Implementar Domain-based Message Authentication, Reporting and Conformance (DMARC)
El propósito de este documento es proporcionar al lector más información sobre el método de autenticación por correo electrónico, DMARC. Al explicar cómo funciona DMARC y sus diversas opciones de política, los lectores entenderán mejor el impacto de DMARC en la capacidad de envío de correo electrónico.
¿Qué es DMARC? about
Autenticación de mensajes, creación de informes y conformidad basados en dominio es un método de autenticación por correo electrónico que permite a los propietarios de dominio proteger su dominio contra el uso no autorizado. DMARC también proporciona comentarios sobre el estado de autenticación de correo electrónico y permite a los remitentes controlar qué sucede con los correos electrónicos que no se autentican correctamente. Esto incluye opciones para monitorizar, poner en cuarentena o rechazar correo según la política DMARC que se haya implementado.
DMARC tiene tres opciones de directiva:
- Supervisar (p=ninguno): Indica al proveedor o ISP del buzón que haga lo que normalmente haría con el mensaje.
- Cuarentena (p=cuarentena): Indica al proveedor/ISP del buzón que debe enviar el correo que no pasa DMARC a la carpeta de correo no deseado o correo no deseado del destinatario.
- Rechazar (p=reject): Indica al proveedor/ISP del buzón que bloquee el correo que no pasa DMARC, lo que provoca un rechazo.
¿Cómo funciona DMARC? how
SPF y DKIM se utilizan para asociar un correo electrónico con un dominio y trabajar juntos para autenticar el correo electrónico. DMARC lleva esto un paso más allá y ayuda a evitar la suplantación haciendo coincidir el Dominio comprobado por DKIM y SPF. Para pasar DMARC, un mensaje debe pasar SPF o DKIM. Si ambas fallan en la autenticación, DMARC fallará y el correo electrónico se enviará según la política DMARC seleccionada.
¿Por qué debería implementarse DMARC? why
DMARC es opcional y, aunque no es obligatoria, es gratuita y permite a los receptores de correo electrónico identificar fácilmente la autenticación de correos electrónicos, lo que podría mejorar potencialmente la entrega. Una de las ventajas clave de DMARC es que ofrece informes sobre los mensajes que no superan SPF o DKIM. También proporciona a los remitentes un grado de control sobre lo que sucede con el correo que no pasa ninguno de estos métodos de autenticación. A través de los informes DMARC, los remitentes obtienen visibilidad sobre qué mensajes fallan en DMARC, lo que permite tomar medidas para mitigar más errores.
Prácticas recomendadas para implementar DMARC best-practice
Como DMARC es opcional, no se configurará de forma predeterminada en ninguna plataforma de ESP. Debe crearse un registro DMARC en DNS para que su dominio funcione. Además, se requiere una dirección de correo electrónico de su elección para indicar a dónde deben ir los informes DMARC dentro de su organización. Como práctica recomendada, lo es
se recomienda implementar lentamente la implementación de DMARC escalando la política de DMARC de p=none, p=quarantine, p=reject a medida que se obtiene la comprensión de DMARC del impacto potencial de DMARC.
-
Analice los comentarios que recibe y utiliza (p=ninguno), lo que indica al destinatario que no realice ninguna acción contra los mensajes que no se autentican correctamente, pero que envíe informes de correo electrónico al remitente. Además, revise y corrija los problemas con SPF/DKIM si los mensajes legítimos fallan en la autenticación.
-
Determine si SPF y DKIM están alineados y pasa la autenticación para todo el correo electrónico legítimo y, a continuación, mueva la directiva a (p=quarantine), que indica al servidor de correo electrónico receptor que ponga en cuarentena el correo electrónico que falla en la autenticación (esto generalmente significa colocar esos mensajes en la carpeta de correo no deseado).
-
Ajustar directiva a (p=reject). La directiva p= rechazar indica al destinatario que deniegue (rechace) completamente cualquier correo electrónico del dominio que falle en la autenticación. Con esta directiva habilitada, solo el correo electrónico verificado como 100 % autenticado por el dominio tendrá la oportunidad de ser ubicado en la bandeja de entrada.
note note NOTE Utilice esta directiva con precaución y determine si es apropiada para su organización.
Informes DMARC reporting
DMARC ofrece la capacidad de recibir informes sobre correos electrónicos que fallan en SPF/DKIM. Existen dos informes diferentes generados por los proveedores de servicios de Internet como parte del proceso de autenticación que los remitentes pueden recibir a través de las etiquetas RUA/RUF en su política DMARC:
- Informes agregados (RUA): No contiene ninguna PII (información de identificación personal) que pueda ser confidencial con respecto al RGPD.
- Informes forenses (RUF): Contiene direcciones de correo electrónico que distinguen entre RGPD. Antes de utilizar, es mejor comprobar internamente cómo tratar la información que necesita cumplir con el RGPD.
El uso principal de estos informes es recibir una descripción general de los correos electrónicos que se intentan suplantar. Se trata de informes muy técnicos que se digieren mejor con una herramienta de terceros. Algunas empresas especializadas en la monitorización de DMARC son:
Ejemplo de registro DMARC example
v=DMARC1; p=reject; fo=1; rua=mailto:dmarc_rua@emaildefense.proofpoint.com;ruf=mailto:dmarc_ruf@emaildefense.proofpoint.co
Etiquetas DMARC y lo que hacen tags
Los registros DMARC tienen varios componentes llamados etiquetas DMARC. Cada etiqueta tiene un valor que especifica un determinado aspecto de DMARC.
1: Generar informe si algo falla
d: Generar informe si DKIM falla
s: Generar informe si SPF falla
rua=mailto:aggrep@example.com
ruf=mailto:authfail@example.com
DMARC y ADOBE CAMPAIGN campaign
Un motivo común de los errores de DMARC es la falta de alineación entre las direcciones "De" y "Errores de destino" o "Ruta de retorno". Para evitarlo, al configurar DMARC, se recomienda comprobar dos veces la configuración de las direcciones "De" y "Errores a" en las plantillas de envío.
-
En la plantilla de envío, revise qué dirección está configurada actualmente como dirección de origen.
-
Desde aquí, seleccione "Propiedades" para poder editar más la plantilla de envíos. En esta ventana, seleccione SMTP y desmarque "Usar la dirección de error predeterminada definida para la plataforma" si está seleccionado. Plantillas de envío en Adobe Campaign: seleccione esta casilla de verificación de forma predeterminada. La dirección de error predeterminada puede no ser la dirección asociada con la dirección de origen en esta plantilla de envío.
-
Cuando esta casilla está desactivada, aparece un campo de texto que permite introducir una dirección de error única que utiliza el mismo dominio que se ha definido en la dirección de origen.
Una vez guardados estos cambios, podrá avanzar con la implementación de DMARC con la alineación de dominio correcta.