El blog de Skysnag

19 mitos sobre DMARC desmentidos por los expertos

11 de octubre de 2023  |  6 min leer

Muchas personas no entienden de inmediato lo que DMARC logra o cómo protege contra el fraude, la suplantación de identidad y la suplantación de dominio. Hay muchos malentendidos sobre DMARC, cómo funciona la autenticación del correo electrónico y por qué es beneficiosa para usted. Pero como los mismos mitos siguen apareciendo, hay algunos elementos que se repiten y que merece la pena explorar.

Pero, ¿cómo distinguir lo que está bien de lo que está mal? ¿Y cómo puede estar seguro de que lo utiliza correctamente? Skysnag le ayuda. En este artículo, analizaremos los diversos mitos de DMARC y comprenderemos por qué es tan crucial para su organización.

Mito nº 1: Como ya he completado SPF y DKIM, no necesito DMARC.

El estándar DMARC (Domain-based Message Authentication, Reporting, and Conformance) es un estándar moderno de autenticación de correo electrónico que muchos de los principales servidores de correo electrónico utilizan para comprobar el correo electrónico saliente y entrante (Office 365, Google Workspace y pasarelas comerciales de correo electrónico seguro).

Dado que SPF y/o DKIM no proporcionan información adecuada, ninguna de las pasarelas descritas anteriormente las tendrá en cuenta únicamente a la hora de tomar decisiones de entrega. En su lugar, considerarán una variedad de métricas como DMARC, tasa de compromiso, etc.

Mito nº 2: No puedo utilizar DMARC porque no utilizo SPF/DKIM. 

Informes DMARC le proporcionará la información que necesita para resolver los problemas de autenticación con SPF y DKIM. El paso inicial en cualquier proyecto DMARC es configurar un modo de supervisión (p=ninguno) Registro DMARC, que proporcionará visibilidad de los problemas de autenticación con flujos de correo permitidos, así como cualquier actividad de shadow IT y/o spoofing.

Mito nº 3: Ya dispongo de DMARC porque utilizo Office 365 o Google Workspace, que afirman ser compatibles.

O365 y Google Workspace examinarán el correo entrante en busca de autenticación DMARC, pero no proporcionarán visibilidad DMARC ni te ayudarán a configurar DMARC enforcement para tus propios dominios, ni podrán verificar ningún servicio en la nube o local que envíe correo en tu nombre.

Mito nº 4: No puedo utilizar DMARC debido a la configuración de mi correo electrónico

DMARC funciona con cualquier pasarela de correo electrónico, ya sea local o en la nube. DMARC es independiente del flujo de correo y es una entrada DNS independiente de los registros MX. Para los clientes que utilizan Exchange, Office 365, Google Workspace y todas las pasarelas de correo electrónico comerciales, Red Sift ha implementado DMARC con éxito.

Mito nº 5: DMARC haría ineficaz mi marketing por correo electrónico.

Error de nuevo; en realidad, una vez validado correctamente, DMARC dará a su carta de marketing la mejor oportunidad de entrega. El problema es que si utiliza DMARC sin identificar y autenticar primero todo el correo de marketing, puede ser puesto en cuarentena o rechazado por error si cambia a una política de DMARC enforcement .

Mito nº 6: Sólo los grandes remitentes de correo utilizan DMARC.

Esto no es así; DMARC se aplica a todo tipo de empresas, ¡independientemente de su tamaño! Todas las empresas necesitan autenticar su correo electrónico legítimo e impedir la suplantación de identidad y la suplantación ilegal de sus dominios, lo que puede hacerse desplegando DMARC a nivel de aplicación.

Mito nº 7: DMARC es sólo una iniciativa de seguridad.

DMARC es un proyecto multifuncional que se completa de forma más rápida y productiva cuando TI, Seguridad, Cumplimiento y Marketing trabajan juntos. Con BIMI, DMARC no solo eliminará la suplantación de identidad y el phishing maliciosos que utilizan dominios de confianza, sino que también identificará la TI en la sombra, mejorará la entrega de correo electrónico legítimo y aumentará las impresiones de marca.

Mito nº 8: DMARC con p=ninguno es preferible a no tener DMARC.

Es cierto que todos los proyectos DMARC deben comenzar con p=ninguno. Esto es para obtener la visibilidad necesaria para hacer ajustes de autenticación con el fin de cumplir con DMARC. Sin embargo, algunos usuarios creen erróneamente que no tener ninguna política DMARC mejora su seguridad. Esto simplemente no es así: si su política DMARC está configurada como Ninguno. puede ser suplantado con la misma facilidad que si no tuviera un Registro DMARC en absoluto.

Mito nº 9 DMARC es un proceso manual que requiere mucho tiempo y que tardará meses en completarse.

Las empresas suelen interrumpir sus proyectos DMARC por dos motivos:

  1. Cambiar manualmente los registros de autenticación en el DNS puede llevar mucho tiempo, especialmente si tiene que pasar por el control de cambios cada vez. Aplanar y mantener SPF a mano puede ser difícil y llevar mucho tiempo, sin garantía de éxito.
  2. No estar seguro de si todo el correo legítimo ha sido reconocido y autenticado y no será puesto en cuarentena o rechazado por una política DMARC.

Mito nº 10: Implantar DMARC por mi cuenta es sencillo.

DMARC es, de hecho, un estándar público gratuito que cualquiera puede utilizar. Cada día, Red Sift examina millones de registros DMARC y descubre que la mayoría de los proyectos DIY DMARC se quedan en... p=ninguno y nunca llegan a DMARC enforcement. En consecuencia, estas empresas son vulnerables a los ataques de suplantación de identidad, spoofing y phishing.

