Los registros DMARC (Domain-based Message Authentication, Reporting and Conformance) sirven como la piedra angular de la autenticación de correo electrónico, protegiendo a las organizaciones de ataques sofisticados de phishing y spoofing que cuestan a las empresas más de $12 mil millones anuales. Comprender la sintaxis precisa y las opciones de configuración es esencial para implementar políticas efectivas de seguridad de correo electrónico que salvaguarden la reputación de su dominio.

Un registro DMARC configurado correctamente actúa como un conjunto de instrucciones de política publicado en su DNS, indicando a los servidores de correo receptores cómo manejar los correos electrónicos que fallan las verificaciones de autenticación. Esta guía completa desglosa cada componente de la sintaxis DMARC, proporcionando la profundidad técnica necesaria para configurar una protección robusta de correo electrónico.

Comprensión de la Estructura de Registros DMARC

Los registros DMARC siguen un formato específico de etiqueta-valor publicado como registros TXT en DNS. El registro debe ubicarse en el subdominio _dmarc bajo su dominio principal, creando la entrada DNS completa _dmarc.sudominio.com.

Formato Básico de Registro DMARC

v=DMARC1; p=none; rua=mailto:[email protected]

Todo registro DMARC comienza con la etiqueta de versión e incluye instrucciones de política. El punto y coma separa cada par etiqueta-valor, y el espaciado después de los puntos y comas es opcional pero recomendado para legibilidad.

Etiquetas Requeridas vs Opcionales

Los registros DMARC contienen tanto etiquetas obligatorias como opcionales:

Etiquetas Requeridas:

• v (versión)
• p (política)

Etiquetas Opcionales:

• rua (URI de reportes agregados)
• ruf (URI de reportes forenses)
• fo (opciones forenses)
• aspf (modo de alineación ASPF)
• adkim (modo de alineación ADKIM)
• pct (porcentaje)
• rf (formato de reporte)
• ri (intervalo de reporte)
• sp (política de subdominio)

Referencia Completa de Etiquetas DMARC

Etiqueta de Versión (v)

Sintaxis: v=DMARC1

La etiqueta de versión identifica la versión de especificación DMARC y debe ser siempre la primera etiqueta en el registro. Actualmente, DMARC1 es el único valor válido.

Ejemplo:

v=DMARC1; p=quarantine; rua=mailto:[email protected]

Validación: La etiqueta de versión distingue mayúsculas y minúsculas y debe aparecer exactamente como se muestra. Cualquier desviación causará que todo el registro DMARC sea inválido.

Etiqueta de Política (p)

Sintaxis: p=none|quarantine|reject

La etiqueta de política especifica la acción que los servidores de correo receptores deben tomar cuando los mensajes fallan las verificaciones de alineación DMARC.

Opciones de Política:

• none: Modo monitor, no se toma acción sobre mensajes fallidos
• quarantine: Mensajes fallidos entregados a carpeta de spam/basura
• reject: Mensajes fallidos rechazados a nivel SMTP

Ejemplos:

v=DMARC1; p=none; rua=mailto:[email protected]
v=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected]
v=DMARC1; p=reject; rua=mailto:[email protected]

Mejor Práctica: Comience con p=none para monitorear patrones de tráfico, luego muévase gradualmente a p=quarantine y finalmente p=reject para máxima protección.

URI de Reportes Agregados (rua)

Sintaxis: rua=mailto:[email protected] o rua=https://ejemplo.com/dmarc

El URI de reportes agregados especifica dónde se deben enviar los reportes agregados XML. Estos reportes contienen datos estadísticos sobre resultados de autenticación de mensajes.

Ejemplos:

rua=mailto:[email protected]
rua=mailto:[email protected],mailto:[email protected]
rua=https://recolector-dmarc.ejemplo.com/reportes

Múltiples Destinatarios: Separe múltiples URIs con comas. Cada destinatario recibirá copias de los reportes agregados.

Destinatarios Externos: Al enviar reportes a dominios externos, el dominio receptor debe publicar un registro DMARC autorizando la aceptación de reportes.

URI de Reportes Forenses (ruf)

Sintaxis: ruf=mailto:[email protected]

Los reportes forenses proporcionan información detallada sobre fallas de mensajes individuales, incluyendo encabezados de mensajes y resultados de autenticación.

Ejemplos:

ruf=mailto:[email protected]
ruf=mailto:[email protected],mailto:[email protected]

Consideraciones de Privacidad: Los reportes forenses contienen contenido sensible de mensajes. Asegure el manejo adecuado de datos y cumplimiento de privacidad al configurar esta etiqueta.

Opciones Forenses (fo)

Sintaxis: fo=0|1|d|s

La etiqueta de opciones forenses controla cuándo se generan reportes forenses para mensajes fallidos.

Opciones:

• 0: Generar reportes cuando tanto SPF como DKIM fallan (predeterminado)
• 1: Generar reportes cuando SPF o DKIM fallan
• d: Generar reportes cuando DKIM falla
• s: Generar reportes cuando SPF falla

Ejemplos:

fo=1; ruf=mailto:[email protected]
fo=d:s; ruf=mailto:[email protected]

Etiquetas de Modo de Alineación

Modo de Alineación SPF (aspf)

Sintaxis: aspf=r|s

Controla la rigurosidad de verificación de alineación SPF:

• r: Modo relajado (predeterminado) – permite alineación de subdominio
• s: Modo estricto – requiere coincidencia exacta de dominio

Modo de Alineación DKIM (adkim)

Sintaxis: adkim=r|s

Controla la rigurosidad de verificación de alineación DKIM:

• r: Modo relajado (predeterminado) – permite alineación de subdominio
• s: Modo estricto – requiere coincidencia exacta de dominio

Ejemplos:

v=DMARC1; p=quarantine; aspf=s; adkim=s; rua=mailto:[email protected]
v=DMARC1; p=none; aspf=r; adkim=r; rua=mailto:[email protected]

Etiqueta de Porcentaje (pct)

Sintaxis: pct=1-100

Especifica el porcentaje de mensajes sujetos a aplicación de política. Útil para despliegue gradual de política.

