En esta publicación, te contaremos todo lo que necesitas saber sobre cómo aprovechar DMARC para proteger tu reputación de correo electrónico y te daremos consejos sobre cómo configurarlo para tus dominios.
Business in a box.
Descubre nuestras soluciones.
Habla con nuestro equipo de ventas
Un Effective Tool to Fight Mail Fraudulento
A menudo mencionado en el mismo contexto que los protocolos de autenticación de correo electrónico SPF y DKIM, DMARC, o Autenticación de Mensajes Basada en Dominio, Reportes y Conformidad, no es en sí mismo un protocolo de autenticación. En cambio, el propósito de DMARC es permitirnos, a nosotros, los propietarios de dominios, proteger nuestra reputación de correo electrónico mediante:
Anunciar prácticas de autenticación de correo electrónico,
Solicitar el tratamiento del correo que no pasa las verificaciones de autenticación, y
Solicitar informes sobre el correo que afirma ser de su dominio.
DMARC puede ser una herramienta efectiva para usar en nuestra lucha contra el correo fraudulento que apunta a nuestro nombre de dominio (por ejemplo, phishing y suplantación de identidad), y que puede promover una mayor confianza entre nuestros destinatarios para nuestro correo. Esta mayor confianza debería, a su vez, llevar a un mayor compromiso con nuestro correo, y el correo que se abre y genera clics impulsa las ventas y un mayor ROI para nuestras campañas de correo electrónico.
Además de proteger nuestro dominio, predecimos que implementar DMARC ahora será una excelente manera de "preparar nuestro dominio para el futuro". Aquí en Bird, creemos que a medida que la industria se mueve hacia IPv6, es casi seguro que se moverá de un modelo de reputación basado en IP a un modelo de reputación basado en dominios. La reputación basada en dominios requerirá autenticación basada en dominios, y DMARC, en conjunto con DKIM y SPF, ayudará a los dominios a establecer una reputación basada en dominios mucho antes de que sea absolutamente necesario.
En este artículo, te contaremos todo lo que necesitas saber sobre cómo aprovechar DMARC para proteger tu reputación de correo electrónico y te daremos consejos sobre cómo configurarlo para tus dominios.
Términos to Know
Cómo DMARC Works para Proteger Tu Email Reputation
Cuando hablamos de un proveedor de buzón de correo u otro dominio que "verifica DMARC", o "valida DMARC", o "aplica la política DMARC", lo que queremos decir es que el dominio que recibe un mensaje está realizando los siguientes pasos:
Determinar el dominio RFC5322.From del mensaje
Buscar la política DMARC de ese dominio en DNS
Realizar la validación de la Firma DKIM
Realizar la validación SPF
Verificar la alineación del dominio
Aplicar la política DMARC
Para que un mensaje pase la validación DMARC, el mensaje debe pasar solo una de las dos comprobaciones de autenticación y alineación. Así pues, un mensaje pasará la validación DMARC si se cumple alguna de las siguientes condiciones:
El mensaje pasa las verificaciones SPF y el dominio RFC5322.From y el dominio Return-Path están en alineación, o
El mensaje pasa la validación DKIM y el dominio RFC5322.From y el dominio d= DKIM están en alineación, o
Ambas de las anteriores son verdaderas
Hacer que DMARC funcione para tu dominio
Ahora que hemos explicado la mecánica de DMARC, hablemos sobre cómo hacer que DMARC funcione para nosotros, lo cual implica los siguientes tres pasos:
Hacer preparativos para recibir informes DMARC
Decidir qué política de DMARC usar para tu dominio
Publicar tu registro DMARC
Cubriremos cada uno de estos en detalle a continuación, pero te diremos directamente que el paso 1 anterior consumirá aproximadamente el 95% de tu tiempo de preparación.
Preparando para recibir informes DMARC
Cualquier dominio que publique una política DMARC debe primero prepararse para recibir informes sobre su dominio. Estos informes serán generados por cualquier dominio que realice la validación DMARC y vea correos que afirman ser de nuestro dominio, y nos serán enviados al menos de forma diaria. Los informes vendrán en dos formatos:
Informes agregados, que son documentos XML que muestran datos estadísticos de cuántos correos fueron vistos por el reportero de cada fuente, cuáles fueron los resultados de autenticación y cómo los mensajes fueron tratados por el reportero. Los informes agregados están diseñados para ser analizados por máquinas, con sus datos almacenados en algún lugar para permitir el análisis total del tráfico, la auditoría de los flujos de mensajes de nuestro dominio, y tal vez la identificación de tendencias en las fuentes de correos electrónicos no autenticados, potencialmente fraudulentos.
