Las violaciones de seguridad por correo electrónico cuestan miles de millones de dólares cada año, con un valor aproximado de $50.000 por cada ataque a pequeñas empresas y $3,86 millones por cada ataque de phishing para medianas empresas, esto se debe a que las brechas de seguridad están creciendo un 11% al año, por lo cual múltiples empresas están recurriendo a los Informes de conformidad y autenticación de mensajes de dominio (DMARC) para ayudar a detener este creciente número de eventos; pero, ¿cómo puedes comenzar a usar DMARC para ahorrarle dinero a tu empresa y aumentar la confianza de tus clientes? En esta guía definitiva, vamos a guiarte de la mano a través de todo lo que necesitas saber sobre DMARC, incluyendo qué es, cómo te ayuda a proteger tu negocio y tus clientes, y cómo puedes implementar DMARC.
¿Qué es DMARC?
Dicho en pocas palabras, DMARC es una estrategia de autenticación de correo electrónico que reduce los correos electrónicos fraudulentos, la cual funciona base de los estándares del marco de políticas del remitente (SPF) y las claves de identificación de dominio digitales (DKIM) para garantizar que los correos electrónicos alcancen el cumplimiento de ciertos protocolos de seguridad antes de dejarlos pasar a los buzones de entrada. Esto trae como resultado, que los correos electrónicos legítimos siempre lleguen a sus destinatarios, mientras que los correos fraudulentos o que pretendan hacerse pasar por tu dominio son bloqueados por completo.
DMARC funciona principalmente como un garante de la configuración del campo «from» (dirección del remitente) en el encabezado de tus mensajes sea consistente de dos maneras específicas.
Primero, usa SPF para asegurarse de que el dominio coincide tanto en el «encabezado de» como en la «ruta de retorno».
En segundo lugar, se asegura de que el dominio mencionado en el «encabezado de» coincide con el «d=nombre de dominio» contenido en la firma DKIM.
Si ninguno de ellos coincide, los correos electrónicos no llegarán a las bandejas de entrada de los destinatarios, también es posible configurar una política DMARC sólida que les indique a los proveedores de correo electrónico cómo manejar los correos enviados desde tu dominio; en este ámbito cuentas con tres opciones:
- Que acepte todos los correos, independientemente de si la verificación de DMARC ha pasado o no.
- Que envíe los correos fallidos a Spam.
- Que rechace los correos fallidos por completo
¿Qué problemas resuelve DMARC?
En última instancia, DMARC reduce la cantidad de spam o correos electrónicos fraudulentos que pueden llegar a las bandejas de entrada de TUS CLIENTES que lucen como si hubieran sido enviados por tu dominio.
Por lo tanto, al proteger tu dominio con DMARC, esencialmente estás protegiendo tu marca y la reputación de tu empresa.
¿Qué problemas no resuelve DMARC?
El concepto erróneo más común que existe sobre DMARC es que este reduce la cantidad de spam que recibes en tu buzón, lo cual no es realmente correcto.
De hecho, DMARC reducirá la cantidad de correos falsificados/fraudulentos, enviados a nombre de tu dominio, los cuales pudiesen llegar a los buzones de tus clientes.
Para reducir el spam entrante, debes tener un sistema de detección de spam sólido y debidamente configurado.
DMARC no detiene todos los tipos de ataques con phishing, por lo que los usuarios son los que necesitan tener cuidado con las solicitudes de información personal; siempre es bueno recordar que la mayoría de las empresas de renombre no se comunican contigo por correo electrónico, menos aún para solicitar detalles de tarjetas de crédito, información bancaria, contraseñas o números de seguro social; un protocolo DMARC evita la suplantación de dominios en los que confías, como por ejemplo «mybank.com».
Sin embargo, muchos ataques de phishing tienen éxito usando dominios «parecidos», si nos basamos en el ejemplo anterior, es posible que no te envíen la correspondencia maliciosa desde «mybank.com», pero podrían enviarla desde «mybank.us» o «mybanks.com» o dominios que se parecen mucho al dominio original con el cual interactúas constantemente, el hecho es que los spammers y piratas informáticos suelen ser sofisticados y capaces de falsificar las firmas normales de los mensajes, por lo que el correo electrónico luce idéntico al de la empresa real.
Otra práctica común que puedes observar en estos correos electrónicos fraudulentos es dirigir a sus víctimas a un enlace en un sitio web falsificado, específicamente a un dominio donde «aparentemente», puedes pagar una factura fraudulenta, proporcionar una contraseña o ingresar otro tipo de información personal.
