En esta publicación, te contaremos todo lo que necesitas saber sobre cómo aprovechar DMARC para proteger tu reputación de correo electrónico y te daremos consejos sobre cómo configurarlo para tus dominios.
Un Effective Tool to Fight Mail Fraudulento
A menudo mencionado junto con los protocolos de autenticación de correo electrónico SPF y DKIM, DMARC, o Autenticación de Mensajes Basada en Dominios, Informes y Conformidad, no es en sí mismo un protocolo de autenticación. En cambio, el propósito de DMARC es permitirnos a nosotros, los propietarios del dominio, proteger nuestra reputación de correo electrónico al:
Anunciar prácticas de autenticación de correo electrónico,
Solicitar tratamiento para el correo que no supera las comprobaciones de autenticación, y
Solicitar informes sobre correo que afirma ser de su dominio.
DMARC puede ser una herramienta efectiva para que la usemos en nuestra lucha contra el correo fraudulento que apunta a nuestro nombre de dominio (por ejemplo, phishing y suplantación), y que puede promover una mayor confianza entre nuestros destinatarios para nuestro correo. Para organizaciones que requieren cifrado de extremo a extremo más allá de la autenticación, implementar S/MIME con métodos de recolección de claves públicas de destinatarios eficientes proporciona capas adicionales de seguridad. Esta mayor confianza debería, a su vez, llevar a una mayor participación con nuestro correo, y el correo que se abre y genera clics impulsa ventas y un mayor ROI para nuestras campañas de correo electrónico.
Además de proteger nuestro dominio, prevemos que implementar DMARC ahora será una excelente manera de "preparar para el futuro" nuestro dominio. Aquí en Bird, creemos que a medida que la industria se mueve hacia IPv6, es casi seguro que se moverá de un modelo de reputación basado en IP a un modelo de reputación basado en dominios. La reputación basada en dominios requerirá autenticación basada en dominios, y DMARC, junto con DKIM y SPF, ayudará a los dominios a establecer una reputación basada en dominios mucho antes de que pueda ser absolutamente necesaria.
En este post, te contaremos todo lo que necesitas saber sobre cómo aprovechar DMARC para proteger tu reputación de correo electrónico y te daremos consejos sobre cómo configurarlo para tus dominios.
Términos to Know
Cómo DMARC Works para Proteger Tu Email Reputation
Cuando hablamos de un proveedor de buzón de correo u otro dominio "verificando DMARC", o "validando DMARC", o "aplicando la política DMARC", lo que queremos decir es que el dominio que recibe un mensaje está realizando los siguientes pasos:
Determinar el dominio RFC5322.From del mensaje
Consultar la política DMARC de ese dominio en DNS
Realizar la validación de la Firma DKIM
Realizar la Validación SPF
Verificar la alineación del dominio
Aplicar la política DMARC
Para que un mensaje pase la validación DMARC, el mensaje debe pasar solo una de las dos verificaciones de autenticación y alineación. Por lo tanto, un mensaje pasará la validación DMARC si alguna de las siguientes condiciones es verdadera:
El mensaje pasa las verificaciones SPF y el dominio RFC5322.From y el dominio del Return-Path están alineados, o
El mensaje pasa la validación DKIM y el dominio RFC5322.From y el dominio DKIM d= están alineados, o
Ambos casos anteriores son verdaderos
Hacer que DMARC funcione para tu dominio
Ahora que hemos explicado la mecánica de DMARC, hablemos sobre cómo hacer que DMARC funcione para nosotros, lo cual implica los siguientes tres pasos:
Hacer preparativos para recibir informes DMARC
Decidir qué política de DMARC usar para tu dominio
Publicar tu registro DMARC
Cubriremos cada uno de estos en detalle a continuación, pero te diremos directamente que el paso 1 anterior consumirá aproximadamente el 95% de tu tiempo de preparación.
Preparando para recibir informes DMARC
Cualquier dominio que publique una política DMARC debería primero prepararse para recibir informes sobre su dominio. Estos informes serán generados por cualquier dominio que haga la validación DMARC y vea correo que reclama ser de nuestro dominio, y se nos enviarán al menos una vez al día. Los informes vendrán en dos formatos:
Informes agregados, que son documentos XML que muestran datos estadísticos de cuántos correos fueron vistos por el informante desde cada fuente, cuáles fueron los resultados de la autenticación y cómo fueron tratados los mensajes por el informante. Los informes agregados están diseñados para ser analizados por máquina, con sus datos almacenados en algún lugar para permitir análisis de tráfico general, auditoría de las corrientes de mensajes de nuestro dominio, y quizás la identificación de tendencias en fuentes de correos no autenticados, potencialmente fraudulentos.
