¿Qué es un registro DMARC y cómo configurarlo?
Qué es DMARC
Domain-based Message Authentication, Reporting, and Conformance (DMARC) es un sistema de validación de email diseñado para proteger tu dominio del uso no autorizado, como el spoofing de correo electrónico. El propósito del DMARC es permitir a los propietarios de dominios de email proteger su dominio contra el uso indebido de estafas de phishing por email, spoofing de email y otros delitos cibernéticos. Se basa en dos protocolos existentes, SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail), para mejorar y autenticar la legitimidad de un email.
Entendiendo DMARC
DMARC mejora el proceso de autenticación de email aprovechando los protocolos SPF y DKIM establecidos. El proceso de autenticación es una serie de comprobaciones por las que pasa un email para verificar su legitimidad antes de que llegue a la bandeja de entrada del destinatario. Este proceso es crucial para determinar si un email es realmente del remitente que dice ser o si es una amenaza potencial.
SPF y DKIM juegan un papel fundamental en este proceso de autenticación. SPF permite a los propietarios de dominios definir qué servidores de email están autorizados para enviar email en nombre de su dominio. Cuando se recibe un email, el servidor del destinatario comprueba el registro SPF para confirmar que el email se originó desde un servidor listado. Esto ayuda a evitar que los spammers envíen emails con una dirección “Desde” falsificada que parece ser de tu dominio.
DKIM añade una capa adicional de seguridad al adjuntar una firma digital a los emails salientes. Esta firma se verifica contra una clave criptográfica pública que se publica en los registros DNS del dominio. La presencia de una firma DKIM válida indica que el email no ha sido alterado en tránsito, proporcionando una forma de verificación de integridad además de la verificación de autorización del SPF.
DMARC une estos dos protocolos al especificar una política que el propietario del dominio quiere que sigan los destinatarios de email cuando gestionen emails que fallan las comprobaciones de SPF y DKIM. También especifica cómo el propietario del dominio quiere ser informado de estos fallos, permitiéndole tomar medidas si es necesario. La política de DMARC se comunica a través de un registro TXT en las DNS del dominio y es verificada por el servidor del destinatario después de las evaluaciones SPF y DKIM.
El proceso de autenticación de email funciona de la siguiente manera: cuando se envía un email, el servidor de envío adjunta una firma DKIM y envía el email a su destino. El servidor del destinatario recupera el registro SPF para verificar la autorización del servidor de envío y comprueba la firma DKIM para asegurar la integridad del email. Si ambas comprobaciones pasan y se alinean con el dominio indicado en el encabezado “Desde” del email, el email se considera autenticado. Si la comprobación falla o hay una desalineación, el servidor del destinatario se refiere a la política DMARC para decidir si entregar, poner en cuarentena o rechazar el email.
Al configurar una política de DMARC, los propietarios de dominios pueden indicar a los servidores receptores que pongan en cuarentena o rechacen los emails no autenticados, reduciendo así la probabilidad de que su dominio sea utilizado por amenazas basadas en email. Además, el aspecto de informes de DMARC proporciona información sobre las actividades de email legítimas y no autorizadas, lo que permite a los propietarios de dominios refinar sus medidas de seguridad de email con el tiempo.
La estructura de un registro DMARC
Un registro DMARC es un registro TXT en la zona DNS de tu dominio que sigue una sintaxis específica. Esta sintaxis incluye varias etiquetas que definen la política de DMARC y cómo se debe aplicar.
Parámetros clave de un registro DMARC
La etiqueta “p” en un registro DMARC indica la política que se debe aplicar a los emails que fallan las comprobaciones de DMARC. Los valores posibles para este tag son:
- none: El propietario del dominio solicita que no se tome ninguna acción específica en el email que falla la comprobación de DMARC. Esta configuración se usa normalmente para monitorear y recopilar datos sin afectar la entrega del email.
- quarantine: Los emails que no superen la comprobación de DMARC serán tratados como sospechosos. Dependiendo del servidor de email del destinatario, estos mensajes pueden terminar en la carpeta de SPAM.