Esto trae como resultado, que los consumidores deben siempre estar al tanto de sus correos electrónicos, especialmente de aquellos que son potencialmente problemáticos. Lo más aconsejable que debes hacer al momento de toparse con un correo de este tipo es evitar interactuar con este buscando confirmar la legitimidad del mensaje, lo mejor es buscar el número de teléfono real de la institución en línea y llamar directamente al contacto en dicha institución.
Por qué necesitas DMARC
Cuando los correos electrónicos fraudulentos llegan a las bandejas de entrada de tus clientes, existen todo tipo de peligros inherentes, desde el robo de identidad hasta el robo total de fondos u otra información; esto es particularmente preocupante cuando los correos electrónicos parecen provenir de alguien confiable, ya sea tu banco, el IRS o un socio comercial.
Los principales beneficios de utilizar DMARC se reducen a:
- Como dueño de una marca puedes hacer que todos sepan que tu empresa está siguiendo las mejores prácticas de autenticación de correo electrónico, lo cual genera confianza con tus clientes, pero también crea una señal de alerta para que los posibles estafadores sepan que tu marca es difícil de falsificar, por lo que les resulta mejor pasar tu empresa por alto y enfocarse en objetivos más fáciles.
- Si eres propietario de un dominio, puedes recibir comentarios sobre las direcciones que utilizan tu dominio para enviar correos electrónicos.
- Tu marca puede establecer pautas sobre lo que debe suceder con los correos electrónicos que no son aprobados en sus chequeos de seguridad.
- Los consumidores pueden confiar en que la empresa que envía el correo electrónico representando tu marca es quien dice ser.
Básicamente, puedes pensar en DMARC como una especie de súper policía de tráfico para las bandejas de entrada de tus clientes, cuyo objetivo principal es asegurarse de que las personas sigan sus reglas.
Mitos sobre DMARC
Ahora que ya sabes lo qué es DMARC y por qué lo necesitas, es hora de disipar algunos de los principales mitos que rodean las políticas DMARC.
Mito #1: DMARC bloquea todos los ataques de correo electrónico
Aunque ya explicamos esto en una sección previa, podemos revelar mayores detalles aquí, un protocolo DMARC bien configurado garantiza que los destinatarios de tus correos electrónicos puedan saber si los mensajes que reciben provienen de una persona real en tu dominio o si fue enviado por alguien con malas intenciones.
Las palabras importantes aquí son «en tu dominio», ya que este ayuda a proteger a los consumidores de correos electrónicos falsificados, en otras palabras, tu proveedor de servicios de correo será capaz de detectar que los correos enviados han sido falsificados y que incluso si parecen originarse en tu dominio, son totalmente fraudulentos.
DMARC, sin embargo, no protege contra esquemas de phishing «similares», con una gran diferencia que vale la pena resaltar aquí, ya que si un estafador envía un correo electrónico de [email protected] y tienes tus protocolos DMARC correctamente configurado, el proveedor de servicios de correos pondrá en cuarentena o rechazará ese mensaje; sin embargo, si el correo proviene de [email protected], el proveedor de servicios de correos no podrá saber si el correo se envió desde una fuente legítima o no.
Del mismo modo, si una contraseña se ve comprometida y alguien piratea tu servidor de correo electrónico real, DMARC por sí solo no resolverá el problema de phishing.
Mito #2: Configurar DMARC te protege automáticamente
DMARC es uno de los protocolos de seguridad de correo electrónico más reconocidos en todo el mundo, con miles de millones de direcciones de correo electrónico que lo respaldan, razón por la cual configurar un registro DMARC, no solo es una estrategia comúnmente aceptada, sino que también debería protegerte contra todo riesgo, ¿verdad?
La verdad es que configurar un registro DMARC es solo una parte de la ecuación, ya que, aunque este brinda a los destinatarios de tus correos la información que necesitan para verificar tu dominio, no te lleva hasta la línea de meta de la consolidación de tu protección en línea. Para obtener la protección absoluta de una estrategia DMARC, es necesario especificar qué deseas hacer con los correos electrónicos que no pasan la prueba; por ejemplo, si deseas que los correos electrónicos cuestionables sean puestos en cuarentena o rechazados, debes asegurarte de que tu registro así lo indique. Una asombrosa mayoría de marcas que emplean DMARC no establecen una política sobre qué hacer con estos correos electrónicos, razón por la cual, no están tan bien protegidos como podrían estarlo al actualizar esta configuración debidamente.
