{"id":19913,"date":"2020-07-17T17:17:40","date_gmt":"2020-07-17T17:17:40","guid":{"rendered":"https:\/\/easydmarc.com\/blog\/?p=19913"},"modified":"2023-06-09T14:13:16","modified_gmt":"2023-06-09T14:13:16","slug":"dmarc-y-microsoft-que-sucede-con-ambas-empresas","status":"publish","type":"post","link":"https:\/\/easydmarc.com\/blog\/es\/dmarc-y-microsoft-que-sucede-con-ambas-empresas\/","title":{"rendered":"DMARC y Microsoft: \u00bfQue sucede con ambas empresas?"},"content":{"rendered":"

Si tu dominio tiene una pol\u00edtica de rechazo DMARC preestablecida, puede que te interese de qu\u00e9 manera tus clientes que usan servicios de <\/span>correo Microsoft<\/b> est\u00e1n protegidos contra correos que roban tu identidad y son enviados por parte de tu dominio. \u00bfAcaso Microsoft se adhiere a las normativas de rechazo para correos no autenticados siguiendo los protocolos conocidos?<\/span><\/p>\n

Puede que te sorprenda, pero la realidad es que puede que este no sea el caso.<\/span><\/p>\n

\u00bfQu\u00e9 sucede con un correo que no pasa el chequeo DMARC en Microsoft 365?<\/b><\/h2>\n

Si tienes amigos o conocidos que usen Microsoft 365 (o Exchange en l\u00ednea) tambi\u00e9n puedes enviarles correos usando una identificaci\u00f3n falseada. Dichos esto debemos tener en cuenta que, si su cuenta Exchange no tiene una configuraci\u00f3n espec\u00edfica para identificar correos con identificaci\u00f3n err\u00f3nea, este utilizara los procesos de chequeo autom\u00e1ticos, lo cual enviar\u00e1 estos correos al buz\u00f3n de correo basura.<\/span><\/p>\n

Uno de los aspectos m\u00e1s frustrantes de esta situaci\u00f3n es que los mensajes con identidad falsificada pueden venir de un dominio con una marca establecida para el cual Microsoft tiene un avatar determinado (servicios tales como PayPal, Twitter, Adobe, Apple entre otros) Estos mensajes caen en el buz\u00f3n de correo basura mostrando el avatar verificado del emisor, lo cual puede causar confusi\u00f3n y hacer creer al usuario que el correo viene de un remitente leg\u00edtimo.<\/span><\/p>\n

\u00bfPor qu\u00e9 sucede esto? Puedes conseguir una descripci\u00f3n detallada indicando como Microsoft maneja Exchange en l\u00ednea y los correos entrantes que fallan el chequeo DMARC en su servicio Knowledge Base del cual extraemos una parte: <\/span><\/p>\n

\u201cSi la pol\u00edtica DMARC del servidor que remite es p=reject, EOP marcar\u00e1 el mensaje como falso en lugar de rechazarlo. En pocas palabras, para cualquier correo que llegue al buz\u00f3n de entrada, Microsoft 365 tratar\u00e1 p=reject y p=quarantine de la misma forma. Los administradores pueden definir las acciones a tomar con los mensajes que son clasificados como falsos, con pol\u00edticas anti phishing.<\/span><\/i><\/p>\n

Microsoft 365 est\u00e1 configurado de esta forma dado que correos leg\u00edtimos pueden fallar el chequeo DMARC. Por ejemplo, un mensaje que falla este chequeo y es enviado a partir de una lista de correo, puede ser reenviado a otros participantes de la lista. Si Microsoft 365 rechaza estos mensajes, los usuarios podr\u00edan dejar de recibir correo leg\u00edtimo sin forma de poder recuperarlo. Estos mensajes que fallan el chequeo DMARC son marcados como spam y no son rechazados\u201d<\/span><\/i><\/p>\n

\u00bfC\u00f3mo podemos rechazar correos no autenticados en Exchange?<\/b><\/h2>\n

 Mientras el manejo de correos falsos dirigidos a buzones Outlook o Hotmail est\u00e1 en manos de Microsoft, las compa\u00f1\u00edas que <\/span>usan Microsoft 365 o EO<\/b> tiene la posibilidad de configurar Exchange para rechazar correos no autenticados y proteger a sus usuarios con una pol\u00edtica de rechazo DMARC apropiada.<\/span><\/p>\n

Si tu organizaci\u00f3n <\/span>usa Microsoft 365 o EO<\/b> y tu dominio est\u00e1 protegido con pol\u00edticas de rechazo DMARC, tu administrador de Exchange puede ser configurado para rechazar correos no autenticados y as\u00ed poder incrementar la protecci\u00f3n de tus usuarios contra ataques phishing que sean enviados desde tu dominio.<\/span><\/p>\n

Podemos ver los encabezados de los mensajes recibidos en Exchange en l\u00ednea de otros dominios que tienen diferentes <\/span>configuraciones DMARC<\/b>.<\/span><\/p>\n

No existe registro DMARC<\/b><\/p>\n

Resultados de la autenticaci\u00f3n: spf=pass (sender IP is n.n.n.n) smtp.mailfrom=xxx.net; yyy.com; dkim=pass (signature was verified)<\/span><\/p>\n

header.d=xxxd.net;yyy.com; dmarc=none action=none header.from=zzz.edu;compauth=fail reason=001<\/span><\/p>\n

Registro DMARC con pol\u00edtica \u201cnone\u201d<\/b><\/p>\n

Resultados de la autenticaci\u00f3n: spf=pass (sender IP is n.n.n.n) smtp.mailfrom=xxx.net; yyy.com; dkim=pass (signature was verified)<\/span><\/p>\n

header.d=xxx.net;yyy.com; dmarc=fail action=none header.from=zzz.org;compauth=fail reason=001<\/span><\/p>\n

Registro DMARC con poltica de \u201ccuarentena\u201d<\/b><\/p>\n

Resultados de la autenticaci\u00f3n: spf=pass (sender IP is n.n.n.n) smtp.mailfrom=xxx.net; yyy.com; dkim=pass (signature was verified)<\/span><\/p>\n

header.d=xxx.net;yyy.com; dmarc=fail action=quarantine header.from=zzz.gov;compauth=fail reason=000<\/span><\/p>\n

Registro DMARC con pol\u00edtica de \u201crechazo<\/b>\u201d<\/span><\/p>\n

Resultados de la autenticaci\u00f3n: spf=pass (sender IP is n.n.n.n) smtp.mailfrom=xxx.net; yyy.com; dkim=pass (signature was verified)<\/span><\/p>\n

header.d=xxx.net;yyy.com; dmarc=fail action=oreject header.from=zzz.edu;compauth=fail reason=000<\/span><\/p>\n

NOTA:<\/span><\/i> La descripci\u00f3n del encabezado de los mensajes en Microsoft 365 puede conseguirse aqu\u00ed.<\/span><\/p>\n

Como puedes ver en los encabezados que acabamos de listar, es posible identificar correos no autenticados desde un dominio con una pol\u00edtica de rechazo unida por el enlace \u201cdmarc=fail action=oreject\u201d<\/span><\/p>\n

Estos son los pasos para configurar las reglas de rechazo en Exchange para todos los correos en tr\u00e1fico entrantes:<\/b><\/h3>\n