Mito nº 11: Nunca podré comprender los desconcertantes informes DMARC XML.

No es de extrañar que los informes DMARC no estén pensados para ser leídos por humanos. Para que los informes DMARC tengan sentido, tendrá que analizarlos de alguna manera y, a continuación, añadir informes, alertas e interpretación.

Mito nº 12: Los datos forenses DMARC contienen información personal.

Los informes forenses DMARC pueden ayudar a solucionar problemas de autenticación con flujos de correo auténticos, así como a identificar orígenes de correo malicioso.

Mito nº 13: No hay mucha distinción entre los proveedores de DMARC.

Muchas empresas pueden procesar informes DMARC en nombre de un dominio en una interfaz GUI, lo que hace que la supervisión y visibilidad de DMARC sea hoy en día un producto básico. Un procedimiento repetible, seguro, fácil y eficiente para conseguir que un dominio entre en DMARC enforcement utilizando las tecnologías más recientes en autenticación de correo electrónico alojado y canales de datos privados, no es una mercancía.

Mito nº 14: El FPS es imposible de gestionar y mantener al día

En el mundo actual de los servicios de correo electrónico en la nube, gestionar manualmente y mantener actualizado un registro SPF es sin duda una tarea ardua. Sin embargo, tener el equipo adecuado a mano lo hace mucho más fácil. El proceso puede ser mucho más fácil:

  • Todas las fuentes de correo electrónico están debidamente identificadas y reconocibles, por lo que los usuarios nunca tendrán que preocuparse por perderse un servicio de correo electrónico válido, y todas las fuentes están claramente etiquetadas y reconocibles con nuestra inteligencia de remitente única.
    Las fuentes autorizadas se pueden validar con un solo clic mediante el aplanamiento SPF una vez descubiertos los remitentes. Los servicios que ya no se utilicen pueden desinstalarse, y el registro puede controlarse cómodamente en el futuro.
  • Con SPF dinámico, el registro SPF se aplana dinámicamente y siempre es sintácticamente preciso, evitando la restricción de búsqueda SPF 10.

Mito nº 15: Si tengo más de 10 búsquedas SPF, no afectará a mi flujo de correo.

Aunque la mayoría de las pasarelas de correo electrónico actuales utilizan DMARC para la autenticación del correo electrónico, todavía hay algunos sistemas heredados que utilizan SPF como factor principal para el filtrado del correo.
Cuando un buzón receptor ejecuta una comprobación SPF, superar el límite de 10 búsquedas indica que su registro está técnicamente roto. Además, si su registro DMARC está en aplicación (cuarentena o rechazo), corre el riesgo de que se prohíba el correo de remitentes que no utilicen DKIM. Si su correo electrónico real se autentica correctamente con SPF y DKIM, y el registro SPF no tiene más de 10 consultas, tendrá más posibilidades de ser entregado.

Mito nº 16: La protección DMARC ya ha sido "activada".

Una política DMARC de 'ninguno' y un registro DMARC en la aplicación son muy diferentes. El simple hecho de "habilitar" DMARC con una política de "ninguno" es un primer paso necesario, pero no hace nada para mejorar su postura de seguridad o evitar que su dominio sea suplantado (¡no hay premios por simplemente aparecer de esta manera!).

Debe cumplir una política de cuarentena o rechazo en un pct=100 para finalizar su viaje DMARC. De lo contrario, estarás dejando tu dominio vulnerable a ataques de spoofing y phishing.

Mito nº 17: Mi configuración DMARC será demasiado complicada porque tengo muchos dominios que proteger.

No deberías desanimarte a lanzar un proyecto DMARC porque tengas una gran cartera de dominios. En realidad, tener más dominios desprotegidos te convierte en un blanco fácil si no utilizas DMARC para hacer cumplir la normativa, por lo que ignorar el problema porque tienes muchos dominios no es la solución. Encuentra un dominio

Mito nº 18: DMARC es extremadamente caro

En Skysnag, nos esforzamos por automatizar todo lo posible, lo que permite a nuestros clientes beneficiarse de nuestras eficiencias y economías de escala.

Cree una cuenta Skysnag para generar su registro DMARC.

Mito nº 19: Como no envío correos electrónicos desde mi propio dominio, no necesito protección DMARC.

Los dominios no remitentes pueden falsificarse igual que los remitentes, y son más atractivos como objetivos de correo electrónico de phishing y suplantación de identidad si utilizan marcas, sitios web, personas y empresas conocidas. Los destinatarios de un correo electrónico malicioso procedente de un dominio no remitente pueden no descubrir o comprender que el dominio no está configurado para enviar correo electrónico; si el correo electrónico es lo suficientemente convincente y parece legítimo, pueden creer erróneamente que procede de usted, poniendo en peligro toda su marca y reputación.

Reflexiones finales

Con esto concluye la lista de todos los mitos sobre DMARC que han sido refutados. Pero no se fíe sólo de nuestra palabra; el DMARC automatizado de Skysnag refuerza la protección contra el phishing y la suplantación de identidad al confirmar que un mensaje de correo electrónico procede del dominio del que dice proceder. Skysnag genera informes DM ARC para usted que le ayudan a investigar posibles problemas de seguridad y a identificar riesgos potenciales de ataques de suplantación de identidad. Empiece a utilizar Skysnag y regístrese a través de este enlace.

Compruebe el cumplimiento de la seguridad DMARC de su dominio

Aplique DMARC, SPF y DKIM en días, no en meses

Skysnag ayuda a los atareados ingenieros a aplicar DMARC, responde a cualquier error de configuración de SPF o DKIM, lo que aumenta la capacidad de entrega del correo electrónico, y elimina la suplantación de identidades y el spoofing del correo electrónico.