¿Cómo funciona DMARC?

SPF y DKIM se utilizan para asociar un correo electrónico con un dominio y trabajar juntos para autenticar el correo electrónico. DMARC lleva esto un paso más allá y ayuda a evitar la suplantación haciendo coincidir el Dominio comprobado por DKIM y SPF. Para pasar DMARC, un mensaje debe pasar SPF o DKIM. Si ambas fallan en la autenticación, DMARC fallará y el correo electrónico se enviará según la política DMARC seleccionada.

NOTA
DMARC requiere la alineación entre las direcciones "De" y "Return-Path".

¿Por qué debería implementarse DMARC?

DMARC es opcional y, aunque no es obligatoria, es gratuita y permite a los receptores de correo electrónico identificar fácilmente la autenticación de correos electrónicos, lo que podría mejorar potencialmente la entrega. Una de las ventajas clave de DMARC es que ofrece informes sobre los mensajes que no superan SPF o DKIM. También proporciona a los remitentes un grado de control sobre lo que sucede con el correo que no pasa ninguno de estos métodos de autenticación. A través de los informes DMARC, los remitentes obtienen visibilidad sobre qué mensajes fallan en DMARC, lo que permite tomar medidas para mitigar más errores.

NOTA
Si desea implementar BIMI, se requiere una política p=quarantine o p=reject DMARC.

Prácticas recomendadas para implementar DMARC

Como DMARC es opcional, no se configurará de forma predeterminada en ninguna plataforma de ESP. Debe crearse un registro DMARC en DNS para que su dominio funcione. Además, se requiere una dirección de correo electrónico de su elección para indicar a dónde deben ir los informes DMARC dentro de su organización. Como práctica recomendada, lo es
se recomienda implementar lentamente la implementación de DMARC escalando la política de DMARC de p=none, p=quarantine, p=reject a medida que se obtiene la comprensión de DMARC del impacto potencial de DMARC.

  1. Analice los comentarios que recibe y utiliza (p=ninguno), lo que indica al destinatario que no realice ninguna acción contra los mensajes que no se autentican correctamente, pero que envíe informes de correo electrónico al remitente. Además, revise y corrija los problemas con SPF/DKIM si los mensajes legítimos fallan en la autenticación.

  2. Determine si SPF y DKIM están alineados y pasa la autenticación para todo el correo electrónico legítimo y, a continuación, mueva la directiva a (p=quarantine), que indica al servidor de correo electrónico receptor que ponga en cuarentena el correo electrónico que falla en la autenticación (esto generalmente significa colocar esos mensajes en la carpeta de correo no deseado).

  3. Ajustar directiva a (p=reject). La directiva p= rechazar indica al destinatario que deniegue (rechace) completamente cualquier correo electrónico del dominio que falle en la autenticación. Con esta directiva habilitada, solo el correo electrónico verificado como 100 % autenticado por el dominio tendrá la oportunidad de ser ubicado en la bandeja de entrada.

    NOTA
    Utilice esta directiva con precaución y determine si es apropiada para su organización.

Informes DMARC

DMARC ofrece la capacidad de recibir informes sobre correos electrónicos que fallan en SPF/DKIM. Existen dos informes diferentes generados por los proveedores de servicios de Internet como parte del proceso de autenticación que los remitentes pueden recibir a través de las etiquetas RUA/RUF en su política DMARC:

  • Informes agregados (RUA): No contiene ninguna PII (información de identificación personal) que pueda ser confidencial con respecto al RGPD.
  • Informes forenses (RUF): Contiene direcciones de correo electrónico que distinguen entre RGPD. Antes de utilizar, es mejor comprobar internamente cómo tratar la información que necesita cumplir con el RGPD.

El uso principal de estos informes es recibir una descripción general de los correos electrónicos que se intentan suplantar. Se trata de informes muy técnicos que se digieren mejor con una herramienta de terceros. Algunas empresas especializadas en la monitorización de DMARC son:

ATENCIÓN
Si las direcciones de correo electrónico que está añadiendo para recibir informes se encuentran fuera del dominio para el que se ha creado el registro DMARC, debe autorizar al dominio externo para especificar al DNS que es propietario de este dominio. Para ello, siga los pasos que se detallan en la sección Documentación de dmarc.org