¿Cómo crear un registro DMARC para tu DNS con EasyDMARC?

Un registro DMARC puede ayudar a mejorar la reputación de tu sitio web asegurando que cada correo que envías de tu dominio esté verificado y autenticado. Las políticas DMARC funcionan como una serie de protocolos cuya meta es la optimización del envío de correos, la prevención de robos de identidad, y ataques tipo phishing. Nos toca preguntar ahora ¿qué es DMARC? Es una herramienta que nos ayuda a establecer lineamientos para lidiar con mensajes de correo que no se alinean con las políticas publicadas en nuestros DNS.  Primero debes asegurarte que tus políticas SPF y DKIM han sido debidamente configuradas y que están trabajando sin problemas.  Un error común en la aplicación de estás crea el riesgo instantáneo de fallo en el envío de tus mensajes o incluso el incremento de ataques phishing. 

A continuación, te mostraremos cómo crear un registro DMARC usando la herramienta generadora de EasyDMARC.

¿Qué es un registro DMARC?

Es un registro en formato .TXT, qué puede ser publicado en tu DNS para determinar lo qué sucede cuando un mensaje falla en cumplir ciertos criterios de verificación. En otras palabras, si los servidores del destinatario no pueden verificar qué los correos que entran son del remitente qué indican ser, estos fallaron el chequeo DMARC

Los registros DMARC ayudan a los servidores a comunicarse entre ellos para verificar su autenticidad.  También le permite a cualquier servidor de nueva data aceptar o rechazar un mensaje, enviarlo a cuarentena (al buzón de spam), o permitir que llegue al buzón de entrada. Un registro DMARC público también puede enviar reportes a un usuario autorizado con información y datos referente al flujo de mensajes que están siendo rechazados y los que llegan a sus destinatarios.

Esto beneficia de una forma importante tú capacidad para enviar correos electrónicos, así como la reputación de tu dominio.  Sin una buena política DMARC, los criminales cibernéticos pueden hacer contacto con tus clientes pretendiendo ser tú. 

Una vez publicados, los registros DMARC pueden ser utilizados para anunciarle al servidor de un destinatario qué es lo que debe hacer sí detecta alguna actividad sospechosa.  Si el dominio no tiene un registro DMARC público, entonces el servidor del destinatario determinará por su cuenta lo qué debe hacer con cualquier mensaje que pueda parecer malicioso.

Ejemplo de un registro DMARC público

Un registro DMARC está constituido por el nombre de un servicio de hospedaje y una serie de valores emparejados en forma de etiquetas.  El servicio de hospedaje se refiere al nombre del dominio del correo electrónico.  El valor de la etiqueta se presenta con la configuración “p=” y el valor correspondiente, el cual puede incluir valores como “none” (ninguno).  Estos dos componentes son emparentados para decirle a los servidores de correos de los destinatarios qué deben hacer con el mensaje. El mensaje que te mostramos a continuación en el ejemplo posee tres pares de etiquetas con sus valores respectivos:

v=DMARC1; p=none; rua=mailto:[email protected]

Cómo puedes ver en este ejemplo, las tres etiquetas son “v,” “p,” y “rua.”  Estos tres valores son “DMARC1” “none” y “mailto:[email protected]” donde la etiqueta “v” se refiere a la versión de DMARC que tienes en uso. La “p” se refiere al tipo de política a aplicar (específicamente lo que quieras que suceda con los correos que llegan a tu bandeja de entrada si no pasan el chequeo DMARC), y por último la etiqueta “rua” nos sirve para referirnos a la dirección de correo a dónde serán enviados todos los reportes DMARC que monitorean el flujo de correo.

Para más información acerca de cómo publicar tu registro DMARC en EasyDMARC, te invitamos a que chequees nuestros artículos sobre el tópico disponibles en nuestro sitio web.