Ejemplos:

v=DMARC1; p=quarantine; pct=10; rua=mailto:[email protected]
v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]

Predeterminado: Si se omite, predetermina a 100 (todos los mensajes sujetos a política).

Formato de Reporte (rf)

Sintaxis: rf=afrf|iodef

Especifica el formato para reportes forenses:

• afrf: Authentication Failure Reporting Format (predeterminado)
• iodef: Incident Object Description Exchange Format

Intervalo de Reporte (ri)

Sintaxis: ri=segundos

Especifica el intervalo entre reportes agregados en segundos. La mayoría de los sistemas receptores ignoran esta etiqueta y envían reportes diarios.

Ejemplo:

ri=86400  // 24 horas en segundos

Política de Subdominio (sp)

Sintaxis: sp=none|quarantine|reject

Define política para subdominios cuando no existe registro DMARC explícito para el subdominio.

Ejemplos:

v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected]
v=DMARC1; p=none; sp=none; rua=mailto:[email protected]

Ejemplos de Configuración Avanzada

Configuración Básica de Monitoreo

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1

Política Estricta con Despliegue Gradual

v=DMARC1; p=quarantine; pct=25; aspf=s; adkim=s; rua=mailto:[email protected]

Configuración de Máxima Protección

v=DMARC1; p=reject; sp=reject; aspf=s; adkim=s; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1

Configuración Empresarial Multi-Destinatario

v=DMARC1; p=quarantine; rua=mailto:[email protected],mailto:[email protected]; ruf=mailto:[email protected]; pct=50; fo=1

Herramientas de Validación y Prueba

Validación de Consulta DNS

Use estos comandos para verificar la publicación del registro DMARC:

dig TXT _dmarc.ejemplo.com
nslookup -type=TXT _dmarc.ejemplo.com

Validación de Sintaxis

Herramientas como Skysnag Protect proporcionan validación comprensiva de registros DMARC, verificando errores de sintaxis, conflictos de política y recomendaciones de configuración.

Errores de Validación Comunes

1. Etiqueta de versión faltante: El registro debe comenzar con v=DMARC1
2. Valores de política inválidos: Solo none, quarantine y reject son válidos
3. Direcciones de correo mal formadas: Los URIs deben seguir el formato mailto: apropiado
4. Modos de alineación conflictivos: Asegure consistencia entre modos estrictos y relajados
5. Valores de porcentaje inválidos: Deben ser enteros entre 1-100

Casos Especiales y Solución de Problemas

Múltiples Registros DMARC

Solo se permite un registro DMARC por dominio. Múltiples registros resultan en falla DMARC para todos los mensajes.

Herencia de Subdominio

Los subdominios sin registros DMARC explícitos heredan la política del dominio organizacional o el valor de etiqueta sp si se especifica.

Limitaciones de Longitud de Registro

Los registros TXT DNS tienen un límite de 255 caracteres por cadena. Los registros DMARC largos pueden requerir concatenación de cadenas:

"v=DMARC1; p=quarantine; rua=mailto:direccion-correo-muy-larga@" "dominio-ejemplo-con-nombre-largo.com; fo=1"

Problemas de Entrega de Reportes

Los destinos de reportes externos requieren autorización DNS adecuada. Verifique que el dominio receptor acepta reportes de su dominio.

Mejores Prácticas de Implementación

Estrategia de Despliegue Gradual

1. Fase 1: Despliegue p=none con reportes para establecer línea base
2. Fase 2: Mover a p=quarantine con porcentaje bajo
3. Fase 3: Aumentar porcentaje gradualmente mientras monitorea reportes
4. Fase 4: Implementar p=reject para protección completa

Monitoreo y Mantenimiento

El análisis regular de reportes DMARC revela problemas de autenticación, fuentes de envío no autorizadas y amenazas de seguridad potenciales. Herramientas como Skysnag Protect automatizan el procesamiento de reportes y proporcionan conocimientos accionables para optimización de políticas.

Integración con SPF y DKIM

DMARC requiere que pase autenticación SPF o DKIM, con alineación apropiada. Asegure que ambos protocolos estén configurados correctamente antes de implementar políticas DMARC estrictas.

Puntos Clave

La sintaxis de registros DMARC sigue un formato de etiqueta-valor preciso con requisitos específicos de validación. Comience con políticas de monitoreo y aumente gradualmente los niveles de protección mientras analiza reportes agregados. La configuración apropiada del modo de alineación y despliegues basados en porcentajes aseguran un despliegue suave sin interrupción de correo legítimo.

Comprender cada etiqueta DMARC permite a las organizaciones implementar políticas sofisticadas de autenticación de correo adaptadas a sus requisitos específicos de seguridad. La validación y monitoreo regular aseguran protección continua contra amenazas de correo en evolución.

Para gestión comprensiva de DMARC y optimización automatizada de políticas, explore Skysnag Protect para agilizar su despliegue de autenticación de correo electrónico.