Una Herramienta Efectiva para Combatir el Correo Fraudulento

A menudo mencionado junto a los protocolos de autenticación de correo electrónico SPF y DKIM, DMARC, o Autenticación de Mensajes Basada en Dominio, Reportes y Conformidad, no es en sí mismo un protocolo de autenticación. En cambio, el propósito de DMARC es permitirnos, los propietarios de dominios, proteger nuestra reputación de correo electrónico al:

• Anunciar prácticas de autenticación de correos electrónicos,

• Solicitar tratamiento para correos que no superen las comprobaciones de autenticación, y

• Solicitar informes sobre correos que afirman ser de su dominio.

DMARC puede ser una herramienta efectiva para que usemos en nuestra lucha contra el correo fraudulento que tiene como objetivo nuestro nombre de dominio (por ejemplo, phishing y suplantación), y que puede promover una mayor confianza entre nuestros destinatarios hacia nuestro correo. Esta mayor confianza debería, a su vez, conducir a un mayor compromiso con nuestro correo, y los correos que se abren y generan clics impulsan ventas y un mayor ROI para nuestras campañas de correo electrónico.

Además de proteger nuestro dominio, prevemos que implementar DMARC ahora será una excelente manera de "futuro-proteger" nuestro dominio. Aquí en Bird, creemos que a medida que la industria se mueva hacia IPv6, es casi seguro que pasará de un modelo de reputación basado en IP a un modelo de reputación basado en dominio. La reputación basada en dominio requerirá autenticación basada en dominio, y DMARC, en conjunto con DKIM y SPF, ayudará a los dominios a establecer una reputación basada en dominio mucho antes de que pueda ser absolutamente necesaria.

En esta publicación, te contaremos todo lo que necesitas saber sobre cómo aprovechar DMARC para proteger tu reputación de correo electrónico y te daremos consejos sobre cómo configurarlo para tus dominios.

Términos que Debes Conocer

Antes de entrar en la configuración de DMARC para tu dominio, queremos asegurarnos de que estamos hablando el mismo idioma. Comencemos definiendo algunos términos que utilizaremos a lo largo del resto de este documento.

Dominio RFC5322.From

El dominio RFC5322.From es la parte de dominio de la dirección de correo electrónico que generalmente ve un destinatario de nuestro correo cuando se está leyendo. En el siguiente ejemplo, el dominio RFC5322.From es “joesbaitshop.com”

De: Joe’s Bait and Tackle <sales@joesbaitshop.com>

Dominio DKIM d=

DKIM es un protocolo de autenticación que permite a un dominio asumir la responsabilidad de un mensaje de una manera que puede ser validada por el receptor del mensaje; esto se realiza mediante el uso de firmas criptográficas insertadas en los encabezados del mensaje mientras sale de su punto de origen. Estas firmas son efectivamente instantáneas de cómo se veía el mensaje en ese momento, y el receptor puede usar estas instantáneas para ver si el mensaje ha llegado sin cambios a su destino. El proceso de producir e insertar estas instantáneas se llama firma DKIM, y el dominio que asume la responsabilidad del mensaje al firmarlo inserta su nombre en el encabezado en una etiqueta de clave-valor como “d=dominioFirmante”, y por eso se le refiere como el dominio DKIM d=.

Dominio de Ruta de Retorno

El dominio de Ruta de Retorno, a veces llamado el Dominio RFC5321. From o el dominio Mail From, es el dominio al cual se dirigen los rebotados; también es el dominio sobre el cual se realizan las comprobaciones SPF durante la transacción de correo electrónico. Este dominio generalmente no es visto por el destinatario a menos que el destinatario sea lo suficientemente inteligente como para mirar todos los encabezados en un mensaje dado.

Por defecto, todo el correo enviado a través de bird.com tendrá birdmail.com como su dominio de Ruta de Retorno, como en el siguiente ejemplo:

Ruta de Retorno: <msprvs1=16880EmYZo7L3=bounces-2785@birdmail1.com>

Sin embargo, para que DMARC funcione para tu dominio, querrás aprovechar un dominio de rebote personalizado, uno que termine en el mismo dominio que tu dominio de envío, por ejemplo, bounces.tudominio.com cuando uses tudominio.com como tu dominio de envío.

Dominio Organizacional

El término “Dominio Organizacional” se refiere al dominio que fue presentado a un registrador para crear la presencia del dominio en Internet. Para Bird, nuestros dominios organizacionales son bird.com y birdmail.com.

Alineación de Dominio

El último término a entender respecto a DMARC es “Alineación de Dominio”, y viene en dos variantes: “relajada” y “estricta.”

