DMARC es un acrónimo para “Domain-based Message, Authentication, Reporting and Conformance” o como les llamamos en español: Informes de conformidad y autenticación de mensajes de dominio, pero, ¿qué es DMARC en términos prácticos?
DMARC es un protocolo de autenticación de correo electrónico abierto que protege el dominio del correo electrónico de tu empresa contra cualquier intento de suplantación de identidad y fraude.
La implementación de DMARC mantiene tu dominio a salvo de ataques cibernéticos tales como los ataques a correos corporativos, phishing y otros tipos de estafas por correo electrónico.
El protocolo para generar los informes de conformidad y autenticación de mensajes de dominio funciona de forma conjunta a los protocolos de correo SPF (marco de políticas del remitente) y DKIM (claves de identificación de dominio digitales).
DMARC consta de dos partes: informes y conformidad; los propietarios de dominios pueden monitorear la autenticación de sus correos electrónicos y al mismo tiempo, DMARC lleva a cabo un proceso mediante el cual indica qué deben hacer los ISP con los correos que no son autenticados.
Entonces, ¿qué es lo que hace DMARC? Este protocolo permite a empresas y organizaciones monitorear y controlar quién puede enviar mensajes de correo a nombre de tu dominio. Como propietario de negocio, es de tu interés estar al tanto que tus clientes solo reciben correos legítimos por parte de tu dominio, por lo cual toda organización necesita implementar las políticas DMARC.
Cuando haces uso del sistema de seguridad DMARC para tu correo electrónico, puedes indicarles a tus destinatarios que tus correos están protegidos por políticas SPF y DKIM, y a su vez informarles qué deben hacer si fallase alguna parte del proceso de autenticación.
En cualquier ejemplo de registro DMARC, podrás apreciar tres políticas: None, reject y quarantine.
Saber cómo funciona DMARC es esencial, pero en este artículo vamos a profundizar un poco en la historia de DMARC como herramienta de seguridad: cómo fue creada y cuál fue el proceso de adopción.
Las bases de DMARC: SPF y DKIM
DMARC se creó para ampliar la funcionalidad de dos protocolos de autenticación de correo ya existentes: SPF (marco de políticas del remitente) y DKIM (claves de identificación de dominio digitales); DMARC utiliza estos protocolos para determinar la autenticidad de cualquier mensaje que pasa de un servidor a otro.
Los esfuerzos para proporcionar una protección adecuada a los correos electrónicos tienen una larga historia; todo comenzó con el cifrado S/MIME (o Extensiones multipropósito de Correo de Internet) y el popular estándar de firma digital durante los años 90.
A principios de la década del 2000, se desarrollaron nuevos estándares de autenticación para los correos electrónicos, entre estos nuevos estándares, SPF y DKIM fueron los que resolvieron la mayor cantidad de problemas relacionados con la seguridad de los correos, lo cual podemos discutir brevemente.
SPF
SPF o el marco de políticas del remitente, es uno de los primeros protocolos de autenticación de correo electrónico que fueron introducidos a principios de la década del 2000, este mecanismo surgió cuando una serie de expertos en correo electrónico se dieron cuenta que el SMTP (o protocolo simple de transferencia de correo) no podía proteger a los usuarios de la suplantación de identidad, por lo que surgió la necesidad de un mecanismo de seguridad adicional.
SPF inicialmente era conocido como “formulario de permiso al remitente” o SMTP+SPF, el nombre eventualmente fue cambiado a “marco de políticas del remitente “ o Sender Policy Framework, para luego ser publicado por el IETF como estándar de seguridad en el año 2014.
SPF es un método de autenticación usado para la prevención de ataques de correo electrónico como el phishing y asistir en la mejoría de la reputación de un dominio. Esta política permite que los servidores de correo verifiquen y autentiquen las direcciones IP de los mensajes entrantes.
SPF no es un sistema libre de defectos, por ejemplo, los mensajes reenviados fallan la autenticación, los registros SPF son difíciles de mantener y los piratas informáticos pueden explotar las rutas de retorno o la dirección del destinatario ya que la mayoría de las personas no verifican estos parámetros en sus correos.