Cómo crear un registro DMARC directamente en el DNS con la herramienta generadora de EasyDMARC

Puedes usar la herramienta generadora de registros DMARC, en la página web de EasyDMARC Para generar tu registro de forma gratuita siguiendo estos sencillos pasos:

  1. Ve a la página Qué contiene la herramienta generadora de registros DMARC haciendo clic aquí.
  2. Ahora haz clic en el botón que dice “generador DMARC” a la derecha de la pantalla.
  3. Agrega el tipo de política qué deseas aplicar (puedes elegir entre “none,” “quarantine,” y “reject”)
  4. Elige el tipo de reporte por agregaduría qué deseas recibir (por ejemplo: mailto:[email protected])
  5. También puedes elegir el tipo de política aplicar en todos tus subdominios (tienes disponibles las opciones “ninguno”, “monitoreo”, “cuarentena”, y “rechazo”)
  6. Después puedes elegir la alineación de identificación de tu registro SPF (solo puedes elegir entre “relajado” o “estricto”)
  7. Ahora puedes elegir la alineación identificación con tu registro DKIM (de nuevo, solamente tienes las opciones “relajado” o “estricto”)
  8. Ahora puedes elegir el porcentaje a aplicar de la política a tu flujo de correo (el porcentaje se refiere al número de mensajes enviado por los dueños de un dominio a través del flujo principal de correo, sobre la cual se aplica la política DMARC; la configuración usual es de un 100%)
  9. También tienes la opción de elegir los intervalos entre los cuales recibes tus reportes (está configuración de solicitudes puede ser de segundos hasta reportes por agregaduría, la configuración estándar es de 86.400)
  10. También es posible elegir a dónde quieres que sean enviados los reportes qué indican los fallos (por ejemplo: mailto:[email protected]
  11. Es posible configurar la manera de recibir los reportes de fallos:  puedes determinar el tipo de reportes qué son enviados.

Tipos de políticas

Los tipos de políticas se refieren a los protocolos que deben ser activados por el dominio del remitente a solicitud del dueño del dominio principal. Estás políticas se aplican a los dominios y subdominios de tu página, a menos que las políticas de los subdominios sean diferentes. Los reportes por agregaduría se refieren a una dirección de correo en la que quieres almacenar todo el feedback que te sea enviado. Puedes incluir en esta lista tantas direcciones de email como creas conveniente, pero todas deben estar separadas por una coma.

Los tipos de políticas para subdominios se refieren a los protocolos que son activados cuando los correos recibidos a solicitud del dueño de un dominio.  Ésta se aplica exclusivamente a los subdominios y nunca al dominio principal.  Es necesaria la identificación de la alineación con la política SPF y el protocolo DKIM para la identificación de las líneas de la alineación necesaria, la cuál puede ser tan estricta cómo sea tu política DMARC.  El dueño del dominio tendrá la necesidad de configurar estas acciones, ya que las configuraciones por defecto son conocidas por ser muy relajadas.  Afortunadamente estás pueden ser cambiadas para ser tan estrictas como sea posible.  También podrás recibir los reportes de fallo de aplicación de la política DMARC en tu correo electrónico, el cual deberá estar listado y separado con comas de otros correos en la sección de reportes de fallas.

Para una exploración más detallada acerca de las etiquetas DMARC, puedes dirigirte a este artículo en nuestro sitio web. 

En este ejemplo que puedes ver a continuación, hemos generado un registro DMARC en modo de monitoreo usando el comando (p=none) qué a su vez solicita identificación de alineaciones con los protocolos SPF y DKIM en modo estricto.  También hemos incluido una dirección de EasyDMARC en las etiquetas “rua” y “ruf” Qué le permitirán a EasyDMARC manejar los complejos archivos DMARC.XML que recibe, para convertirlos en datos que sean entendibles para el ojo humano y que puedan ser analizados directo desde tu cuenta. 

dmarc-record-generator

Una cuenta EasyDMARC es bastante fácil de utilizar y puede ayudarte a administrar tus reportes DMARC.  Puedes configurarla para que te envíe alertas y notificaciones de cualquier aspecto que necesite tu atención. También puedes utilizar la herramienta de chequeo para la reputación de direcciones IP o dominios, y así apreciar si tu página web ha sido incluida en alguna lista negra.  Esto también puede ayudarte a mejorar tú capacidad de envío de correos y proteger los datos sensibles de tu compañía y de tus clientes. También tienes disponible una herramienta para el escaneo de dominios qué te permite apreciar qué tan vulnerable es tu página web ante ataques phishing. Para hacer uso de esta solamente debes loguearte a tu cuenta e ir a tu tablero de inicio para apreciar todas las formas de protección qué ofrece EasyDMARC sin que tengas que lidiar con procesos complejos para el uso de las políticas DMARC

¿Cómo evitar los mensajes qué indican la no presencia de registros DMARC?

