
En esta publicación, te contaremos todo lo que necesitas saber sobre cómo aprovechar DMARC para proteger tu reputación de correo electrónico y te daremos consejos sobre cómo configurarlo para tus dominios.
Un Effective Tool to Fight Mail Fraudulento
A menudo mencionado junto con los protocolos de autenticación de correo electrónico SPF y DKIM, DMARC, o Domain-based Message Authentication, Reporting, and Conformance, no es en sí mismo un protocolo de autenticación. En cambio, el propósito de DMARC es permitirnos a nosotros, los propietarios de dominios, proteger nuestra reputación de correo electrónico mediante:
Anunciar prácticas de autenticación de correo electrónico,
Solicitar un trato para el correo que falla en las verificaciones de autenticación, y
Solicitar informes sobre el correo que afirma ser de su dominio.
DMARC puede ser una herramienta eficaz para que usemos en nuestra lucha contra el correo fraudulento que tiene como objetivo nuestro nombre de dominio (por ejemplo, phishing y suplantación), y que puede promover una mayor confianza entre nuestros destinatarios para nuestro correo. Para organizaciones que requieren cifrado de extremo a extremo más allá de la autenticación, implementar S/MIME con métodos eficientes de recopilación de claves públicas de los destinatarios proporciona capas adicionales de seguridad. Esta mayor confianza debería, a su vez, llevar a un mayor compromiso con nuestro correo, y el correo que se abre y genera clics impulsa las ventas y un mayor ROI para nuestras campañas de correo electrónico.
Además de proteger nuestro dominio, predecimos que implementar DMARC ahora será una excelente manera de "futuro-proteger" nuestro dominio. Aquí en Bird, creemos que a medida que la industria se mueva hacia IPv6, casi seguramente se moverá de un modelo de reputación basado en IP a un modelo de reputación basado en dominio. La reputación basada en dominio requerirá autenticación basada en dominio, y DMARC, en conjunto con DKIM y SPF, ayudará a los dominios a establecer una reputación basada en dominio mucho antes de que pueda ser absolutamente necesario.
En esta publicación, te contaremos todo lo que necesitas saber sobre cómo aprovechar DMARC para proteger tu reputación de correo electrónico y te daremos consejos sobre cómo configurarlo para tus dominios.
Términos to Know
Cómo DMARC Works para Proteger Tu Email Reputation
Cuando hablamos de un proveedor de buzón de correo u otro dominio "verificando DMARC", o "validando DMARC", o "aplicando la política DMARC", lo que queremos decir es que el dominio que recibe un mensaje está realizando los siguientes pasos:
Determinar el dominio RFC5322.From del mensaje
Consultar la política DMARC de ese dominio en DNS
Realizar la validación de la Firma DKIM
Realizar la Validación SPF
Verificar la alineación del dominio
Aplicar la política DMARC
Para que un mensaje pase la validación DMARC, el mensaje debe pasar solo una de las dos verificaciones de autenticación y alineación. Por lo tanto, un mensaje pasará la validación DMARC si alguna de las siguientes condiciones es verdadera:
El mensaje pasa las verificaciones SPF y el dominio RFC5322.From y el dominio del Return-Path están alineados, o
El mensaje pasa la validación DKIM y el dominio RFC5322.From y el dominio DKIM d= están alineados, o
Ambos casos anteriores son verdaderos
Hacer que DMARC funcione para tu dominio
Ahora que hemos explicado la mecánica de DMARC, hablemos sobre cómo hacer que DMARC funcione para nosotros, lo cual implica los siguientes tres pasos:
Hacer preparativos para recibir informes DMARC
Decidir qué política de DMARC usar para tu dominio
Publicar tu registro DMARC
Cubriremos cada uno de estos en detalle a continuación, pero te diremos directamente que el paso 1 anterior consumirá aproximadamente el 95% de tu tiempo de preparación.
Preparando para recibir informes DMARC
Cualquier dominio que publique una política DMARC debe prepararse primero para recibir informes sobre su dominio. Estos informes serán generados por cualquier dominio que realice la validación DMARC y vea correos electrónicos que afirmen ser de nuestro dominio, y se nos enviarán al menos diariamente. Los informes vendrán en dos formatos:
Informes agregados, que son documentos XML que muestran datos estadísticos de cuánto correo fue visto por el informante de cada fuente, cuáles fueron los resultados de la autenticación, y cómo fueron tratados los mensajes por el informante. Los informes agregados están diseñados para ser procesados por máquinas, con sus datos almacenados en algún lugar para permitir el análisis general del tráfico, auditoría de los flujos de mensajes de nuestro dominio, y tal vez la identificación de tendencias en las fuentes de correos no autenticados, potencialmente fraudulentos.
