DMARC significa "Autenticación, notificación y conformidad de mensajes basados en dominios". Se trata de un protocolo abierto de autenticación, políticas e informes de correo electrónico que permite a los propietarios de dominios combatir los ataques de phishing.
¿Por qué debemos implantar DMARC?
El propósito de DMARC es proteger los dominios contra el uso no autorizado, conocido comúnmente como suplantación de correo electrónico, y ayudar a reducir el riesgo de ataques de Business Email Compromise (BEC), correos electrónicos de phishing, malware y otras actividades de ciberamenazas.
Utilice nuestro comprobador DMARC gratuito para realizar un análisis rápido que le informará del estado de su dominio, ya que examina DMARC, SPF y DKIM. A continuación, se le notificarán los siguientes pasos que debe seguir para lograr la conformidad.
¿Cómo de serio es esto?
La suplantación de identidad por correo electrónico elude cualquier medida de seguridad establecida, formación de empleados, SOC, 2FA, HTTPS, contraseñas seguras y cualquier otra cosa que ya esté establecida.
Los atacantes podrían inspeccionar fácilmente si el nombre de dominio de una organización puede ser suplantado consultando el DNS para los registros públicos. Si no existe DMARC enforcement , un nombre de dominio puede ser suplantado.
Los atacantes se aferran a la buena reputación del dominio de una empresa para enviar correo basura y, en ocasiones, ataques directos de suplantación de identidad; continúan haciéndolo hasta que el dominio acaba en una lista negra.
¿Resultado?
Spam y basura.
El spam y el correo basura se han convertido en un misterio para muchas empresas, hasta el punto de que toman la medida de informar a sus clientes de que comprueben sus carpetas de correo basura/Spam. Si un correo electrónico es válido, siempre debe ir a parar a la carpeta Bandeja de entrada y nunca a otra parte.
¿Por qué no tiene ya todo el mundo DMARC?
Cuando se creó el correo electrónico hace mucho tiempo, nadie esperaba que en el futuro terceros remitentes de correo enviaran un mensaje en su nombre. SMTP nunca tuvo autenticación, lo que hizo posible la suplantación de identidad y el spoofing, permitiendo a los atacantes enviar correos desde cualquier nombre de dominio.
Los estándares de seguridad SPF, DKIM y DMARC se introdujeron para corregir esta laguna. Pero la corrección tenía que hacerse en el DNS, sólo por los propietarios de los dominios, y requería numerosas acciones de supervisión, lo que lo convertía en un reto y consumía mucho tiempo, dejando sin configurar al 90% de las empresas actuales.
¿Por qué ocurre esto?
Uso excesivo de su nombre de dominio de forma no autorizada, lo que significa que los suplantadores envían correos electrónicos desde su dominio en masa.
Sus correos electrónicos están siendo enviados desde remitentes de correo estando mal configurados.
Skysnag le ayuda a descubrir el siguiente nivel de autenticación autónoma del correo electrónico al tiempo que se ocupa de la reputación de su dominio, la configuración de DMARC enforcement y la alineación SPF/DKIM, todo ello de forma automatizada.
Recupere su reputación de correo electrónico y asegúrese de que todos los mensajes que se envían desde su nombre de dominio están autenticados.
El protocolo DMARC ofrece múltiples opciones y niveles de aplicación de políticas:
1. Controlar la política: p=ninguno
En p=ninguno es una política de monitorización que no realiza ninguna acción cuando DMARC falla, pero que permite al propietario de un dominio obtener información sobre lo que está ocurriendo en su dominio. Es la política con la que empiezan todos los propietarios de dominios y marca el camino hacia el estado ideal DMARC enforcement .
