Mail From domain, es el dominio al que se envían los rebotes; también es el dominio sobre el cual se realizan verificaciones SPF durante la transacción del correo electrónico. Este dominio generalmente no es visto por el receptor, a menos que sea lo suficientemente experto para ver todos los encabezados en un mensaje dado.

Por defecto, todo el correo enviado a través de bird.com tendrá birdmail.com como su Return-Path domain, como en el siguiente ejemplo:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Sin embargo, para que DMARC funcione para su dominio, querrá aprovechar un dominio de rebote personalizado, uno que terminará en el mismo dominio que su dominio de envío, por ejemplo, bounces.yourdomain.com al usar yourdomain.com como su dominio de envío.

Organizational Domain

El término "Organizational Domain" se refiere al dominio que fue enviado a un registrador para crear la presencia del dominio en internet. Para Bird, nuestros dominios organizacionales son bird.com y birdmail.com.

Domain Alignment

El último término que entender con respecto a DMARC es "Domain Alignment," y viene en dos variantes: "relajado" y "estricto."

Relaxed Domain Alignment

Se dice que dos dominios tienen un alineamiento de dominio relajado cuando sus Organizational Domains son los mismos. Por ejemplo, a.mail.bird.com y b.foo.bird.com tienen un alineamiento de dominio relajado debido a su Organizational Domain común, bird.com.

Strict Domain Alignment

Se dice que dos dominios tienen un alineamiento de dominio estricto si y solo si son idénticos. Así que, foo.bird.com y foo.bird.com están en alineamiento estricto, ya que los dos dominios son idénticos. Por otro lado, foo.bird.com y bar.foo.bird.com sólo están en alineamiento relajado.

DMARC Domain Alignment Requirements

Para que las verificaciones de validación DMARC sean aprobadas, DMARC requiere que haya un alineamiento de dominios de la siguiente manera:

  • Para SPF, el RFC5322.From domain y el Return-Path domain deben estar en alineamiento

  • Para DKIM, el RFC5322.From domain y el DKIM d= domain deben estar en alineamiento

El alineamiento puede ser relajado o estricto, basado en la política publicada del dominio de envío.

Antes de que empecemos a configurar DMARC para su dominio, queremos asegurarnos de que hablamos el mismo idioma. Empecemos definiendo algunos términos que utilizaremos a lo largo de este documento.

RFC5322.From Domain

El RFC5322.From Domain es la parte del dominio de la dirección de correo electrónico que usualmente ve un receptor de nuestro correo cuando lo está leyendo. En el siguiente ejemplo, el RFC5322.From domain es "joesbaitshop.com"

From: Joe’s Bait and Tackle <sales@joesbaitshop.com>

DKIM d= Domain

DKIM es un protocolo de autenticación que permite a un dominio hacerse responsable de un mensaje de manera que pueda ser validado por el receptor del mensaje; esto se logra a través del uso de firmas criptográficas insertadas en los encabezados del mensaje al salir de su punto de origen. Estas firmas son efectivamente capturas de cómo se veía el mensaje en ese momento, y el receptor puede usar estas capturas para comprobar si el mensaje ha llegado inalterado a su destino. El proceso de producir e insertar estas capturas se llama firma DKIM, y el dominio que asume la responsabilidad del mensaje al firmarlo inserta su nombre en el encabezado en una etiqueta clave-valor como "d=signingDomain", por lo que se refiere como el DKIM d= domain.

Return-Path Domain

El Return-Path domain, a veces llamado el RFC5321.From Domain o el Mail From domain, es el dominio al que se envían los rebotes; también es el dominio sobre el cual se realizan verificaciones SPF durante la transacción del correo electrónico. Este dominio generalmente no es visto por el receptor, a menos que sea lo suficientemente experto para ver todos los encabezados en un mensaje dado.

Por defecto, todo el correo enviado a través de bird.com tendrá birdmail.com como su Return-Path domain, como en el siguiente ejemplo:

Return-Path: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Sin embargo, para que DMARC funcione para su dominio, querrá aprovechar un dominio de rebote personalizado, uno que terminará en el mismo dominio que su dominio de envío, por ejemplo, bounces.yourdomain.com al usar yourdomain.com como su dominio de envío.

Organizational Domain

El término "Organizational Domain" se refiere al dominio que fue enviado a un registrador para crear la presencia del dominio en internet. Para Bird, nuestros dominios organizacionales son bird.com y birdmail.com.

Domain Alignment

El último término que entender con respecto a DMARC es "Domain Alignment," y viene en dos variantes: "relajado" y "estricto."

Relaxed Domain Alignment

Se dice que dos dominios tienen un alineamiento de dominio relajado cuando sus Organizational Domains son los mismos. Por ejemplo, a.mail.bird.com y b.foo.bird.com tienen un alineamiento de dominio relajado debido a su Organizational Domain común, bird.com.

Strict Domain Alignment

Se dice que dos dominios tienen un alineamiento de dominio estricto si y solo si son idénticos. Así que, foo.bird.com y foo.bird.com están en alineamiento estricto, ya que los dos dominios son idénticos. Por otro lado, foo.bird.com y bar.foo.bird.com sólo están en alineamiento relajado.

