El protocolo DMARC te permite recibir dos tipos de informes: informes de agregaduría e informes de fallas; los informes de fallas DMARC se conocían previamente como informes forenses, y estos son mucho más detallados que los informes de agregaduría DMARC porque ofrecen una visualización completa de los mensajes que fallan las pruebas DMARC, DKIM y SPF.
Cuando los registros SPF o DKIM no se alinean con DMARC, el ISP envía un informe de fallas inmediatamente si el servicio lo admite; en la actualidad, los ISP principales como Google, Verizon y Comcast no los admiten.
Esto trae como resultado que los mensajes fallidos no generen informes, incluso después de la configuración del registro DMARC para aceptar informes de fallas; es por esta razón que se puede apreciar una diferencia notable entre los informes de agregaduría DMARC y los informes de fallas.
¿Cómo leer los informes de fallas DMARC?
En un típico informe de fallas DMARC, se consiguen los siguientes campos:
- Dirección de correo del destinatario: el correo electrónico al que va dirigido el mensaje original
- Resultados de autenticación SPF y DKIM
- Hora de recepción
- firma DKIM
- Servicio de hosting
- Asunto del correo electrónico
- ID de mensaje del correo electrónico
- Otras secciones del correo, como los encabezados personalizados, etc.
- Este es un ejemplo de un informe de fallas DMARC.
Opciones de informes de fallas DMARC (fo)
Las cuatro opciones de informes de fallas DMARC se pueden enviar con la etiqueta «fo»:
fo=0: si SPF y DKIM no se alinean, para generar un informe de error.
fo=1: si SPF o DKIM arrojaron resultados distintos a la alineación, para generar un informe de falla.
fo=d: si la firma falla, independientemente de la alineación, se genera un informe de falla DKIM.
fo=s: si el SPF falla, incluso si no está alineado, se genera un informe de falla SPF.
Los pros:
- Contienen más datos que los informes de agregaduría, tales como el asunto del correo electrónico, información de la IP, fecha de recepción del mensaje, ID del mensaje, URL y resultado de la entrega.
- Se reciben de inmediato.
Los contras:
- Tienen una alta tasa de falsos positivos.
- La mayoría de los ISP han dejado de admitir informes de fallas.
- Deja expuestos datos confidenciales
Informes de agregaduría DMARC vs Informes de fallas DMARC
Como ya mencionamos, DMARC admite dos tipos de informes: de agregaduría y de fallas.
Cada uno tiene características y propósitos distintos.
Si comparas ambos, puedes apreciar algunas diferencias visibles:
| Informes de agregaduría | Informes de fallas |
| Para recibir este tipo de informes, la etiqueta rua debe estar configurada | Para recibir informes de fallos, la etiqueta ruf debe estar configurada debidamente |
| Este informe proporciona datos sobre un grupo de correos electrónicos. | Estos reportes solo proporcionan detalles de un correo electrónico específico. |
| Los reportes no se generan en tiempo real, pero llegan todos los días | Son enviados inmediatamente después de fallas |
| Formato XML | Son presentados como texto sin formato |
| No contienen PII (información de identificación personal) | Contiene PII |
| Son compatibles con todos los proveedores de buzones de correo compatibles con DMARC | Sólo admite algunos de los proveedores de buzones populares |
Conclusión
A diferencia de los informes de agregaduría DMARC, los informes de fallas reflejan una parte fallida de dicha política. El primero tipo de informe registra los fallos DMARC de forma completa, incluyendo toda la información necesaria para hacer cumplir DMARC sin los riesgos que suponen los informes de fallas DMARC.