Comprendiendo los informes DMARC

DMARC (autenticación de dominio basada en mensajes, reportes y conformidad) es una política que protege a empresas y organizaciones de los accesos a correos electrónicos empresariales (BEC, según sus siglas en inglés) y a su vez permite a los usuarios recibir informes DMARC por parte de los proveedores de servicios de correo.

DMARC es un protocolo de autenticación de correos diseñado para ofrecer a los dueños de dominios de correo la capacidad de proteger este de usos no autorizados, este tipo de fraude es comúnmente conocido como suplantación de identidad de correo (o spoofing). Dicho protocolo también permite a los dueños de dominios probar la autenticidad de sus mensajes de correo mientras aseguran a sus destinatarios que los mensajes recibidos por parte de su dominio son legítimos.

Comprendiendo los informes DMARC, EasyDMARC

Tu política DMARC también indica qué acciones deben tomarse contra los correos no aprobados (los cuales están potencialmente infectados de malware o son de índole fraudulento). Puedes profundizar tu conocimiento sobre DMARC con la normativa RFC7489.

Sigue leyendo este blog para entender por qué necesitas los informes DMARC con ejemplos y explicaciones específicas.

¿Por qué necesitas de una política DMARC?

Las políticas DMARC aparecieron por primera vez en el año 2012 como una herramienta contra el phishing; en este momento recibió el apoyo de proveedores de correo tales como AOL, Comcast, Gmail, Hotmail, Netease, Yahoo! Y otros servicios dependientes de flujos de correo tales como American Greetings, Bank of America, Facebook, Fidelity, JPMorgan Chase & Co., LinkedIn y PayPal.

Las políticas DMARC protegen a los dueños de dominios contra cualquiera consecuencia negativa relacionada a fraudes; sobre todo en este mundo tan acelerado y digitalizado como en el que vivimos hoy, los piratas informáticos y estafadores buscan y explotan con mucha rapidez cualquier debilidad en la seguridad cibernética de una empresa u organización; por lo que es necesario una política de DMARC para proteger tu empresa contra la pérdida de fondos, datos, reputación y clientes.

¿Cómo funciona DMARC?

DMARC funciona en base a dos protocolos de autenticación de correos: los registros DKIM y SPF. Los propietarios de dominios autorizan fuentes que se apoyan en las políticas DKIM y SPF para enviar correos autenticados.

Con DMARC, los propietarios de dominios pueden publicar una política que dicte con precisión cómo los destinatarios deben procesar los correos provenientes de dicho dominio. Por ejemplo, puedes publicar una política para rechazar todos los correos que no son autenticados desde tu dominio; después de publicar la política “reject”, nadie podrá enviar correos fraudulentos desde tu dominio.

Uno de los valores clave de la política DMARC es la “alineación de dominio”, debes comprobar si el dominio de la dirección de correo en la línea que identifica el remitente coincide con las identificaciones de verificación SPF y la firma DKIM. Si las coincidencias están alineadas, tu mensaje de correo es enviado al buzón del destinatario; de no ser así, el mensaje se procesa en base a la política DMARC publicada en el DNS:

  • “None”

Bajo esta política, no se toman medidas contra el mensaje no calificado y este llega al buzón del destinatario. Cómo duelo de dominio recibirás un informe con información detallada sobre el envío del mensaje, el cual puedes analizar para ver quién envía correos a tu nombre y si está autorizado para hacerlo.

  • “Quarantine”

El servidor de correo del destinatario envía el correo no calificado a la carpeta de spam; nuevamente recibirás informes que puedes continuar analizando con el fin de corregir el curso de tu estrategia de envió de mensajes.

  • “Reject”

Bajo esta política los correos no pasan la verificación DMARC y son rechazados, por lo que no caen en ninguna carpeta del buzón del destinatario.

Cuando configuras la política “Reject” de DMARC, es necesario asegurarse que todos aquellos que tienen permiso para enviar correos a tu nombre estén debidamente autenticados, de lo contrario, sus mensajes también serán rechazados; lo cual aplica también a los sistemas CRM y a los servicios de boletín que son entregados por correo electrónico.

¿Por qué son necesarios los informes DMARC?

Los mecanismos SPF y DKIM no garantizan una protección al 100% contra las estafas en línea, ya que incluso si todo tiene el formato correcto, es posible que mensajes de correos legítimos sean redirigidos. En ocasiones esto sucede porque la identificación del remitente no está autenticada debidamente; que los informes de errores de entrega no lleguen al remitente es otro problema común, por lo que cabe afirmar que esta tecnología no es perfecta.

Desde un principio se aplicó DMARC para la mejoría de los mecanismos de defensa contenidos en SPF y DKIM. El estándar se establece para verificar los flujos de correo entrante y garantizar que cada mensaje pase los controles establecidos por SPF o DKIM.

DMARC detalla el estado actual de tus programas de autenticación de correos mediante el envío de informes de DMARC a los buzones especificados en la política.