Mito #3: solo necesitas DMARC para el envío de correos electrónicos desde tu dominio
Es fácil entender por qué algunas personas podrían pensar que esta afirmación es correcta, después de todo, si no estás enviando correos electrónicos desde un dominio, no necesitas preocuparse si estás siendo suplantado, ¿verdad?
La dura verdad es que los piratas informáticos se las ingenian para falsificar cualquier dominio, independientemente de si este se utiliza para enviar correos electrónicos, por lo que corresponde configurar DMARC debidamente en todos tus dominios para proteger tu marca, además, si existe la posibilidad de que alguna vez desees enviar correos electrónicos desde un dominio en particular, lo más lógico es que querrás asegurarte de que no estarás luchando con un actor externo que lo ocupe para dañarte lo cual te puede llevar a tener que invertir en recursos para recupérate de una mala reputación de dominio.
Mito #4: DMARC es una excelente solución para configurar y olvidarte de la seguridad de tus correos electrónicos
Si ya tienes tus políticas SPF y DKIM configuradas, y tus protocolos DMARC están configurados también, simplemente es hora de descansar y relajarse en lo que respecta a la seguridad de tu correo electrónico de aquí en adelante, ¿no es así?
No exactamente, de hecho, siendo realistas, este es solo el primer paso, ya que a largo plazo deberás asegurarte de mantener la seguridad de tu correo electrónico y de las direcciones IP que usan tus aplicaciones SaaS de terceros. Cada vez que realices un cambio en tu servicio de marketing por correo, o registres un nuevo dominio, tus políticas DMARC deberán, como mínimo, volver a ser examinadas, al punto que lo más probable es que deban ser actualizadas, además, ¿cómo monitorearás los datos de tus informes DMARC y lucharás contra los estafadores que intentan falsificar tu dominio? Ahí es donde un servicio administrado de DMARC como EasyDMARC es la solución ideal para su empresa.
Mito #5: DMARC es fácil de implementar
Todo lo que tienes que hacer para configurar DMARC es agregar un registro a la configuración de DNS en tu dominio, luego identificar un correo electrónico para enviar los registros y eso es todo, ¿verdad? Si y no, aunque la afirmación es correcta, desafortunadamente, la realidad es que no es tan simple, a menos que realmente sepas lo que estás haciendo.
A decir verdad, esa es la belleza de un servicio DMARC administrado tal como EasyDMARC, ya que nuestra empresa hace que este proceso sea fácil para las marcas que trabajan con nosotros, nos encargamos de gestionar este quebradero de cabeza por ti. Después de todo, los informes no solo pueden ser difíciles de entender, sino que no siempre es fácil comparar las direcciones IP con las personas que envían correos electrónicos legítimos desde tu dominio; a decir verdad, es probable que no te des cuenta de lo intrincado que es tu sistema de correo electrónico, especialmente si tienes múltiples dominios e integraciones SaaS, y potencialmente más de un proveedor de servicios de correos electrónicos.
Además, cuando configuras tus protocolos SPF y DKIM, debes tener en cuenta toda esta información, así como las direcciones IP asociadas, para implementar esta configuración con éxito.
Cómo agregar DMARC paso a paso
Paso 1: Configura tu registro SPF
DMARC requiere SPF y DKIM para funcionar, por lo que el primer lugar para comenzar es la configuración de tu registro SPF, antes de comenzar, querrás asegurarte de conocer tu dirección IP.
Luego, debes abrir tu configuración de DNS y cree un nuevo registro TXT:
v=spf1 a mx ip4:xxx.xxx.xxx.xxx -all
Guarda la configuración, esta puede tardar una hora en surtir efecto.
A partir de ahí, querrás comprobar tu registro SPF en tu DNS para asegurarte de que esté ha sido configurado correctamente.
Paso 2: configura tu registro DKIM
Cuando utilizas un servicio de correo electrónico externo, es posible que tengan una función para ayudarte a configurar DKIM, te aconsejamos seguir los pasos descritos para su implementación y luego, como parte de su protocolo de autenticación de dominio, es posible que te proporcionen algunos registros DNS adicionales. Al igual que la configuración de los registros SPF, debes agregar un nuevo registro TXT para cada clave que te proporcionen y publicarlas siguiendo sus instrucciones, es necesario repetir este proceso para cada servicio de terceros que uses para enviar correos electrónicos.
Una vez más, esto puede tardar una hora en surtir efecto, así que verifica que estén configurados correctamente antes de continuar.
Paso 3: publica tu registro DMARC
Una vez que ya hayas configurado SPF y DKIM, ya estarás listo para configurar DMARC, solo debes regresar a tu consola de configuración de tu DNS y crear un nuevo registro TXT.
