¿Qué es DMARC?

DMARC son las siglas de «Domain-based Message Authentication, Reporting & Conformance». Se trata de un protocolo abierto de autenticación, política e información de correo electrónico que permite a los propietarios de dominios combatir los ataques de phishing.

¿Por qué debemos implantar DMARC?

El propósito de DMARC es proteger los dominios contra el uso no autorizado, conocido comúnmente como suplantación de identidad del correo electrónico, y ayudar a reducir el riesgo de ataques de Business Email Compromise (BEC), correos electrónicos de phishing, malware y otras actividades de ciberamenazas.

Utiliza nuestro Comprobador DMARC gratuito para realizar un análisis rápido que te informará del estado de tu dominio, ya que examina DMARC, SPF y DKIM. A continuación, se te notificarán los siguientes pasos que debes seguir para lograr la conformidad.

¿Hasta qué punto es grave?

La suplantación de identidad por correo electrónico elude cualquier medida de seguridad existente, formación de empleados, SOC, 2FA, HTTPS, contraseñas seguras y cualquier otra cosa que ya esté implantada.

Los atacantes podrían inspeccionar fácilmente si se puede suplantar el nombre de dominio de una organización consultando los registros públicos en el DNS. Si no se aplica DMARC, se puede suplantar un nombre de dominio.

Los atacantes se aferran a la buena reputación del dominio de una empresa para enviar correo basura y, a veces, ataques directos de suplantación de identidad; siguen haciéndolo hasta que el dominio acaba en una lista negra.

¿Resultado?

Spam y Basura.

El Spam y el Correo Basura se han convertido en un misterio para muchas empresas, hasta el punto de que toman la medida de informar a sus clientes de que comprueben sus carpetas de Correo Basura/Spam. Si un correo electrónico es válido, debería llegar siempre a la carpeta Bandeja de entrada y nunca a otra parte.

¿Por qué no tiene ya todo el mundo DMARC?

Cuando se creó el correo electrónico hace mucho tiempo, nadie esperaba que en el futuro terceros remitentes de correo enviaran un correo electrónico en tu nombre. SMTP nunca tuvo autenticación, lo que hizo posible la suplantación de identidad y el spoofing del correo electrónico, permitiendo a los atacantes enviar correo electrónico desde cualquier nombre de dominio.

Las normas de seguridad denominadas SPF, DKIM y DMARC se introdujeron para corregir esta laguna. Pero la corrección tenía que hacerse en el DNS, sólo por los propietarios de los dominios, y requería numerosas acciones de supervisión, lo que lo convertía en un reto y llevaba mucho tiempo, dejando sin configurar al 90% de las empresas actuales.

¿Por qué ocurre esto?

1. Uso excesivo de tu nombre de dominio de forma no autorizada, es decir, los suplantadores envían correos electrónicos desde tu dominio en masa.
2. Tus correos se están enviando desde remitentes de correo mientras están mal configurados.

Skysnag le ayuda a descubrir el siguiente nivel de autenticación de correo electrónico autónoma mientras se encarga de la reputación de su dominio, la configuración de aplicación de DMARC y la alineación de SPF/DKIM, todo de manera automatizada.

Recupera tu reputación de correo electrónico y asegúrate de que todos los correos que se envían desde tu nombre de dominio salen autenticados.

• Di no a la Basura.
• Di no al Spam.

Políticas de DMARC

El protocolo DMARC viene con múltiples opciones y niveles de aplicación de políticas:

1. Política de monitorización: p=ninguno

La p=none es una política de supervisión que no emprende ninguna acción cuando falla el DMARC, pero que permite al propietario de un dominio conocer lo que ocurre en su dominio. Es la política con la que empiezan todos los propietarios de dominios y marca el camino hacia el estado ideal de cumplimiento de DMARC.

