Las políticas DMARC son aquellas que le permiten al dominio de un remitente indicar que sus correos están protegidos por protocolos SPF y DKIM. También le dejan saber al destinatario que es lo que debe hacer si el mensaje enviado no pasa ninguno de estos chequeos, tal como rechazar el mensaje o pasarlo a cuarentena. La política también especifica cómo un destinatario puede enviar un reporte de vuelta al dominio del remitente acerca de los mensajes que pasan el chequeo o los fallan.
Estas políticas usualmente están publicadas en el sistema nominal de dominios públicos (DNS, según sus siglas en inglés) como archivos .TXT.
DMARC no procesa los correos de forma directa para identificar si el mensaje es spam o de índole fraudulento. Los que hace DMARC requiere de la previa aprobación de las políticas DKIM y SPF además de cumplir con ciertas normas de alineación. La configuración de DMARC tiene un impacto positivo en la capacidad de envío de remitentes legítimos.
¿Qué es DMARC?
DMARC es una política de protección de correos electrónicos que ayuda a organizaciones evitar ataques de robo de identidad y phishing en sus dominios. Se implementa en los registros DNS de todos los dominios en línea y protege la reputación de una marca contra el spam y los correos maliciosos que intentan apoderarse del dominio.
A continuación, te presentamos un ejemplo de un registro DMARC:
- v=DMARC1 – Este es el identificador que le indica al DNS la presencia de un registro DMARC. Si el dominio no tiene un registro textual que inicie con la sintaxis v=DMARC1, el servidor del remitente no podrá realizar el chequeo DMARC.
- p=none – Esta línea de código define la política a seguir por DMARC para verificar la presencia de registros SPF y DKIM y su aprobación a través de estos.
- rua=mailto:[email protected] – Esta línea le indica al servidor a donde debe enviar los reportes de agregaduría DMARC. Los reportes DMARC se generan diariamente y estos ayudan a los administradores a entender mejor lo que sucede con sus dominios.
- ruf=mailto:[email protected] – Esta sección le informa al servidor a donde debe enviar los reportes de fallos DMARC.
¿Qué es una política DMARC?
Las políticas DMARC son las que definen todo el procedimiento que sigue luego de un fallo con los sistemas SPF y DKIM. Las acciones a tomar usualmente son el rechazo, la cuarentena o la aceptación del mensaje. Puedes ver con más detalles cómo funciona cada una de estas funciones a continuación:
- p=none: Esta política es comúnmente conocida como la política de “monitor” ya que no le dice al destinatario que lleve a cabo acción alguna contra correos no calificados. Cuando la política está configurada en “none” todos los correos no aprobados llegan a tu buzón de mensajes.
- p=quarantine: Esta política permite que todos los correos sin calificación sean enviados a una zona de cuarentena. El resultado más común es que sean enviados al buzón de spam.
- p=reject: esta política permite al destinatario bloquear todos los correos que no pasan las validaciones de las políticas SPF y DKIM. Solo pasan al buzón los correos que son enviados de IPs autorizadas o que poseen la firma pre asignada del dominio. Cualquier otro tipo de correo es descartado en el acto.
Las mejores prácticas para configurar tus políticas DMARC
Probablemente te estás preguntando cuál de estas políticas es la mejor y cuál te ofrece mejores resultados. La mayoría de los dueños de dominios se ven tentado a usar la política de rechazo para que ningún correo de spam llegue a sus destinatarios. Esta política es la que tiene mayor efecto ya que bloquea cualquier correo que no esté autenticado. Si no haces un monitoreo apropiado para crear una whitelist o si no son auténticas las fuentes legítimas de tus fuentes de correos, envíos importantes serán rechazados en el proceso.
Los expertos de EasyDMARC sugieren que apliques la política “ninguno” (none) en un principio, para monitorear efectivamente todas tus fuentes de correo por un tiempo determinado y así recibir unos cuantos reportes de agregaduría. Con esta información en mano podrás hacer las configuraciones apropiadas para que mensajes importantes no sean excluidos.
Luego de completar este primer filtro, puedes pasar a la fase de cuarentena, la cual automáticamente enviará correos sin calificación al buzón de spam o al buzón de correo basura. Esto significa que todos los correos sospechosos caerán en estos espacios, pero si algún correo con información importante llegase a estos destinos, el destinatario aún podrá observarlos.
Una vez que ya logres construir tu whitelist con todos los correos usados por las distintas vías que usas a modo de remitente, puedes proceder a configurar la política de rechazo, la cual bloqueará todos los correos que no estén calificados por los destinatarios y autenticar todos los correos que envíes como legítimos sin ninguna clase de interrupción en el flujo de envío.
Proceso de autenticación y ejecución
- Configura tu política DMARC a “Ninguno” (p=none)
- Analiza todos los reportes e indica que fuentes son las legítimas, cuáles deben ser configuradas y cuales son correos maliciosos. (correos legítimos no configurados pueden conseguirse bajo la sección de no cumplimiento de las políticas DMARC en el tablero de tu cuenta EasyDMARC.
Ejemplo de una política DMARC
2. Después de identificar lo que sea necesario, empieza el proceso de configuración para cada uno de tus fuentes legítimas que usan servicios de terceros (asegúrate que SPF y DKIM aprueben tu chequeo DMARC)
3. Después de hacer la configuración debida, espera que empiecen a llegar los reportes. (las fuentes legítimas que ya han sido configuradas pueden conseguirse bajo la sección de cumplimiento de políticas DMARC)
Cumplimiento de chequeo DMARC
4. Una vez que todas tus fuentes han sido configuradas, el próximo paso es aplicar el proceso como está estipulado.
- Refuerza la política de cuarentena DMARC (p=quarantine)
- En la etapa de refuerzo de políticas te recomendamos ir incrementando el porcentaje de implementación de esta de forma gradual. Empieza con un 25% de cobertura (pct=25).
- Al analizar el ecosistema de tu correo electrónico y ver cómo se aplica el porcentaje podrás hacer más cambios.
- Si no han ocurridos más cambios en el ecosistema, incrementa el porcentaje de 25% a 50 (pct=50).
- Repite el proceso hasta que llegues al 100% (pct 100)
- Refuerza la política DMARC de rechazo(p=reject)
- En esta etapa también se te aconseja iniciar la aplicación de la política al 25% (pct=25).
- Analiza los reportes y observa cómo tu sistema se adapta a los cambios.
- Incrementa el porcentaje al 50% (pct=50).
- Repite el proceso hasta que llegues al 100% (pct 100)
- Una vez que hayas ampliado la política de rechazo al 100%, todos tus correos legítimos pasarán los chequeos DMARC y los correos maliciosos serán bloqueados efectivamente.
¿Qué hacer después?
La configuración de políticas DMARC y su aplicación pueden alcanzar un nivel óptimo en un tiempo de tres meses hasta un año, dependiendo del tipo de infraestructura del sistema de correo, así como de la cantidad de servicios de terceros que sean utilizados por tu organización.
Los equipos de atención al cliente de EasyDMARC pueden guiarte a través de la implementación y refuerzo de estas políticas para que tu organización alcance sus metas sin mayores obstáculos.
Si esta información te parece aceptable, te invitamos a chequear los siguientes enlaces:
- ¿Por qué falla DMARC?
- Por qué los emprendimientos son víctimas fatales de los cambios de identidad
- Cómo entender los reportes DMARC
- Errores más comunes en la implementación de políticas DMARC