Informes forenses, que son copias individuales de mensajes que no pasaron la autenticación, cada una contenida en un mensaje de correo completo utilizando un formato llamado AFRF. Se supone que los informes forenses contienen encabezados completos y cuerpos de mensajes, pero muchos informantes eliminan o redactan alguna información por preocupaciones de privacidad. No obstante, el informe forense puede ser útil tanto para solucionar problemas de autenticación de nuestro propio dominio como para identificar, a partir de URIs en los cuerpos de los mensajes, dominios maliciosos y sitios web utilizados para defraudar a los clientes del propietario de nuestro dominio.
La preparación para recibir estos informes involucra primero crear dos buzones en nuestro dominio para manejar estos informes, tales como agg_reports@ourdomain.com y afrf_reports@ourdomain.com. Nótese que esos nombres de buzones son completamente arbitrarios, y no hay requisitos para la denominación de la parte local del buzón; somos libres de elegir cualquier nombre que deseemos, pero debemos mantener los dos por separado para facilitar el procesamiento.
Una vez que los nombres de los buzones son seleccionados y creados en nuestro dominio, lo siguiente que hacer aquí es poner en marcha herramientas que puedan leer estos buzones y hacer uso de los datos, especialmente los informes de datos agregados, que nuevamente están diseñados para ser analizados por máquina, en lugar de ser leídos por un humano. Los informes forenses, por otro lado, pueden ser manejables simplemente leyéndolos nosotros mismos, pero nuestra capacidad para hacerlo dependerá tanto de la comprensión de nuestro cliente de correo sobre cómo mostrar mensajes en el formato AFRF como del volumen de informes que recibamos.
Aunque es posible que escribamos nuestras propias herramientas para procesar informes DMARC, hasta que Bird proporcione tales servicios para los clientes de bird.com (algo en lo que estamos considerando, pero no prometiendo aún), recomendamos que hagamos uso de las herramientas que ya están disponibles para la tarea.
Which DMARC Policy to Use
La especificación DMARC proporciona tres opciones para que los propietarios de dominios especifiquen su tratamiento preferido del correo que no pase las verificaciones de validación de DMARC. Ellos son:
none, significa tratar el correo de la misma manera que se trataría independientemente de las verificaciones de validación de DMARC
quarantine, significa aceptar el correo pero colocarlo en otro lugar que no sea la Bandeja de entrada del destinatario (típicamente en la carpeta de spam)
reject, significa rechazar el mensaje por completo
Es importante tener en cuenta que el propietario del dominio solo puede solicitar dicho tratamiento en su registro DMARC; depende del destinatario del mensaje decidir si respeta o no la política solicitada. Algunos lo harán, mientras que otros pueden ser un poco más indulgentes al aplicar la política, como solo enviar correo a la carpeta de spam cuando la política del dominio sea reject.
Recomendamos a todos nuestros clientes que comiencen con una política de none, simplemente para estar seguros. Aunque confiamos en nuestra capacidad para autenticar adecuadamente su correo a través de la firma DKIM, aún es mejor tomarse un tiempo para examinar los informes sobre su dominio antes de ser más agresivo con su política DMARC.
Publicar Your DMARC Policy
La política DMARC de un dominio se anuncia publicando un registro DNS TXT en un lugar específico en el espacio de nombres DNS, a saber, "_dmarc.domainname.tld" (nota el guion bajo al principio). Un registro básico de política DMARC para nuestro dominio de ejemplo anterior, joesbaitshop.com, podría verse algo así:
_dmarc.joesbaitship.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"
Desglosando este registro, tenemos:
v=DMARC1 especifica la versión de DMARC (1 es la única opción por ahora)
p=none especifica el tratamiento preferido, o política DMARC
rua=mailto:agg_reports@joesbait.com es el buzón al cual se deben enviar los informes agregados
ruf=mailto:afrf_reports@joesbait.com es el buzón al cual se deben enviar los informes forenses
pct=100 es el porcentaje de correo al cual el propietario del dominio le gustaría aplicar su política. Los dominios que recién comienzan con DMARC, especialmente aquellos que probablemente generen un alto volumen de informes, pueden querer comenzar con un número mucho más bajo aquí para ver cómo sus procesos de manejo de informes soportan la carga.
Existen otras opciones de configuración disponibles para que un propietario de dominio las use en su registro de política DMARC también, pero los consejos que hemos proporcionado deberían ser un buen comienzo.
Resumen
¡Hay mucho que desglosar en la información anterior! Esperamos que encuentre útil el tutorial para crear un registro de política DMARC. También esperamos que nuestra explicación sobre por qué DMARC es importante ayude a aclarar por qué debería comenzar a usar esta herramienta importante para proteger la reputación de su correo electrónico.
Por supuesto, este no es un documento completo ni autoritativo sobre el tema. Si desea profundizar más o necesita más ayuda, un gran lugar para comenzar es la sección de preguntas frecuentes oficial de DMARC. Y, no hace falta decir que el equipo de soporte de Bird está listo para ayudarlo a configurar su cuenta de Bird para DMARC también.
¡Gracias por leer—y comience a proteger sus dominios con DMARC hoy mismo!