Para el valor, querrás usar:
“v=DMARC1; p=none; rua=mailto:[email protected]”
El valor de v nunca cambiará; siempre debe ser DMARC1.
El valor de p es lo que deseas que hagan los servidores de correo con los mensajes que no pasan la verificación del protocolo DMARC.
- p=none no se toma ninguna acción
- p=quarantine usado para desviar al buzón spam
- p=reject para rechazar los mensajes de spam por completo
Para proteger completamente tu dominio, querrás configurar q o r, sin embargo, si te estás iniciando en el uso de las políticas DMARC, es mejor que elijas none hasta que verifiques que todo funciona correctamente.
El valor de RUA es la dirección de correo donde deseas recibir los informes sobre el rendimiento de tu correo electrónico.
Una vez que hayas creado el registro, solo queda hacer clic en publicar; como ya hemos dicho anteriormente, es posible que debas esperar una hora para que la configuración surta efecto.
Paso 4: Revise los informes para confirmar la configuración
Ahora debes esperar que los informes de DMARC comiencen a aparecer para poder revisarlos y así medir el rendimiento de tus correos electrónicos.
Como mencionamos anteriormente, comprender los informes no siempre es fácil, por lo que aquí es donde es necesario (además de útil) emplear un servicio DMARC administrado como EasyDMARC como una extensión de tu equipo. Restructuramos estos informes altamente técnicos en un formato que puedas entender fácilmente, ¡también nos ocuparemos de todos los detalles escabrosos por ti, por lo que el análisis y la corrección de la política serán un esfuerzo verdaderamente indoloro para tu empresa!
Paso 5: Supervisa tus correos electrónicos
Verifica para asegurarte de que todos tus correos electrónicos sean auténticos y están llegando a la audiencia correcta, también asegúrate de monitorear y confirmar que tu configuración de SPF y DKIM sean correctas, si consigues errores, vuelve a ingresar a la consola de tu DNS y asegúrate de los registros TXT estén configurados correctamente.
Si crees que necesitas ayuda con este procedimiento, es una buena idea trabajar con una solución administrada como EasyDMARC desde el principio, en nuestra empresa te ayudaremos y guiaremos en todo lo que necesites para arreglar tu configuración DMARC, de hecho, en menos de 20 minutos, podemos alcanzar tu protección de correo al rango más fuerte.
Una vez que tu configuración de correo electrónico esté funcionando correctamente durante algunos meses, es buen momento para actualizar tu registro DMARC a la configuración de cuarentena («q») y, una vez más, después de que funcione correctamente durante varios meses, actualizar esta configuración nuevamente a para rechazar («r»).
La razón por la que quieres adoptar un enfoque escalonado para el ajuste de esta configuración es con el fin de asegurarse de que ningún correo electrónico se marque falsamente como legítimo y viceversa.
Paso 6: Monitoreo Continuo
Aunque tu configuración está completa, DMARC no es una solución para ser configurada y olvidada, ya que es importante seguir monitoreando tus correos e informes para asegurarse de que todo funcione correctamente, además, a medida que tu organización crece y cambia, o comienza a trabajar con nuevos proveedores de correos, será necesario revisar tu configuración para garantizar envíos de correos electrónicos de manera óptima.
Otras consideraciones que deben tenerse con respecto a DMARC
Así como debes configurar los registros DNS al configurar tus registros SPF y DKIM, también necesitas tener registros DNS inversos, lo cual, en última instancia, les brinda a los proveedores de servicios de correo electrónico una forma de comparar tu dirección IP con tu nombre de host, lo que a su vez. hace que sea menos probable que bloqueen tus correos electrónicos.
La línea de fondo
Emplear protocolos DMARC es una necesidad absoluta, ya que te mantiene a la vanguardia como marca, más allá de eso, es absolutamente crítico tomarse el tiempo para hacerlo de la manera correcta. Cualquier cosa menor potencialmente significa menos confianza por parte del consumidor, así como menos correos entregados y, lo peor de todo, un dominio falsificado que desprestigia tu marca y socava la seguridad de tus clientes.
Sin embargo, a pesar de lo ocupados que puedan estar tú y tu equipo, agregar «una cosa más» a tu lista de tareas pendientes puede ser difícil de digerir, por lo que probablemente necesites encontrar una manera de comprender los informes que no están en un lenguaje sencillo. Si esto suena a una situación que puede abrumar al personal de tu empresa, entonces trabajar con un servicio como EasyDMARC es la solución perfecta para ayudar a prevenir el phishing y el fraude, mientras mantienes la confianza de tus clientes e incrementar la reputación de tu marca.