DMARC Domain Alignment Requirements

Para que las verificaciones de validación DMARC sean aprobadas, DMARC requiere que haya un alineamiento de dominios de la siguiente manera:

  • Para SPF, el RFC5322.From domain y el Return-Path domain deben estar en alineamiento

  • Para DKIM, el RFC5322.From domain y el DKIM d= domain deben estar en alineamiento

El alineamiento puede ser relajado o estricto, basado en la política publicada del dominio de envío.

Cómo DMARC Works para Proteger Tu Email Reputation

Cuando hablamos de un proveedor de buzón de correo u otro dominio "verificando DMARC", o "validando DMARC", o "aplicando la política DMARC", lo que queremos decir es que el dominio que recibe un mensaje está realizando los siguientes pasos:

  1. Determinar el dominio RFC5322.From del mensaje

  2. Consultar la política DMARC de ese dominio en DNS

  3. Realizar la validación de la Firma DKIM

  4. Realizar la Validación SPF

  5. Verificar la alineación del dominio

  6. Aplicar la política DMARC


Para que un mensaje pase la validación DMARC, el mensaje debe pasar solo una de las dos verificaciones de autenticación y alineación. Por lo tanto, un mensaje pasará la validación DMARC si alguna de las siguientes condiciones es verdadera:

  • El mensaje pasa las verificaciones SPF y el dominio RFC5322.From y el dominio del Return-Path están alineados, o

  • El mensaje pasa la validación DKIM y el dominio RFC5322.From y el dominio DKIM d= están alineados, o

  • Ambos casos anteriores son verdaderos

Hacer que DMARC funcione para tu dominio

Ahora que hemos explicado la mecánica de DMARC, hablemos sobre cómo hacer que DMARC funcione para nosotros, lo cual implica los siguientes tres pasos:

  1. Hacer preparativos para recibir informes DMARC

  2. Decidir qué política de DMARC usar para tu dominio

  3. Publicar tu registro DMARC

Cubriremos cada uno de estos en detalle a continuación, pero te diremos directamente que el paso 1 anterior consumirá aproximadamente el 95% de tu tiempo de preparación.

Preparando para recibir informes DMARC

Cualquier dominio que publique una política DMARC debería primero prepararse para recibir informes sobre su dominio. Estos informes serán generados por cualquier dominio que haga la validación DMARC y vea correo que reclama ser de nuestro dominio, y se nos enviarán al menos una vez al día. Los informes vendrán en dos formatos:

  • Informes agregados, que son documentos XML que muestran datos estadísticos de cuántos correos fueron vistos por el informante desde cada fuente, cuáles fueron los resultados de la autenticación y cómo fueron tratados los mensajes por el informante. Los informes agregados están diseñados para ser analizados por máquina, con sus datos almacenados en algún lugar para permitir análisis de tráfico general, auditoría de las corrientes de mensajes de nuestro dominio, y quizás la identificación de tendencias en fuentes de correos no autenticados, potencialmente fraudulentos.

  • Informes forenses, que son copias individuales de mensajes que no pasaron la autenticación, cada una contenida en un mensaje de correo completo utilizando un formato llamado AFRF. Se supone que los informes forenses contienen encabezados completos y cuerpos de mensajes, pero muchos informantes eliminan o redactan alguna información por preocupaciones de privacidad. No obstante, el informe forense puede ser útil tanto para solucionar problemas de autenticación de nuestro propio dominio como para identificar, a partir de URIs en los cuerpos de los mensajes, dominios maliciosos y sitios web utilizados para defraudar a los clientes del propietario de nuestro dominio.


La preparación para recibir estos informes involucra primero crear dos buzones en nuestro dominio para manejar estos informes, tales como agg_reports@ourdomain.com y afrf_reports@ourdomain.com. Nótese que esos nombres de buzones son completamente arbitrarios, y no hay requisitos para la denominación de la parte local del buzón; somos libres de elegir cualquier nombre que deseemos, pero debemos mantener los dos por separado para facilitar el procesamiento.

Una vez que los nombres de los buzones son seleccionados y creados en nuestro dominio, lo siguiente que hacer aquí es poner en marcha herramientas que puedan leer estos buzones y hacer uso de los datos, especialmente los informes de datos agregados, que nuevamente están diseñados para ser analizados por máquina, en lugar de ser leídos por un humano. Los informes forenses, por otro lado, pueden ser manejables simplemente leyéndolos nosotros mismos, pero nuestra capacidad para hacerlo dependerá tanto de la comprensión de nuestro cliente de correo sobre cómo mostrar mensajes en el formato AFRF como del volumen de informes que recibamos.

Aunque es posible que escribamos nuestras propias herramientas para procesar informes DMARC, hasta que Bird proporcione tales servicios para los clientes de bird.com (algo en lo que estamos considerando, pero no prometiendo aún), recomendamos que hagamos uso de las herramientas que ya están disponibles para la tarea.

