La Autenticación, Informe y Conformidad de Mensajes Basada en Dominio, o DMARC, es un estándar técnico que ayuda a proteger a los remitentes y receptores de correo electrónico contra el spam, la suplantación de identidad y el phishing.
La Autenticación, Informes y Conformidad Basadas en Dominio, o DMARC, es un estándar técnico que ayuda a proteger a los remitentes y destinatarios de correos electrónicos contra el spam, el suplantación de identidad y el phishing. DMARC permite a una organización publicar una política que define sus prácticas de autenticación de correo electrónico y proporciona instrucciones a los servidores de correo receptores sobre cómo aplicarlas. En esta edición de “DMARC Explicado” aprenderás qué es DMARC y cómo funciona.
Específicamente, DMARC establece un método para que un propietario de dominio:
Publique sus prácticas de autenticación de correo electrónico
Declare qué acciones deben tomarse con el correo que no pase las comprobaciones de autenticación
Habilite la generación de informes sobre estas acciones tomadas en el correo que afirme ser de su dominio
DMARC en sí no es un protocolo de autenticación de correo electrónico, pero se basa en estándares de autenticación clave SPF y DKIM. Con ellos, complementa SMTP, el protocolo básico utilizado para enviar correos electrónicos, porque SMTP no incluye en sí mismo ningún mecanismo para implementar o definir políticas de autenticación de correo electrónico.
¿Cómo funciona DMARC?
DMARC se basa en los estándares establecidos de SPF y DKIM para la autenticación de correo electrónico. También se apoya en el bien establecido Sistema de Nombres de Dominio (DNS). En términos generales, el proceso de validación de DMARC funciona así:
Un administrador de dominio publica la política que define sus prácticas de autenticación de correo electrónico y cómo los servidores de correo receptores deben manejar el correo que viola esta política. Esta política DMARC se lista como parte de los registros DNS generales del dominio.
Cuando un servidor de correo entrante recibe un correo electrónico, utiliza DNS para buscar la política DMARC del dominio contenido en el encabezado “From” (RFC 5322) del mensaje. El servidor entrante luego verifica y evalúa el mensaje por tres factores clave:
¿La firma DKIM del mensaje es válida?
¿El mensaje provino de direcciones IP permitidas por los registros SPF del dominio remitente?
¿Los encabezados en el mensaje muestran la “alineación de dominio” adecuada?
Con esta información, el servidor está listo para aplicar la política DMARC del dominio remitente para decidir si aceptar, rechazar o de otro modo marcar el mensaje de correo electrónico.
Después de usar la política DMARC para determinar la disposición adecuada para el mensaje, el servidor de correo receptor reportará el resultado al propietario del dominio remitente.
¿Qué es un registro DMARC?
Un registro DMARC se incluye en la base de datos DNS de una organización. Un registro DMARC es una versión especialmente formateada de un registro TXT estándar de DNS con un nombre particular, es decir, “_dmarc.mydomain.com” (note el guion bajo al principio). Un registro DMARC se ve algo así: _dmarc.mydomain.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100”
Leído de izquierda a derecha en inglés simple, este registro dice:
v=DMARC1 especifica la versión de DMARC
p=none especifica el tratamiento preferido, o política DMARC
rua=mailto:dmarc-aggregate@mydomain.com es el buzón al que se deben enviar los informes agregados
ruf=mailto:dmarc-afrf@mydomain.com es el buzón al que se deben enviar los informes forenses
pct=100 es el porcentaje de correo al que el propietario del dominio desea que se aplique su política
Opciones adicionales de configuración están disponibles para que un propietario de dominio las use en su registro de política DMARC también, pero estos son los conceptos básicos.
¿Qué significa la alineación de dominio DMARC?
La “alineación de dominio” es un concepto en DMARC que amplía la validación del dominio intrínseca a SPF y DKIM. La alineación de dominio de DMARC coincide con el dominio “from” de un mensaje con información relevante para estos otros estándares:
Para SPF, el dominio From del mensaje y su dominio Return-Path deben coincidir
Para DKIM, el dominio From del mensaje y su dominio DKIM d= deben coincidir
La alineación puede ser relajada (coincidiendo los dominios base, pero permitiendo diferentes subdominios) o estricta (coincidiendo precisamente con todo el dominio). Esta elección se especifica en la política DMARC publicada del dominio de envío.
¿Cuáles son las políticas p= de DMARC?
La especificación DMARC proporciona tres opciones para que los propietarios de dominios especifiquen su tratamiento preferido del correo que falla las comprobaciones de validación DMARC. Estas políticas “p=” son:
ninguna: tratar el correo de la misma manera que si no hubiera ninguna validación DMARC
cuarentena: aceptar el correo pero colocarlo en algún lugar diferente de la bandeja de entrada del destinatario (típicamente la carpeta de spam)
rechazar: rechazar el mensaje de inmediato
Recuerde que el propietario del dominio solo puede solicitar, no obligar, la aplicación de su registro DMARC; depende del servidor de correo entrante decidir si honrar o no la política solicitada.
¿Qué es un informe de DMARC?
Los informes DMARC son generados por los servidores de correo entrante como parte del proceso de validación DMARC. Hay dos formatos de informes DMARC:
Informes agregados, que son documentos XML que muestran datos estadísticos sobre los mensajes recibidos que afirman ser de un dominio particular. La fecha reportada incluye los resultados de autenticación y la disposición del mensaje. Los informes agregados están diseñados para ser legibles por máquinas.
Informes forenses, que son copias individuales de mensajes que fallaron en la autenticación, cada uno encerrado en un mensaje de correo electrónico completo utilizando un formato especial llamado AFRF. El informe forense puede ser útil tanto para solucionar problemas de autenticación de un dominio como para identificar dominios maliciosos y sitios web.
¿Cómo se relaciona DMARC con SPF, DKIM u otros estándares?
DKIM, SPF y DMARC son estándares que permiten diferentes aspectos de la autenticación de correo electrónico. Abordan problemas complementarios.
SPF permite a los remitentes definir qué direcciones IP están autorizadas para enviar correo para un dominio particular.
DKIM proporciona una clave de cifrado y una firma digital que verifica que un mensaje de correo electrónico no fue falsificado ni alterado.
DMARC unifica los mecanismos de autenticación SPF y DKIM en un marco común y permite a los propietarios del dominio declarar cómo les gustaría que se manejara el correo de ese dominio si no pasa una prueba de autorización.
¿Necesito DMARC?
Si eres un negocio que envía correos electrónicos comerciales o transaccionales, definitivamente necesitas implementar una o más formas de autenticación de correo electrónico para verificar que un correo electrónico es realmente de ti o de tu negocio. Configurar correctamente DMARC ayuda a los servidores de correo receptores a determinar cómo evaluar los mensajes que afirman ser de tu dominio, y es uno de los pasos más importantes que puedes tomar para mejorar tu capacidad de entrega.
Sin embargo, estándares como DMARC sólo llegan hasta cierto punto; MessageBird y otros expertos en correo electrónico recomiendan implementar una política de autenticación de correo electrónico DMARC en el contexto de una estrategia de mensajería completa.