Alineación de Dominio Relajada

Se dice que cualquier dos dominios tienen alineación de dominio relajada cuando sus dominios organizacionales son los mismos. Por ejemplo, a.mail.bird.com y b.foo.bird.com tienen alineación de dominio relajada debido a su dominio organizacional común, bird.com.

Alineación de Dominio Estricta

Se dice que dos dominios están en alineación de dominio estricta si y solo si son idénticos. Por lo tanto, foo.bird.com y foo.bird.com están en alineación estricta, ya que los dos dominios son idénticos. Por otro lado, foo.bird.com y bar.foo.bird.com están solo en alineación relajada.

Requisitos de Alineación de Dominio DMARC

Para que las comprobaciones de validación de DMARC pasen, DMARC requiere que haya alineación de dominio como sigue:

• Para SPF, el dominio RFC5322.From y el dominio de Ruta de Retorno deben estar en alineación

• Para DKIM, el dominio RFC5322.From y el dominio DKIM d= deben estar en alineación

La alineación puede ser relajada o estricta, según la política publicada del dominio de envío.

Cómo DMARC Funciona para Proteger tu Reputación de Correo Electrónico

Cuando hablamos de un proveedor de buzón o de otro dominio “verificando DMARC”, o “validando DMARC”, o “aplicando la política de DMARC”, lo que queremos decir es que el dominio que recibe un mensaje está realizando los siguientes pasos:

1. Determinar el dominio RFC5322.From del mensaje

2. Buscar la política DMARC de ese dominio en DNS

3. Realizar la validación de la firma DKIM

4. Realizar la validación SPF

5. Verificar la alineación del dominio

6. Aplicar la política DMARC

Para que un mensaje pase la validación DMARC, el mensaje debe superar solo una de las dos comprobaciones de autenticación y alineación. Así, un mensaje pasará la validación DMARC si cualquiera de las siguientes es verdadera:

• El mensaje supera las comprobaciones SPF y el dominio RFC5322.From y el dominio de Ruta de Retorno están en alineación, o

• El mensaje supera la validación DKIM y el dominio RFC5322.From y el dominio DKIM d= están en alineación, o

• Ambos anteriores son verdaderos

  
  

  
  

Haciendo Que DMARC Funcione Para Tu Dominio

Ahora que hemos explicado la mecánica de DMARC, hablemos sobre cómo hacer que DMARC funcione para nosotros, lo cual implica los siguientes tres pasos:

1. Hacer preparaciones para recibir informes de DMARC

2. Decidir sobre qué política DMARC usar para tu dominio

3. Publicar tu registro DMARC

Cubriríamos cada uno de estos en detalle a continuación, pero te diremos directamente que el paso 1 arriba consumirá aproximadamente el 95% de tu tiempo de preparación.

Preparándose para Recibir Informes de DMARC

Cualquier dominio que publique una política DMARC debe primero prepararse para recibir informes sobre su dominio. Estos informes serán generados por cualquier dominio que realice la validación de DMARC y vea correos que afirman ser de nuestro dominio, y se enviarán a nosotros al menos a diario. Los informes llegarán en dos formatos:

• Informes agregados, que son documentos XML que muestran datos estadísticos sobre cuánto correo fue visto por el reportero de cada fuente, cuáles fueron los resultados de la autenticación y cómo los mensajes fueron tratados por el reportero. Los informes agregados están diseñados para ser procesados por máquinas, con sus datos almacenados en algún lugar para permitir un análisis general del tráfico, auditoría de los flujos de mensajes de nuestro dominio, y quizás identificación de tendencias en fuentes de correos no autenticados y potencialmente fraudulentos.

• Informes forenses, que son copias individuales de mensajes que fallaron la autenticación, cada uno encerrado en un mensaje de correo electrónico completo utilizando un formato llamado AFRF. Los informes forenses se supone que contienen encabezados completos y cuerpos de mensaje, pero muchos reporteros eliminan o censuran alguna información debido a preocupaciones de privacidad. No obstante, el informe forense aún puede ser útil tanto para la resolución de problemas de los propios problemas de autenticación de nuestro dominio como para identificar, a partir de URI en los cuerpos de mensaje, dominios maliciosos y sitios web utilizados para defraudar a los clientes del propietario de nuestro dominio.

La preparación para recibir estos informes implica primero crear dos buzones en nuestro dominio para manejar estos informes, como agg_reports@ourdomain.com y afrf_reports@ourdomain.com. Ten en cuenta que esos nombres de buzón son completamente arbitrarios, y no hay requisitos para el nombramiento de la parte local del buzón; somos libres de elegir cualquier nombre que deseemos, pero mantén los dos separados para un procesamiento más fácil.