SPF por sí solo no es suficiente para proteger tu dominio, razón por la cual es vital saber cómo agregar un registro DMARC en tu DNS e implementar esta política de verificación debidamente.
DKIM
DMIK o las claves de identificación de dominio digitales fue creado en el año 2014 como resultado de la combinación de dos estándares de autenticación para correo electrónico ya existentes. El primer estándar era Enhanced DomainKey desarrollado por Yahoo! el cual era usado para confirmar la integridad de un mensaje mediante la autenticación del dominio DNS de origen.
El segundo estándar era el sistema Identified Internet Email, diseñado por Cisco, el cual servía para autenticar la integridad de los correos salientes mediante firmas digitales.
Inicialmente, Gmail, Fastmail, AOL y Yahoo! fueron las primeras compañías en adoptar este estándar; en la actualidad DKIM está experimentando adopción a nivel mundial y es recomendado por todos los proveedores de correo electrónico.
Al igual que SPF, DKIM ayuda a proteger tu dominio de cualquier intento de uso no autorizado, este protocolo garantiza que los correos permanezcan inalterados mientras están en tránsito entre los servidores del remitente y el destinatario.
Sin embargo, los piratas informáticos aún pueden usar las firmas DKIM mediante tácticas maliciosas diversas, como ya hemos mencionado con SPF, DKIM no proporciona suficiente seguridad a tu correo electrónico por sí solo. Para una protección completa necesitas DMARC.
Los comienzos (años 2010-2012)
Aunque SPF y DKIM brindan un buen nivel de seguridad a tu infraestructura de correo electrónico, estos no pueden ofrecer una solución completa para la autenticación de tus mensajes, lo cual condujo al desarrollo de los informes de conformidad y autenticación de mensajes de dominio.
Los inicios de DMARC se dieron en el año 2010 cuando quince empresas y organizaciones líderes en sus respectivos mercados, tales como PayPal, Microsoft, Google y Yahoo!, se unieron para crear un protocolo con la finalidad de estar protegidos contra los correos fraudulentos en Internet.
Uno de los objetivos de esta colaboración a gran escala era garantizar que los destinatarios de los correos electrónicos pudieran proporcionar a los servidores de envío una serie de comentarios autenticados sobre sus mensajes con la finalidad de mejorar sus mecanismos de autenticación, la primera publicación de las especificaciones de DMARC salió el día 30 de enero del año 2012.
Una lenta adopción (años 2012-2017)
Aunque la política de protección DMARC se creó en el año 2010, no fue sino hasta el año 2015 que esta tomó forma como una iniciativa del Proyecto de Dominios Confiables, la tasa de adopción del protocolo DMARC fue increíblemente lenta ya que muchas compañías sencillamente no conocían nada acerca de los protocolos DMARC y sus beneficios.
Una de las razones por las que DMARC tiene una tasa de adopción lenta es su alto nivel de tecnicismo, para mucha gente comprender el proceso de autenticación de sus correos electrónicos requiere un grado de conocimiento técnico, lo cual no es algo que las organizaciones u oferentes de la política puedan implementar por su cuenta.
Al menos, así como solía ser en el pasado reciente, ya que con soluciones como EasyDMARC, es fácil implementar este sistema de protección por completo, desde los registros respectivos y las políticas de DMARC hasta las etiquetas necesarias y la interpretación de informes de DMARC.
Durante los primeros días de DMARC, las organizaciones pequeñas carecían de la experiencia para implementar SPF y DKIM, y como ya entenderás es necesario aplicar estos dos estándares antes de poder instalar DMARC de manera efectiva en tu DNS.
En los años 2015 y 2016, Google y Yahoo! adoptaron estrictas políticas DMARC, indicando que las personas e instituciones que se nieguen a seguir la tendencia de implementación DMARC a futuro verán afectada la operatividad de su empresa a mediano plazo.