DMARC te permite detectar y prevenir correos fraudulentos que se identifican provenientes de tu dominio cuando no lo son, por lo que los informes DMARC son fuentes valiosas de información que puedes compilar fácilmente gracias a EasyDMARC.

Cuando publicas un registro DMARC, muchos ISP (es decir, sistemas de correo como Google, Comcast, Yahoo, etc.) te envían informes DMARC, presentados en un formato de texto .XML de plano comprimido que contiene una gran cantidad de datos valiosos. EasyDMARC analiza dichos informes y presenta los datos contenidos en estos de forma legibles mediante gráficos fáciles de entender.

Cuando publicas un registro DMARC en tu DNS, es necesario especificar la política que instruye a los servidores de correo con el debido proceder que deben seguir para deshacerse de los correos no autenticados, también puedes solicitar a los proveedores de correo que te envíen informes DMARC de forma directa.

Estos informes contienen información sobre tu flujo de correo saliente, la cual debes monitorear constantemente, ya que dicha información sirve para autenticar debidamente todas tus fuentes de correo legítimas.

 

Start Free Trial

 

Ejemplos y explicaciones de informes DMARC

DMARC entrega dos tipos de informes: informes por agregaduría e informes de fallas para fines forenses, ambos tipos de informes tienen diferentes propósitos.

Los informes por agregaduría contienen información sobre flujos grandes de mensajes de correo electrónico, entre estos:

  • Fuente de envío o PAGS
  • Fecha de envió 
  • Dominio u organización que envía el informe.
  • dominio SPF
  • Comprobación de alineación de dominio SPF: paso o fallo
  • Resultado de la autenticación SPF: none, neutral, approved, failed, mild failure, temperror o permerror
  • Dominio DKIM
  • Comprobación de alineación con el dominio DKIM: paso o fallo
  • Resultado de la autenticación DKIM: none, neutral, approved, failed, temperror o permerror 
  • Como disponer de los correos electrónicos falseados; (o la política aplicada por el destinatario): None, quarantine, reject

DMARC-Aggregate-Report-Example

Ejemplos de datos analizados en base a un reporte de agregaduría DMARCLos informes de errores con fines forenses contienen toda la información pertinente a mensajes de correo individuales, entre estos:

  • Envío de la IP de origen
  • Envío de la dirección de correo electrónico
  • From: o dirección del correo del destinatario
  • Asunto del correo electrónico
  • Resultados de la autenticación SPF y DKIM
  • Hora de recepción
  • Información detallada de los encabezados de los correos electrónicos; incluyendo: host de envío, identificación del mensaje de correo, firma DKIM y otra información personalizada del encabezado 

DMARC-Failure-Report-Example

Un ejemplo de los datos analizados en un Informe de fallas DMARC

Los informes de fallas contienen información de identificación personal (PII) ya que, debido a problemas de privacidad, muchos proveedores, incluyendo a Gmail, han dejado de emitir informes de fallas de DMARC. Solo unos pocos proveedores en el mercado actual envían informes de fallas, incluido LinkedIn.

Solicitud para enviar informes por agregaduría 

Si deseas que los informes por agregaduría de DMARC sean enviados a tu dirección de correo electrónico, específica está en la etiqueta “rua” de tu registro DMARC.

Por ejemplo, si desea que se envíen informes por agregaduría a tu panel de EasyDMARC, deberías publicar un registro DMARC como este:

v=DMARC1; p=none; rua=mailto:[email protected];

Solicitud para enviar informes de fallas

Para recibir informes de fallas forenses de DMARC, puedes solicitar su envío a una dirección de correo de fácil acceso.

Por ejemplo, si deseas solicitar informes de fallas enviados a tu panel de control EasyDMARC, puedes publicar un registro DMARC que incluya la etiqueta “ruf”, como este:

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]

DMARC es una excelente herramienta para monitorear tu infraestructura de correo saliente, además de ayudarte a comprender cómo los proveedores reciben y procesan tus correos electrónicos. En base a esto, puedes mejorar tus volúmenes de entrega y recuperar al menos el 5% de tu base de datos de correo, además de analizar quienes no reciben tus mensajes por razones técnicas.

El servicio de atención al cliente de EasyDMARC te asiste en la configuración de políticas DMARC para tu compañía.

Si eres un usuario de EasyDMARC, simplemente comunícate a través de nuestro servicio de chat de soporte. Si no eres cliente aún, ¡regístrate en EasyDMARC hoy!

¿Qué es una firma DKIM?

¿Qué es una firma DKIM?

En el año 2020, hubo un aumento vertiginoso en el uso de los correos...

Read More
Los 10 mejores canales de YouTube sobre seguridad cibernética

Los 10 mejores canales de YouTube sobre seguridad cibernética

Si tienes interés en iniciar una carrera en el desafiante mundo de la seguridad...

Read More
DMARC y su relación con las Instituciones Financieras de Sudáfrica

DMARC y su relación con las Instituciones Financieras de Sudáfrica

El sector financiero sudafricano, en especial los bancos, las compañías de préstamos y las...

Read More