Una vez que los nombres de los buzones se seleccionan y crean en nuestro dominio, la siguiente cosa que se debe hacer aquí es poner herramientas en su lugar para leer estos buzones y hacer uso de los datos, especialmente los informes de datos agregados, que nuevamente están diseñados para ser procesados por máquinas, en lugar de leídos por un humano. Los informes forenses, por otro lado, pueden ser manejables simplemente leyéndolos nosotros mismos, pero nuestra capacidad para hacerlo dependerá tanto de la comprensión de nuestro cliente de correo sobre cómo mostrar mensajes en el formato AFRF como del volumen de informes que recibimos.

Si bien es posible que escribamos nuestras propias herramientas para procesar informes de DMARC, hasta que Bird proporcione dichos servicios para los clientes de bird.com (algo que estamos considerando, pero no prometiendo aún), recomendamos que hagamos uso de herramientas que ya están disponibles para la tarea.

Qué Política DMARC Usar

La especificación DMARC proporciona tres opciones para que los propietarios de dominios especifiquen su tratamiento preferido de los correos que fallan las comprobaciones de validación DMARC. Son:

• ninguna, lo que significa tratar el correo de la misma manera que sería tratado independientemente de las comprobaciones de validación DMARC

• cuarentena, lo que significa aceptar el correo pero colocarlo en algún lugar que no sea la Bandeja de entrada del destinatario (típicamente en la carpeta de spam)

• rechazar, lo que significa rechazar el mensaje de inmediato

Es importante tener en cuenta que el propietario del dominio solo puede solicitar dicho tratamiento en su registro DMARC; depende del destinatario del mensaje decidir si honrar o no la política solicitada. Algunos lo harán, mientras que otros pueden ser un poco más indulgentes al aplicar la política, como solo mover el correo a la carpeta de spam cuando la política del dominio es rechazar.

Recomendamos a todos nuestros clientes que comiencen con una política de ninguna, simplemente por seguridad. Si bien estamos seguros de nuestra capacidad para autenticar correctamente tu correo a través de la firma DKIM, sigue siendo mejor tomarse algún tiempo para examinar los informes sobre tu dominio antes de ser más agresivos con tu política DMARC.

Publicando Tu Política DMARC

La política DMARC de un dominio se anuncia publicando un registro TXT de DNS en un lugar específico en el espacio de nombres DNS, a saber, “_dmarc.nombreDeDominio.tld” (ten en cuenta el guion bajo al principio). Un registro básico de política DMARC para nuestro dominio de ejemplo de antes, joesbaitshop.com, podría verse algo así:

_dmarc.joesbaitshop.com. IN TXT "v=DMARC1\; p=none\; rua=mailto:agg_reports@joesbait.com\; ruf=mailto:afrf_reports@joesbait.com\; pct=100"

Desglosando este registro, tenemos:

• v=DMARC1 especifica la versión de DMARC (1 es la única opción en este momento)

• p=none especifica el tratamiento preferido, o política DMARC

• rua=mailto:agg_reports@joesbait.com es el buzón al que se deben enviar los informes agregados

• ruf=mailto:afrf_reports@joesbait.com es el buzón al que se deben enviar los informes forenses

• pct=100 es el porcentaje de correos a los que el propietario del dominio desea que su política se aplique. Los dominios que recién comienzan con DMARC, especialmente aquellos que probablemente generen un alto volumen de informes, pueden querer comenzar con un número mucho más bajo aquí para ver cómo se sostienen sus procesos de manejo de informes ante la carga.

  
  

Existen otras opciones de configuración disponibles para que un propietario de dominio las utilice en su registro de política DMARC también, pero los consejos que hemos proporcionado deberían ser un buen comienzo.

Resumen

¡Hay mucho que desempacar en la información anterior! Esperamos que encuentres útil el cómo crear un registro de política DMARC. También esperamos que nuestra explicación de por qué DMARC es importante ayude a aclarar por qué deberías comenzar a usar esta herramienta importante para proteger tu reputación de correo electrónico.

Por supuesto, este no es un documento completo o autorizado sobre el tema. Si quieres profundizar más o necesitas más ayuda, un gran lugar para comenzar es la FAQ oficial de DMARC. Y, no hace falta decir que el equipo de soporte de Bird está listo para ayudarte a configurar tu cuenta de Bird para DMARC también.

¡Gracias por leer, y comienza a proteger tus dominios con DMARC hoy mismo!