Which DMARC Policy to Use

La especificación DMARC proporciona tres opciones para que los propietarios de dominios especifiquen su tratamiento preferido del correo que no pase las verificaciones de validación de DMARC. Ellos son:

  • none, significa tratar el correo de la misma manera que se trataría independientemente de las verificaciones de validación de DMARC

  • quarantine, significa aceptar el correo pero colocarlo en otro lugar que no sea la Bandeja de entrada del destinatario (típicamente en la carpeta de spam)

  • reject, significa rechazar el mensaje por completo


Es importante tener en cuenta que el propietario del dominio solo puede solicitar dicho tratamiento en su registro DMARC; depende del destinatario del mensaje decidir si respeta o no la política solicitada. Algunos lo harán, mientras que otros pueden ser un poco más indulgentes al aplicar la política, como solo enviar correo a la carpeta de spam cuando la política del dominio sea reject.

Recomendamos a todos nuestros clientes que comiencen con una política de none, simplemente para estar seguros. Aunque confiamos en nuestra capacidad para autenticar adecuadamente su correo a través de la firma DKIM, aún es mejor tomarse un tiempo para examinar los informes sobre su dominio antes de ser más agresivo con su política DMARC.

Publicar Your DMARC Policy

La política DMARC de un dominio se anuncia publicando un registro DNS TXT en un lugar específico en el espacio de nombres DNS, a saber, "_dmarc.domainname.tld" (nota el guion bajo al principio). Un registro básico de política DMARC para nuestro dominio de ejemplo anterior, joesbaitshop.com, podría verse algo así:

_dmarc.joesbaitship.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"

Desglosando este registro, tenemos:

  • v=DMARC1 especifica la versión de DMARC (1 es la única opción por ahora)

  • p=none especifica el tratamiento preferido, o política DMARC

  • rua=mailto:agg_reports@joesbait.com es el buzón al cual se deben enviar los informes agregados

  • ruf=mailto:afrf_reports@joesbait.com es el buzón al cual se deben enviar los informes forenses

  • pct=100 es el porcentaje de correo al cual el propietario del dominio le gustaría aplicar su política. Los dominios que recién comienzan con DMARC, especialmente aquellos que probablemente generen un alto volumen de informes, pueden querer comenzar con un número mucho más bajo aquí para ver cómo sus procesos de manejo de informes soportan la carga.


Existen otras opciones de configuración disponibles para que un propietario de dominio las use en su registro de política DMARC también, pero los consejos que hemos proporcionado deberían ser un buen comienzo.

Resumen

¡Hay mucho que desglosar en la información anterior! Esperamos que encuentre útil el tutorial para crear un registro de política DMARC. También esperamos que nuestra explicación sobre por qué DMARC es importante ayude a aclarar por qué debería comenzar a usar esta herramienta importante para proteger la reputación de su correo electrónico.

Por supuesto, este no es un documento completo ni autoritativo sobre el tema. Si desea profundizar más o necesita más ayuda, un gran lugar para comenzar es la sección de preguntas frecuentes oficial de DMARC. Y, no hace falta decir que el equipo de soporte de Bird está listo para ayudarlo a configurar su cuenta de Bird para DMARC también.

¡Gracias por leer—y comience a proteger sus dominios con DMARC hoy mismo!

Conectémosle con un experto de Bird.
Vea el poder completo del Bird en 30 minutos.

Al enviar, aceptas que Bird pueda contactarte sobre nuestros productos y servicios.

Puedes darte de baja en cualquier momento. Consulta el Aviso de Privacidad de Bird para obtener detalles sobre el procesamiento de datos.

Company

Newsletter

Mantente al día con Bird a través de actualizaciones semanales en tu buzón.

Al enviar, aceptas que Bird pueda contactarte sobre nuestros productos y servicios.

Puedes darte de baja en cualquier momento. Consulta el Aviso de Privacidad de Bird para obtener detalles sobre el procesamiento de datos.

Conectémosle con un experto de Bird.
Vea el poder completo del Bird en 30 minutos.

Al enviar, aceptas que Bird pueda contactarte sobre nuestros productos y servicios.

Puedes darte de baja en cualquier momento. Consulta el Aviso de Privacidad de Bird para obtener detalles sobre el procesamiento de datos.

Company

Newsletter

Mantente al día con Bird a través de actualizaciones semanales en tu buzón.

Al enviar, aceptas que Bird pueda contactarte sobre nuestros productos y servicios.

Puedes darte de baja en cualquier momento. Consulta el Aviso de Privacidad de Bird para obtener detalles sobre el procesamiento de datos.

Conectémosle con un experto de Bird.
Vea el poder completo del Bird en 30 minutos.

Al enviar, aceptas que Bird pueda contactarte sobre nuestros productos y servicios.

Puedes darte de baja en cualquier momento. Consulta el Aviso de Privacidad de Bird para obtener detalles sobre el procesamiento de datos.

R

Reach

G

Grow

M

Manage

A

Automate

Company

Newsletter

Mantente al día con Bird a través de actualizaciones semanales en tu buzón.

Al enviar, aceptas que Bird pueda contactarte sobre nuestros productos y servicios.

Puedes darte de baja en cualquier momento. Consulta el Aviso de Privacidad de Bird para obtener detalles sobre el procesamiento de datos.