Informes forenses, que son copias individuales de mensajes que fallaron la autenticación, cada uno incluido en un mensaje de correo electrónico completo usando un formato llamado AFRF. Se supone que los informes forenses contienen encabezados completos y cuerpos de mensaje, pero muchos informantes eliminan o redactan parte de la información debido a preocupaciones de privacidad. No obstante, el informe forense aún puede ser útil tanto para solucionar problemas de autenticación de nuestro propio dominio como para identificar, a partir de URIs en los cuerpos de los mensajes, dominios maliciosos y sitios web utilizados para defraudar a los clientes del propietario de nuestro dominio.
La preparación para recibir estos informes implica primero crear dos buzones en nuestro dominio para manejar estos informes, como agg_reports@ourdomain.com y afrf_reports@ourdomain.com. Tenga en cuenta que esos nombres de buzones son completamente arbitrarios, y no hay requisitos para el nombramiento de la parte local del buzón; somos libres de elegir los nombres que deseemos, pero mantenga los dos separados para facilitar el procesamiento.
Una vez que los nombres de los buzones se seleccionan y crean en nuestro dominio, lo siguiente que hay que hacer aquí es implementar herramientas para leer estos buzones y hacer uso de los datos, especialmente los informes de datos agregados, que nuevamente están diseñados para ser procesados por máquinas, en lugar de ser leídos por un humano. Los informes forenses, por otro lado, podrían ser manejables simplemente leyéndolos nosotros mismos, pero nuestra capacidad para hacerlo dependerá tanto de la comprensión de nuestro cliente de correo de cómo mostrar mensajes en el formato AFRF como del volumen de informes que recibimos.
Si bien es posible que nosotros mismos escribamos nuestras propias herramientas para procesar los informes DMARC, hasta que Bird ofrezca tales servicios para los clientes de bird.com (algo que estamos considerando, pero aún no prometemos), recomendamos que utilicemos las herramientas que ya están disponibles para la tarea.
Which DMARC Policy to Use
La especificación DMARC proporciona tres opciones para que los propietarios de dominios especifiquen su tratamiento preferido del correo que no pase las verificaciones de validación de DMARC. Ellos son:
none, significa tratar el correo de la misma manera que se trataría independientemente de las verificaciones de validación de DMARC
quarantine, significa aceptar el correo pero colocarlo en otro lugar que no sea la Bandeja de entrada del destinatario (típicamente en la carpeta de spam)
reject, significa rechazar el mensaje por completo
Es importante tener en cuenta que el propietario del dominio solo puede solicitar dicho tratamiento en su registro DMARC; depende del destinatario del mensaje decidir si respeta o no la política solicitada. Algunos lo harán, mientras que otros pueden ser un poco más indulgentes al aplicar la política, como solo enviar correo a la carpeta de spam cuando la política del dominio sea reject.
Recomendamos a todos nuestros clientes que comiencen con una política de none, simplemente para estar seguros. Aunque confiamos en nuestra capacidad para autenticar adecuadamente su correo a través de la firma DKIM, aún es mejor tomarse un tiempo para examinar los informes sobre su dominio antes de ser más agresivo con su política DMARC.
Publicar Your DMARC Policy
La política DMARC de un dominio se anuncia mediante la publicación de un registro DNS TXT en un lugar específico en el espacio de nombres DNS, a saber, “_dmarc.nombrede dominio.tld” (nota el guion bajo al inicio). Un registro de política DMARC básico para nuestro dominio de ejemplo anterior, joesbaitshop.com, podría verse algo así:
Desglosando este registro, tenemos:
v=DMARC1 especifica la versión DMARC (1 es la única opción ahora mismo)
p=none especifica el tratamiento preferido, o política DMARC
rua=mailto:agg_reports@joesbait.com es el buzón al cual deben enviarse los reportes agregados
ruf=mailto:afrf_reports@joesbait.com es el buzón al cual deben enviarse los reportes forenses
pct=100 es el porcentaje de correo al cual el propietario del dominio desea aplicar su política. Los dominios que recién comienzan con DMARC, especialmente aquellos que probablemente generen un alto volumen de informes, pueden querer comenzar con un número mucho menor aquí para ver cómo sus procesos de manejo de informes se enfrentan a la carga.
Existen otras opciones de configuración disponibles para que un propietario de dominio utilice en su registro de política DMARC también, pero los consejos que hemos proporcionado deberían ser un buen comienzo.
Resumen
¡Hay mucho que desempaquetar en la información anterior! Esperamos que encuentres útil el manual para crear un registro de política DMARC. También esperamos que nuestra explicación sobre por qué DMARC es importante te ayude a aclarar por qué deberías empezar a usar esta herramienta importante para proteger la reputación de tu correo electrónico.
Por supuesto, este no es un documento completo o autorizado sobre el tema. Si deseas profundizar más o necesitas más ayuda, un gran lugar para comenzar es el FAQ oficial de DMARC. Y, no hace falta decir que el equipo de soporte de Bird está listo para ayudarte a configurar tu cuenta de Bird para DMARC también.
¡Gracias por leer y comienza a proteger tus dominios con DMARC hoy!