Business in a box.
Descubre nuestras soluciones.
Habla con nuestro equipo de ventas
La Autenticación, Informes y Conformidad de Mensajes Basados en Dominios, o DMARC, es un estándar técnico que ayuda a proteger a los remitentes y destinatarios de correos electrónicos del spam, suplantación de identidad y phishing.
Entendiendo DMARC
La Autenticación de Mensajes Basada en Dominio, Reporte y Conformidad, o DMARC, es un estándar técnico que ayuda a proteger a los remitentes y destinatarios de correo electrónico del spam, suplantación de identidad y phishing. DMARC permite a una organización publicar una política que define sus prácticas de autenticación de correo electrónico y proporciona instrucciones a los servidores de correo receptor sobre cómo aplicarlas. En esta edición de “DMARC Explicado” aprenderás qué es DMARC y cómo funciona.
Específicamente, DMARC establece un método para que un propietario de dominio:
Publique sus prácticas de autenticación de correo electrónico
Declare qué acciones deben tomarse en correos que no superan las verificaciones de autenticación
Habilite el reporte de estas acciones tomadas sobre correos que afirman ser de su dominio
DMARC en sí no es un protocolo de autenticación de correo electrónico, pero se basa en estándares de autenticación clave SPF y DKIM. Con ellos, complementa SMTP, el protocolo básico utilizado para enviar correo electrónico, porque SMTP no incluye mecanismos para implementar o definir políticas para la autenticación de correo electrónico.
¿Cómo funciona DMARC?
DMARC se basa en los estándares establecidos SPF y DKIM para la autenticación de correo electrónico. También se apoya en el bien establecido Sistema de Nombres de Dominio (DNS). En términos generales, el proceso de validación de DMARC funciona así:
Un administrador de dominio publica la política que define sus prácticas de autenticación de correo electrónico y cómo los servidores de correo receptores deben manejar el correo que infringe esta política. Esta política de DMARC se lista como parte de los registros DNS generales del dominio.
Cuando un servidor de correo entrante recibe un correo electrónico, utiliza DNS para buscar la política de DMARC del dominio contenido en el encabezado “From” (RFC 5322) del mensaje. El servidor entrante luego evalúa el mensaje para tres factores clave:
¿Valida la firma DKIM del mensaje?
¿Vino el mensaje de direcciones IP permitidas por los registros SPF del dominio que envía?
¿Muestran los encabezados en el mensaje la alineación de dominio adecuada?
Con esta información, el servidor está listo para aplicar la política de DMARC del dominio que envía para decidir si aceptar, rechazar o marcar el mensaje de correo electrónico.
Después de usar la política de DMARC para determinar la disposición adecuada para el mensaje, el servidor de correo receptor reportará el resultado al propietario del dominio emisor.
¿Qué es un registro DMARC?
Un registro DMARC está incluido en la base de datos DNS de una organización. Un registro DMARC es una versión especialmente formateada de un registro DNS TXT estándar con un nombre particular, es decir, “_dmarc.mydomain.com” (note el guion bajo inicial). Un registro DMARC se ve algo así como: _dmarc.mydomain.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100”
Leyendo de izquierda a derecha en inglés sencillo, este registro dice:
v=DMARC1 especifica la versión de DMARC
p=none especifica el tratamiento preferido, o política DMARC
rua=mailto:dmarc-aggregate@mydomain.com es el buzón al que se deben enviar los informes agregados
ruf=mailto:dmarc-afrf@mydomain.com es el buzón al que se deben enviar los informes forenses
pct=100 es el porcentaje de correos al que el propietario del dominio le gustaría que se aplicara su política
Opciones de configuración adicionales están disponibles para que un propietario de dominio las utilice en su registro de política DMARC también, pero estas son las bases.
¿Qué significa la alineación de dominio DMARC?
“La alineación de dominios” es un concepto en DMARC que amplía la validación del dominio intrínseca a SPF y DKIM. La alineación de dominios DMARC empareja el dominio “from” de un mensaje con la información relevante a estos otros estándares:
Para SPF, el dominio From del mensaje y su dominio Return-Path deben coincidir
Para DKIM, el dominio From del mensaje y su dominio DKIM d= deben coincidir
La alineación puede relajarse (coincidiendo con dominios base, pero permitiendo diferentes subdominios) o ser estricta (coincidiendo precisamente con el dominio completo). Esta elección se especifica en la política DMARC publicada del dominio de envío.
¿Qué son las políticas DMARC p=?
La especificación DMARC proporciona tres opciones para que los propietarios de dominios especifiquen su tratamiento preferido del correo que falla las comprobaciones de validación DMARC. Estas políticas de “p=” son:
ninguna: tratar el correo de la misma manera que se haría sin ninguna validación DMARC
cuarentena: aceptar el correo pero colocarlo en algún lugar diferente de la bandeja de entrada del destinatario (típicamente en la carpeta de spam)
rechazar: rechazar el mensaje de plano
Recuerda que el propietario del dominio solo puede solicitar, no forzar, la aplicación de su registro DMARC; depende del servidor de correo entrante decidir si cumple o no con la política solicitada.
¿Qué es un informe DMARC?
Los informes DMARC son generados por los servidores de correo entrante como parte del proceso de validación de DMARC. Hay dos formatos de informes DMARC:
Informes agregados, que son documentos XML que muestran datos estadísticos sobre los mensajes recibidos que afirmaban ser de un dominio en particular. La fecha informada incluye los resultados de autenticación y la disposición del mensaje. Los informes agregados están diseñados para ser legibles por máquinas.
Informes forenses, que son copias individuales de mensajes que fallaron en la autenticación, cada una encerrada en un mensaje de correo electrónico completo utilizando un formato especial llamado AFRF. El informe forense puede ser útil tanto para solucionar problemas de autenticación de un dominio como para identificar dominios y sitios web maliciosos.
¿Cómo se relaciona DMARC con SPF, DKIM u otros estándares?
DKIM, SPF y DMARC son todos estándares que permiten diferentes aspectos de la autenticación de correo electrónico. Abordan problemas complementarios.
SPF permite a los remitentes definir qué direcciones IP están autorizadas a enviar correos para un dominio en particular.
DKIM proporciona una clave de cifrado y una firma digital que verifica que un mensaje de correo electrónico no fue falsificado ni alterado.
DMARC unifica los mecanismos de autenticación SPF y DKIM en un marco común y permite a los propietarios de dominios declarar cómo les gustaría que se manejara el correo de ese dominio si falla una prueba de autorización.
¿Necesito DMARC?
Si eres un negocio que envía correos electrónicos comerciales o transaccionales, definitivamente necesitas implementar una o más formas de autenticación de correo electrónico para verificar que un correo electrónico es realmente de ti o de tu negocio. Configurar correctamente DMARC ayuda a los servidores de correo receptor a determinar cómo evaluar los mensajes que afirman ser de tu dominio, y es uno de los pasos más importantes que puedes tomar para mejorar tu capacidad de entrega.
No obstante, estándares como DMARC sólo llegan hasta cierto punto; MessageBird y otros expertos en correo electrónico recomiendan implementar una política de autenticación de correo electrónico DMARC en el contexto de una estrategia de mensajería completa.