DMARC en la actualidad y más allá (2018 hasta el presente)
Las estadísticas de uso de las políticas DMARC demuestran que su adopción está aumentando rápidamente y muchas organizaciones están adoptando este estándar de autenticación para evitar ataques de suplantación en sus correos electrónicos. En el año 2018, el Departamento de Seguridad Nacional (DHS) ordenó a todas las agencias federales implementar el uso de DMARC, lo que tuvo un impacto positivo en la tasa de adopción del sistema.
En diciembre del 2018, la tasa de adopción de DMARC entre las agencias del gobierno federal aumentó a un 47 %, durante este tiempo, el Departamento de Seguridad Nacional de Estados Unidos les ordenó a todas las agencias que implementaran DMARC en el nivel p=none, lo que los deja expuestos a ataques de phishing y suplantación de identidad.
Según Agari, alrededor del 53 % de las organizaciones federales no cuentan con políticas DMARC y aquellas que lo hacen, aún tiene la política configurada con la etiqueta p=none, lo cual no sirve para proteger sus dominios contra la suplantación de identidad.
La directora ejecutiva de Valimain, Alexandra Garcia-Tobar, dijo recientemente que la implementación de DMARC es vital para las empresas que operan en los Estados Unidos y Europa debido a sus estrictas leyes de privacidad.
Las estadísticas también demuestran que los dominios que no implementan las políticas DMARC tienen 4,75 veces más probabilidades de ser víctimas de un evento de suplantación de identidad. Solo en el año 2021, el 43,4 % de los dominios gubernamentales aplicaron la política DMARC, un aumento del 2 % con respecto a la tasa del año 2020 y un aumento del 3,5 % con respecto al año 2019.
Estas estadísticas muestran que la adopción del protocolo DMARC está aumentando, especialmente después que el sistema de autenticación fuese ampliamente aceptado por los más grandes proveedores de correo electrónico, tales como Microsoft, Google y Yahoo!, quienes atienden a más del 85 % de las bandejas de entrada de los usuarios a nivel mundial.
Hoy en día, los protocolos DMARC son reconocidos entre los especialistas en marketing que usan los correos electrónicos como un aspecto integral de las capacidades de entregabilidad, incluso el M3AAWG recomienda hacer cumplir DMARC como una de las mejores prácticas para incrementar la capacidad de entrega de correos electrónicos; una política DMARC proporciona autenticación a tus mensajes algo que esencial para el futuro de cualquier empresa que opera en línea.
Tarde o temprano, los proveedores de correos pasarán a la adopción de una política de cero tolerancia, mensajes sin autenticación, no tendrán acceso a los buzones, lo cual significa que tus mensajes no llegarán a tus destinatarios si no cumples con los requisitos de DMARC.
Si deseas que tus mensajes lleguen a las bandejas de entrada de tus clientes, debes aplicar las políticas DMARC en tu dominio, si bien es cierto que este proceso aún no se consolida, la implementación total está a la vuelta de la esquina ya que la adopción de DMARC continúa aumentando a nivel mundial.
Pensamientos finales
No es ninguna novedad que algunos de los ataques cibernéticos más peligrosos, tales como los ataques a correos corporativos y phishing, tengan su vía de acceso a través de los correos electrónicos. Las organizaciones deben implementar DMARC para mitigar el impacto de los delitos cibernéticos, incluidos el phishing, la suplantación de identidad, el abuso de marca y los ataques de malware.
Sin embargo, a la mayoría de las empresas les resulta difícil hacer cumplir sus políticas DMARC, lo cual en principio puede parecer una labor desalentadora, pero que al final es una meta totalmente alcanzable. Si no conoces el estado de tu registro DMARC, puedes realizar una chequear el estatus de tu dominio utilizando nuestras herramientas de búsqueda, si no la tienes, puedes usar nuestro generador de registros DMARC.
EasyDMARC te ofrece una solución integral para este paso tan importante en la seguridad en línea de tu empresa, puedes proteger tu dominio y monitorear con éxito cada área que requiera la autenticación de tus correos electrónicos, aplicando una protección sólida y efectiva contra el phishing, la suplantación de identidad y otros ataques en línea.