2. Política de cuarentena: p=cuarentena

Se trata de una política más estricta que la política de monitorización, según la cual el propietario de un dominio puede establecer un porcentaje de cuántos correos electrónicos que no superen las comprobaciones DMARC pueden llegar a la bandeja de entrada y cuántos otros pueden ir a parar a la carpeta de spam. Probablemente hayas visto algunos dominios con un 30% de p=cuarentena, lo que significa que el 30% de los correos que no superen el DMARC llegarán a las bandejas de entrada de los destinatarios. Los propietarios de dominios suelen empezar con un porcentaje bajo, pero a medida que adquieren más confianza en que no perderán un buen correo electrónico, el porcentaje aumenta.

3. Política de rechazo: p=rechazar

Esta política es la política definitiva que todo dominio debe alcanzar. Es la política que rechaza todos los correos electrónicos que no superan las comprobaciones DMARC, y garantiza que todos los demás correos electrónicos se autentiquen correctamente DMARC y se entreguen en la carpeta Bandeja de entrada del destinatario.

¿Por qué falla DMARC?

DMARC puede fallar por dos motivos principales:

O bien el registro DMARC está mal configurado o el nombre de dominio está siendo utilizado por atacantes. Profundicemos en esto.

1: Fallos de alineación DMARC

DMARC utiliza [alineación de identificadores] para garantizar que el mensaje proviene del dominio que especificó en la sección «De» del encabezado del correo electrónico. Este proceso es posible si sus registros DKIM y SPF están configurados correctamente.

Cree una cuenta de Skysnag para generar su registro DMARC.

Si tus registros están mal configurados, el DMARC fallará incluso para correos auténticos, así que asegúrate de que tu registro SPF tiene la IP de tu dominio remitente y de que, si hay algún tercero enviando en tu nombre, está incluido en tu SPF. En cuanto a DKIM, asegúrate de que la clave de tu dominio coincide con la clave de la cabecera From.

Para que DMARC pase, SPF o DKIM tienen que estar alineados y puedes establecer los modos de alineación en estricto y relajado. Cuando configures los modos de alineación al moderno estricto y estés enviando correos electrónicos desde un subdominio, asegúrate de permitir el permiso explícito para la autenticación desde tu subdominio.

2: Reenvío de correo electrónico

Los correos electrónicos pasan por un servidor intermediario cuando se reenvían. Durante este proceso, el SPF debe fallar, ya que la dirección IP del servidor de reenvío no coincide con el SPF del dominio original.

El papel de DKIM aquí es hacer que la firma digital del correo electrónico coincida con la firma de clave pública que comprueba el servidor receptor.

Sí, a DKIM no le importa el IPS, ya que comprobará el DNS del receptor, que es una constante, y por tanto no falla. Asegurarse de que los registros SPF y DKIM están correctamente configurados y analizar los informes DMARC es crucial para evitar problemas de entregabilidad con los correos reenviados.

3: Faltan fuentes de envío en DNS

Cuando aplicas DMARC, es necesario añadir a tu DNS los registros de cualquier servicio de envío de terceros que envíe correo electrónico en tu nombre, ya que la autenticación fallará debido a un fallo en la alineación SPF, puesto que el MTA no encontrará las IP de envío en tus registros, lo que provocará un fallo en la autenticación de los mensajes legítimos. Para solucionar esto, Skysnag automatiza la adición de tus direcciones IP válidas para evitar el fallo en la alineación SPF.

Conclusión

El software automatizado de Skysnag protege la reputación de su dominio y mantiene su empresa alejada de correos comerciales comprometidos, robo de contraseñas y pérdidas financieras potencialmente significativas. Desbloquea ideas, evita problemas de configuración de autenticación de correo electrónico, incluidos SPF y DKIM; y protege tu dominio de la suplantación de identidad con la aplicación estricta de DMARC, todo de manera autónoma con Skysnag. Empiece con Skysnag y regístrese utilizando este enlace para obtener una prueba gratuita hoy mismo.

También te puede interesar:

¿Qué es el phishing? octubre 11, 2023

La Guía de DMARC octubre 12, 2023