La Autenticación, Informe y Conformidad de Mensajes Basada en Dominio, o DMARC, es un estándar técnico que ayuda a proteger a los remitentes y receptores de correo electrónico contra el spam, la suplantación de identidad y el phishing.
Business in a box.
Descubre nuestras soluciones.
Habla con nuestro equipo de ventas
Comprender DMARC
La autenticación de mensajes basada en dominios, informes y conformidad, o DMARC, es un estándar técnico que ayuda a proteger a los remitentes y destinatarios de correo electrónico del spam, la suplantación de identidad y el phishing. DMARC permite a una organización publicar una política que define sus prácticas de autenticación de correo electrónico y proporciona instrucciones a los servidores de correo receptores sobre cómo hacerlas cumplir. En esta edición de “DMARC Explained” aprenderás qué es DMARC y cómo funciona.
Específicamente, DMARC establece un método para que un propietario de dominio pueda:
Publicar sus prácticas de autenticación de correo electrónico
Indicar qué acciones deben tomarse en el correo que no pasa las verificaciones de autenticación
Permitir informes de estas acciones tomadas en correos que afirman ser de su dominio
DMARC en sí mismo no es un protocolo de autenticación de correo electrónico, pero se basa en los estándares clave de autenticación SPF y DKIM. Con ellos, complementa SMTP, el protocolo básico utilizado para enviar correo electrónico, porque SMTP en sí mismo no incluye ningún mecanismo para implementar o definir políticas para la autenticación de correo electrónico.
¿Cómo funciona DMARC?
DMARC relies on the established SPF and DKIM standards for email authentication. It also piggybacks on the well-established Domain Name System (DNS). In general terms, the process of DMARC validation works like this:
A domain administrator publishes the policy defining its email authentication practices and how receiving mail servers should handle mail that violates this policy. This DMARC policy is listed as part of the domain’s overall DNS records.
When an inbound mail server receives an incoming email, it uses DNS to look up the DMARC policy for the domain contained in the message’s “From” (RFC 5322) header. The inbound server then checks evaluates the message for three key factors:
Does the message’s DKIM signature validate?
Did the message come from IP addresses allowed by the sending domain’s SPF records?
Do the headers in the message show proper “domain alignment”?
With this information, the server is ready to apply the sending domain’s DMARC policy to decide whether to accept, reject, or otherwise flag the email message.
After using DMARC policy to determine the proper disposition for the message, the receiving mail server will report the outcome to the sending domain owner.
¿Qué es un registro DMARC?
Un registro DMARC está incluido en la base de datos DNS de una organización. Un registro DMARC es una versión especialmente formateada de un registro estándar DNS TXT con un nombre particular, a saber, “_dmarc.mydomain.com” (note el guion bajo inicial). Un registro DMARC se ve algo así: _dmarc.mydomain.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100”
Leyendo de izquierda a derecha en inglés simple, este registro dice:
v=DMARC1 especifica la versión de DMARC
p=none especifica el tratamiento preferido, o política de DMARC
rua=mailto:dmarc-aggregate@mydomain.com es el buzón al que se deben enviar los informes agregados
ruf=mailto:dmarc-afrf@mydomain.com es el buzón al que se deben enviar los informes forenses
pct=100 es el porcentaje de correo al que el propietario del dominio le gustaría aplicar su política
Opciones de configuración adicionales están disponibles para que un propietario de dominio las use en su registro de política DMARC también, pero estos son los conceptos básicos.
¿Qué significa la alineación de dominio DMARC?
“Domain alignment” es un concepto en DMARC que amplía la validación de dominio intrínseca en SPF y DKIM. La alineación de dominio de DMARC coincide con el dominio “from” de un mensaje con la información relevante para estos otros estándares:
Para SPF, el dominio From del mensaje y su dominio Return-Path deben coincidir
Para DKIM, el dominio From del mensaje y su dominio DKIM d= deben coincidir
La alineación puede ser relajada (emparejando dominios base, pero permitiendo diferentes subdominios) o estricta (coincidiendo precisamente con el dominio completo). Esta elección se especifica en la política DMARC publicada del dominio de envío.
¿Cuáles son las políticas p= de DMARC?
La especificación DMARC proporciona tres opciones para que los propietarios de dominios especifiquen su tratamiento preferido del correo que falla las verificaciones de validación DMARC. Estas “políticas p=” son:
none: tratar el correo de la misma manera que se haría sin ninguna validación DMARC
quarantine: aceptar el correo pero colocarlo en algún lugar que no sea la bandeja de entrada del destinatario (típicamente en la carpeta de spam)
reject: rechazar el mensaje por completo
Recuerde que el propietario del dominio solo puede solicitar, no forzar, la aplicación de su registro DMARC; depende del servidor de correo entrante decidir si desea o no cumplir con la política solicitada.
¿Qué es un informe de DMARC?
Los informes DMARC son generados por los servidores de correo entrantes como parte del proceso de validación DMARC. Hay dos formatos de informes DMARC:
Informes agregados, que son documentos XML que muestran datos estadísticos sobre los mensajes recibidos que afirmaban ser de un dominio en particular. La fecha reportada incluye los resultados de autenticación y la disposición del mensaje. Los informes agregados están diseñados para ser legibles por máquinas.
Informes forenses, que son copias individuales de mensajes que no pasaron la autenticación, cada uno encerrado en un mensaje de correo electrónico completo utilizando un formato especial llamado AFRF. Los informes forenses pueden ser útiles tanto para solucionar problemas de autenticación del propio dominio como para identificar dominios maliciosos y sitios web.
¿Cómo se relaciona DMARC con SPF, DKIM u otros estándares?
DKIM, SPF y DMARC son todos estándares que permiten diferentes aspectos de la autenticación de correos electrónicos. Abordan problemas complementarios.
SPF permite a los remitentes definir qué direcciones IP están autorizadas a enviar correo para un dominio en particular.
DKIM proporciona una clave de cifrado y una firma digital que verifica que un mensaje de correo electrónico no fue falsificado ni alterado.
DMARC unifica los mecanismos de autenticación SPF y DKIM en un marco común y permite a los propietarios de dominios declarar cómo les gustaría que se manejara el correo de ese dominio si falla una prueba de autorización.
¿Necesito DMARC?
Si eres un negocio que envía correos electrónicos comerciales o transaccionales, definitivamente necesitas implementar una o más formas de autenticación de correo electrónico para verificar que un correo electrónico es realmente de ti o de tu negocio. Configurar correctamente DMARC ayuda a los servidores de correo receptores a determinar cómo evaluar los mensajes que afirman ser de tu dominio, y es uno de los pasos más importantes que puedes tomar para mejorar tu capacidad de entrega.
Sin embargo, estándares como DMARC sólo llegan hasta cierto punto; MessageBird y otros expertos en correo electrónico recomiendan implementar una política de autenticación de correo electrónico DMARC en el contexto de una estrategia de mensajería completa.