2. Política de cuarentena: p=cuarentena
Se trata de una política más estricta que la política de monitorización, por la que el propietario de un dominio puede establecer un porcentaje de cuántos correos electrónicos que no superen las comprobaciones DMARC pueden llegar a la bandeja de entrada y cuántos otros pueden ir a parar a la carpeta de spam. Probablemente haya visto algunos dominios con un porcentaje del 30%. p=cuarentenalo que significa que el 30% de los correos electrónicos que no superen el DMARC llegarán a las bandejas de entrada de los destinatarios. Los propietarios de dominios suelen empezar con un porcentaje bajo, pero a medida que adquieren más confianza en que no perderán un buen correo electrónico, el porcentaje aumenta.
3. Política de rechazo: p=rechazar
Esta política es la política definitiva que todo dominio debería alcanzar. Es la política que rechaza todos los correos electrónicos que no superan las comprobaciones DMARC y garantiza que todos los demás correos electrónicos se autentiquen correctamente con DMARC y se entreguen en la carpeta Bandeja de entrada del destinatario.
¿Por qué falla DMARC?
DMARC puede fallar debido a dos razones principales:
O bien el registro DMARC está mal configurado o el nombre de dominio está siendo utilizado por atacantes. Vamos a profundizar en esto.
1: Fallos de alineación DMARC
DMARC utiliza [alineación del identificador] para asegurarse de que el mensaje procede del dominio especificado en el campo "De" de la cabecera del correo electrónico. Este proceso puede ser posible si sus registros DKIM y SPF están configurados correctamente.
Si tus registros están mal configurados, DMARC fallará incluso para correos auténticos, así que asegúrate de que tu registro SPF tiene la IP de tu dominio remitente y si hay algún tercero enviando en tu nombre, que esté incluido en tu SPF. En cuanto a DKIM, asegúrese de que la clave de su dominio coincide con la clave de la cabecera From.
Para que DMARC pase, SPF o DKIM tienen que estar alineados y puedes establecer los modos de alineación en estricto y relajado. Cuando configure los modos de alineación en estricto y moderno y envíe correos electrónicos desde un subdominio, asegúrese de permitir el permiso explícito para la autenticación desde su subdominio.
2: Reenvío de correo electrónico
Los correos electrónicos pasan por un servidor intermediario cuando se reenvían. Durante este proceso, el SPF debe fallar ya que la dirección IP del servidor de reenvío no coincide con el SPF del dominio original.
La función de DKIM en este caso es hacer que la firma digital del correo electrónico coincida con la firma de clave pública que comprueba el servidor receptor.
Sí, DKIM no se preocupa por IPS ya que comprobará el DNS del receptor que es una constante y por lo tanto no falla. Asegurarse de que los registros SPF y DKIM están correctamente configurados y analizar los informes DMARC es crucial para evitar problemas de entregabilidad con los correos electrónicos reenviados.
3: Faltan fuentes de envío en DNS
Cuando usted hace cumplir DMARC, es una necesidad agregar los registros de cualquier servicio de envío de terceros que envíe correo electrónico en su nombre a su DNS, ya que la autenticación fallará debido a la falla en la alineación SPF como MTA no encontrará las IPs de envío en sus registros, resultando en la falla de autenticación de mensajes legítimos. Para solucionar esto, Skysnag automatiza la adición de sus direcciones IP válidas para evitar fallos en la alineación SPF.
Conclusión
El software automatizado de Skysnag protege la reputación de su dominio y mantiene a su empresa alejada de correos electrónicos comerciales comprometidos, robos de contraseñas y pérdidas financieras potencialmente significativas. Desbloquee información, evite los problemas de configuración de autenticación de correo electrónico, incluidos SPF y DKIM, y proteja su dominio de la suplantación de identidad con la estricta DMARC enforcement, todo ello de forma autónoma con Skysnag. Comience con Skysnag y regístrese utilizando este enlace para obtener una prueba gratuita hoy mismo.
Compruebe el cumplimiento de la seguridad DMARC de su dominio
Aplique DMARC, SPF y DKIM en días, no en meses
Skysnag ayuda a los atareados ingenieros a aplicar DMARC, responde a cualquier error de configuración de SPF o DKIM, lo que aumenta la capacidad de entrega del correo electrónico, y elimina la suplantación de identidades y el spoofing del correo electrónico.
