¿Qué es son los informes de fallas DMARC?

El protocolo DMARC te permite recibir dos tipos de informes: informes de agregaduría e informes de fallas; los informes de fallas DMARC se conocían previamente como informes forenses, y estos son mucho más detallados que los informes de agregaduría DMARC porque ofrecen una visualización completa de los mensajes que fallan las pruebas DMARC, DKIM y SPF.

Cuando los registros SPF o DKIM no se alinean con DMARC, el ISP envía un informe de fallas inmediatamente si el servicio lo admite; en la actualidad, los ISP principales como Google, Verizon y Comcast no los admiten.

 

Esto trae como resultado que los mensajes fallidos no generen informes, incluso después de la configuración del registro DMARC para aceptar informes de fallas; es por esta razón que se puede apreciar una diferencia notable entre los informes de agregaduría DMARC y los informes de fallas.

¿Cómo leer los informes de fallas DMARC?

En un típico informe de fallas DMARC, se consiguen los siguientes campos:

  • Dirección de correo del destinatario: el correo electrónico al que va dirigido el mensaje original
  • Resultados de autenticación SPF y DKIM
  • Hora de recepción
  • firma DKIM
  • Servicio de hosting 
  • Asunto del correo electrónico
  • ID de mensaje del correo electrónico
  • Otras secciones del correo, como los encabezados personalizados, etc.
  • Este es un ejemplo de un informe de fallas DMARC.

dmarc failure report example

Opciones de informes de fallas DMARC (fo)

Las cuatro opciones de informes de fallas DMARC se pueden enviar con la etiqueta “fo”:

fo=0: si SPF y DKIM no se alinean, para generar un informe de error.

fo=1: si SPF o DKIM arrojaron resultados distintos a la alineación, para generar un informe de falla.

fo=d: si la firma falla, independientemente de la alineación, se genera un informe de falla DKIM.

fo=s: si el SPF falla, incluso si no está alineado, se genera un informe de falla SPF.

Los pros:

  1. Contienen más datos que los informes de agregaduría, tales como el asunto del correo electrónico, información de la IP, fecha de recepción del mensaje, ID del mensaje, URL y resultado de la entrega.
  2. Se reciben de inmediato.

Los contras:

  1. Tienen una alta tasa de falsos positivos.
  2. La mayoría de los ISP han dejado de admitir informes de fallas.
  3. Deja expuestos datos confidenciales

Informes de agregaduría DMARC vs Informes de fallas DMARC

Como ya mencionamos, DMARC admite dos tipos de informes: de agregaduría y de fallas.

Cada uno tiene características y propósitos distintos.

Si comparas ambos, puedes apreciar algunas diferencias visibles:

Informes de agregaduría Informes de fallas
Para recibir este tipo de informes, la etiqueta rua debe estar configurada Para recibir informes de fallos, la etiqueta ruf debe estar configurada debidamente
Este informe proporciona datos sobre un grupo de correos electrónicos. Estos reportes solo proporcionan detalles de un correo electrónico específico.
Los reportes no se generan en tiempo real, pero llegan todos los días Son enviados inmediatamente después de fallas
Formato XML Son presentados como texto sin formato
No contienen PII (información de identificación personal) Contiene PII
Son compatibles con todos los proveedores de buzones de correo compatibles con DMARC Sólo admite algunos de los proveedores de buzones populares

Conclusión

A diferencia de los informes de agregaduría DMARC, los informes de fallas reflejan una parte fallida de dicha política. El primero tipo de informe registra los fallos DMARC de forma completa, incluyendo toda la información necesaria para hacer cumplir DMARC sin los riesgos que suponen los informes de fallas DMARC.

¿Qué son los ataques de inyección?

¿Qué son los ataques de inyección?

En la actualidad nos estamos enfrentando a múltiples tipos de ataques cibernéticos que se...

Read More
¿Cuáles son las consecuencias de una violación de datos?

¿Cuáles son las consecuencias de una violación de datos?

2022 ha demostrado ser el año en el que es imposible negar las consecuencias...

Read More
8 tipos comunes de registros DNS

8 tipos comunes de registros DNS

¿Qué es un registro DNS? Básicamente es un registro de un sistema de nombres...

Read More