Si llegas a tener un mensaje qué indica que no hay presencia de registros DMARC para tu página web, lo único que debes hacer es dirigirte a la herramienta generadora de EasyDMARC y crear un registro nuevo.  Si estás generando este tipo de registro por primera vez, entonces debes configurar tú política usando el comando p=none.  Esto le permite a tu política DMARC activarse en modo de monitoreo sin afectar tu flujo de correos de ninguna manera.

De este modo todavía te será posible recibir reportes DMARC para que puedas estudiar los datos contenidos en estos y determines cuáles correos resultan cuestionables para tus clientes. 

También puedes usar estos reportes para determinar qué tan estricta debe ser la configuración de tu política. Aquellos que usan la política DMARC por primera vez, necesitan recibir todos los reportes de agregaduría en su buzón de entrada para que puedan acceder a estos de manera frecuente.  Puedes hacer esto al usar la etiqueta “rua” en la dirección de correo electrónico que recibe tus reportes.

Tips útiles para la creación de un registro DMARC en un DNS

Después de que uses el generador de registros gratuito EasyDMARC, debes asegurarte de chequear nuevamente el trabajo que has realizado para prevenir mensajes de error. Los registros DMARC públicos siempre se consiguen en tu DNS. Solo necesitas loguearte a la consola de manejo de tu DNS y añadir el registro (se puede hacer manualmente). También es posible utilizar la herramienta gratuita para el chequeo de políticas DMARC incluida en el sitio web de EasyDMARC.

Ten en mente que solamente un registro DMARC con una política p=reject te puede ofrecer el mayor nivel de protección contra los hackers, robos de identidad, y ataques phishing. Sin embargo, no te recomendamos activar el comando P=reject hasta que tu registro DMARC esté configurado de una forma profesional, ya que un fallo en esta configuración puede hacer que se pierdan correos con información valiosa sin que tú entiendas porque esto sucede.  En la página principal de EasyDMARC puedes chequear por todos estos problemas y entender en breve plazo porque obtienes mensajes de error. Solamente crea tu usuario y habla con un asistente profesional cuanto antes.

Conclusión

La creación de un registro DMARC en tu DNS es parte esencial de la protección total de tu dominio web (así como procurar la actuación de este tipo de políticas para el rechazo de mensajes maliciosos), sin registros DMARC tu correo electrónico queda expuesto a hackers, robos de identidad, y ataques phishing.  Comienza tu viaje en el uso de DMARC usando el modo de monitoreo (p=none), analiza todos los flujos salientes de correos, auténtica los con políticas SPF y DKIM, y sigue avanzando en la aplicación de otras políticas DMARC igual de útiles (tales como las de cuarentena y rechazo).

Puedes crear un registro DMARC de forma manual, pero este proceso puede quitarte tiempo y ser bastante confuso. Si usas la herramienta de generación de registros DMARC gratuitos qué ofrece EasyDMARC, tendrás la seguridad de qué tienes un protocolo de autenticación debidamente configurado con muy poco esfuerzo.  El generador de registros gratuito EasyDMARC te permite manejar múltiples opciones de control qué pueden ser estrictas o relajadas.  De esta forma puedes permitir que el flujo de correo envíe datos esenciales en los reportes generados.

 

Chequea nuestros artículos sobre otros temas similares:

Warum scheitert DMARC?

Autenticación SPF: SPF-all vs. ~all 

Autenticación SPF y DKIM en Salesforce

Cómo solucionar el aviso “No se consigue registro DMARC”

Configuración SPF y DKIM para Microsoft 365

 

¿Qué es una firma DKIM?

¿Qué es una firma DKIM?

En el año 2020, hubo un aumento vertiginoso en el uso de los correos...

Read More
Los 10 mejores canales de YouTube sobre seguridad cibernética

Los 10 mejores canales de YouTube sobre seguridad cibernética

Si tienes interés en iniciar una carrera en el desafiante mundo de la seguridad...

Read More
DMARC y su relación con las Instituciones Financieras de Sudáfrica

DMARC y su relación con las Instituciones Financieras de Sudáfrica

El sector financiero sudafricano, en especial los bancos, las compañías de préstamos y las...

Read More