Tener un registro DMARC configurado como p=none es esencialmente equivalente a no tener ningún registro DMARC. Sin aplicación (p=none), es similar a tener un sistema de gestión de acceso que escanea las identificaciones pero permite que cualquiera entre, incluso si el escaneo de la identificación da como resultado un individuo no identificado. La política DMARC identificada con una "p" es la parte más crucial de DMARC enforcement porque ofrece a los propietarios de dominios la posibilidad de especificar cómo quieren gestionar los correos electrónicos que no superan las comprobaciones de autenticación. Con DMARC enforcement (p=reject), los propietarios de dominios pueden ordenar a los clientes de correo electrónico que envíen los mensajes no autenticados a la carpeta de spam o que los bloqueen por completo.

¿Cuáles son las políticas DMARC?

Las políticas DMARC permiten a los propietarios de dominios especificar qué quieren que ocurra con los correos electrónicos que no superan las comprobaciones de autenticación SPF y DKIM.

• p=none - No se aplica; el correo que falla la autenticación se entrega normalmente.
• p=cuarentena - Los mensajes que no superan la autenticación se envían a spam.
• p=reject - Los mensajes que no superan la autenticación son bloqueados por los clientes de correo y no se entregan. Algunos receptores aceptan esta petición, mientras que otros marcan los mensajes que fallan como spam.

La política p=none es una política de modo de supervisión que no proporciona ninguna aplicación, dejando un dominio vulnerable a la suplantación de identidad. Esta política se utiliza normalmente en modo de prueba para solucionar errores de configuración de autenticación con remitentes de terceros, sin riesgo de bloquear correos legítimos.

Para evitar ataques de suplantación de identidad y phishing, es necesario configurar DMARC como enforcement (p=quarantine o p=reject), en lugar de p=none.

En el modo p=none, los propietarios de dominios pueden utilizar los informes enviados por los clientes de correo para identificar las direcciones IP que intentan explotar su dominio mediante el envío de correos electrónicos fraudulentos. La información proporcionada en estos informes debe transformarse en información procesable con el fin de lograr p=reject para el dominio, que es el desafío técnico real.

Desgraciadamente, la mayoría de las empresas que intentan aplicar DMARC no lo consiguen. Aproximadamente el 80% de las empresas con un registro DMARC publicado no están configuradas para p=reject. Esto puede atribuirse a problemas de configuración, a la dependencia de herramientas de información limitadas que no aplican DMARC o a problemas técnicos con los remitentes de correo electrónico.

Riesgos a los que se enfrenta una empresa sin DMARC enforcement:

Suplantación de correo electrónico: Con una política de p=none, los atacantes pueden suplantar un nombre de dominio sin ninguna restricción. Esto permite a cualquiera utilizar el nombre de dominio para enviar correos electrónicos, lo que supone un riesgo importante para clientes, socios y otras partes interesadas. Los riesgos potenciales incluyen:

• Pérdidas financieras
• Daños a la reputación

Correos electrónicos que acaban en spam: sin DMARC enforcement, los proveedores de servicios de Internet no pueden determinar si los mensajes superan o no la autenticación, lo que hace que se clasifiquen como spam.

Cree una cuenta Skysnag para generar su registro DMARC.

Dado que el dominio es vulnerable a la suplantación de correo electrónico y que los atacantes tienen libre acceso para utilizarlo, los clientes de correo electrónico pueden empezar a marcar el dominio. Esto puede tener consecuencias adversas a largo plazo, como la inclusión del dominio en una lista negra. Estar en la lista negra interrumpe la entrega del correo, lo que provoca que no se entregue, y puede llevar hasta 3-4 semanas eliminar el dominio de la lista negra.

¿Qué ocurre si no se toman medidas?

En casos de uso no autorizado grave, los clientes de correo pueden ir más allá de clasificar los correos electrónicos como spam y optar por incluir el nombre de dominio en una lista negra. Cuando un dominio se incluye en una lista negra, se bloquea el acceso de los correos electrónicos a la mayoría de los clientes de correo.

Skysnag, como primera solución DMARC enforcement del mercado, elimina el laborioso proceso DNS asociado a los protocolos de autenticación del correo electrónico. Lo consigue transformando los registros en formatos dinámicos en lugar de en registros DNS estáticos. Como resultado, las empresas pueden aplicar de forma autónoma esta laguna del correo electrónico, ahorrando valiosas horas de tiempo a los ingenieros.