Informes forenses, que son copias individuales de mensajes que no pasaron la autenticación, cada uno adjunto en un mensaje de correo completo utilizando un formato llamado AFRF. Se supone que los informes forenses contienen encabezados completos y cuerpos de mensajes, pero muchos reporteros eliminan o redactan alguna información debido a preocupaciones de privacidad. No obstante, el informe forense puede ser útil tanto para solucionar problemas de autenticación de nuestro propio dominio como para identificar, a partir de URIs en los cuerpos de los mensajes, dominios maliciosos y sitios web utilizados para defraudar a los clientes del propietario de nuestro dominio.
La preparación para recibir estos informes implica primero crear dos buzones de correo en nuestro dominio para manejar estos informes, como agg_reports@ourdomain.com y afrf_reports@ourdomain.com. Tenga en cuenta que esos nombres de buzón son completamente arbitrarios, y no hay requisitos para la denominación de la parte local del buzón; somos libres de elegir cualquier nombre que deseemos, pero mantenga los dos separados para un procesamiento más fácil.
Una vez seleccionados y creados los nombres de los buzones en nuestro dominio, lo siguiente que debemos hacer aquí es implementar herramientas para leer estos buzones y hacer uso de los datos, especialmente los informes de datos agregados, que nuevamente están diseñados para ser analizados por máquinas, en lugar de ser leídos por una persona. Los informes forenses, por otro lado, podrían gestionarse simplemente leyéndolos nosotros mismos, pero nuestra capacidad para hacerlo dependerá tanto de la comprensión de nuestro cliente de correo de cómo mostrar mensajes en el formato AFRF como del volumen de informes que recibamos.
Aunque es posible que escribamos nuestras propias herramientas para procesar informes DMARC, hasta que Bird brinde tales servicios para los clientes de bird.com (algo que estamos considerando, pero que aún no prometemos), recomendamos que hagamos uso de las herramientas que ya están disponibles para la tarea.
Which DMARC Policy to Use
La especificación DMARC proporciona tres opciones para que los propietarios de dominios especifiquen su tratamiento preferido de los correos que no pasen las verificaciones de validación DMARC. Ellas son:
none, lo que significa tratar el correo de la misma manera que se trataría independientemente de las verificaciones de validación DMARC
quarantine, lo que significa aceptar el correo pero colocarlo en un lugar diferente al Inbox del destinatario (típicamente la carpeta de spam)
reject, lo que significa rechazar el mensaje de plano
Es importante tener en cuenta que el propietario del dominio solo puede solicitar dicho tratamiento en su registro DMARC; depende del destinatario del mensaje decidir si honra o no la política solicitada. Algunos lo harán, mientras que otros pueden ser un poco más indulgentes al aplicar la política, como solo enviar el correo a la carpeta de spam cuando la política del dominio es reject.
Recomendamos a todos nuestros clientes que comiencen con una política de none, simplemente para estar seguros. Aunque estamos seguros de nuestra capacidad para autenticar correctamente su correo mediante la firma DKIM, aún es mejor tomarse un tiempo para examinar los informes sobre su dominio antes de volverse más agresivo con su política DMARC.
Publicar Your DMARC Policy
La política DMARC de un dominio se anuncia publicando un registro DNS TXT en un lugar específico en el espacio de nombres DNS, concretamente “_dmarc.domainname.tld” (note el guion bajo inicial). Un registro básico de política DMARC para nuestro dominio de ejemplo anterior, joesbaitshop.com, podría verse algo así:
_dmarc.joesbaitship.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"
Desglosando este registro, tenemos:
v=DMARC1 especifica la versión DMARC (1 es la única opción por ahora)
p=none especifica el tratamiento preferido o política DMARC
rua=mailto:agg_reports@joesbait.com es el buzón al que deben enviarse los informes agregados
ruf=mailto:afrf_reports@joesbait.com es el buzón al que deben enviarse los informes forenses
pct=100 es el porcentaje de correo al que el propietario del dominio le gustaría aplicar su política. Los dominios que recién comienzan con DMARC, especialmente aquellos que probablemente generen un gran volumen de informes, pueden querer comenzar con un número mucho más bajo aquí para ver cómo sus procesos de manejo de informes soportan la carga.
Hay otras opciones de configuración disponibles para que un propietario de dominio las use en su registro de política DMARC también, pero los consejos que hemos proporcionado deberían ser un buen comienzo.
Resumen
¡Hay mucho que analizar en la información anterior! Esperamos que encuentre útil la guía sobre cómo crear un registro de política DMARC. También esperamos que nuestra explicación sobre por qué DMARC es importante ayude a dejar claro por qué debería comenzar a utilizar esta herramienta importante para proteger la reputación de su correo electrónico.
Por supuesto, este no es un documento completo o autorizado sobre el tema. Si desea profundizar más o necesita más ayuda, un excelente lugar para comenzar es el FAQ oficial de DMARC. Y, no hace falta decir que el equipo de soporte de Bird está listo para ayudarle a configurar su cuenta de Bird para DMARC también.
¡Gracias por leer y comience a proteger sus dominios con DMARC hoy!