- reject: Esta política indica al servidor de email receptor que rechace los emails que no superen la comprobación de DMARC, evitando que se envíen a la bandeja de entrada del destinatario.
La etiqueta “sp” especifica la política para los subdominios y puede tomar los mismos valores que la etiqueta “p”. Si no se especifica la etiqueta “sp”, la política especificada en la etiqueta “p” se aplicará a los subdominios también.
La etiqueta “rua” se usa para especificar una dirección de email donde se envían informes agregados de fallas de DMARC, mientras que la etiqueta “ruf” es para informes forenses que proporcionan información más detallada sobre fallas individuales. Estos informes son cruciales para comprender y mejorar la configuración de autenticación de tu email.
La etiqueta “pct” define el porcentaje de mensajes que están sujetos a la política DMARC, lo que es útil para implementar cambios de política gradualmente. Por ejemplo, “pct=20” significa que solo el 20% de los emails que fallan serán procesados de acuerdo con la política de DMARC especificada.
Las etiquetas “adkim” y “aspf” definen el modo de alineación para DKIM y SPF, respectivamente. Los valores posibles son “r” para relajado y “s” para estricto. La alineación relajada permite coincidencias parciales (como subdominios), mientras que la alineación estricta requiere una coincidencia exacta entre el dominio en el encabezado y el dominio en los registros SPF/DKIM.
Por ejemplo, un registro DMARC podría verse así:
v=DMARC1; p=quarantine; sp=none;
rua=mailto:dmarc-reports@example.com;
ruf=mailto:dmarc-failures@example.com; pct=100; adkim=r; aspf=r;
Este registro solicita que los emails que fallen las comprobaciones de DMARC se pongan en cuarentena, sin una política específica para los subdominios, indica enviar informes agregados a dmarc-reports@example.com, enviar informes de fallas a dmarc-failures@example.com, aplica la política al 100% de mensajes fallidos, y utiliza una alineación relajada tanto para DKIM como para SPF.
Cómo configurar e implementar un registro DMARC en DNS
Para configurar un registro DMARC, necesitarás crear un registro DNS TXT en la zona DNS de tu dominio. La mayoría de los proveedores de hosting ofrecen una función de Editor de zona DNS, que te permite controlar los registros DNS de tu dominio. Es importante recordar que las modificaciones de DNS deben hacerse desde la cuenta que tiene la zona DNS autorizada para tu dominio. No importa qué servicio de hostng utilices, tu dominio debe estar apuntado por los servidores de nombres DNS a esa ubicación. Solo de esta manera las modificaciones en la zona DNS tendrán algún efecto.
Si las DNS de tu dominio se administran con SiteGround, un registro DMARC básico se creó automáticamente para tu dominio en la zona DNS del dominio cuando creaste tu sitio web. Para cambiarlo, sigue estos pasos:
- Accede a tu Área de Cliente de SiteGround y ve al Site Tools para el sitio web que deseas administrar.
- Ve a Dominio > Editor de zona DNS.
- Selecciona tu nombre de dominio del menú desplegable.
- En la sección Gestionar registros DNS, busca el registro DMARC existente. Debe ser un registro tipo TXT, que comience con “v=DMARC1”.
- Haz clic en el ícono de lápiz al lado para editarlo.
- En la ventana emergente que aparece, en el campo Valor, ingresa tu registro DMARC, como “v=DMARC1; p=none; rua=mailto:tu-email@ejemplo.com;” reemplazando tu-email@ejemplo.comcon la dirección de email donde deseas recibir los informes.
- Haz clic en el botón Crear para añadir el registro.
Después de añadir el registro DMARC, puede tomar un tiempo para que los cambios se propaguen a través de Internet antes de que surtan efecto.
Mejores prácticas para registros DMARC
Al implementar registros DMARC, es importante comenzar con una política de “none” para monitorizar cómo se manejan tus emails sin afectar su entrega. Esta fase inicial de monitoreo te permite recopilar datos sobre tus flujos de email y asegurar que los emails legítimos se autentican correctamente. Gradualmente, puedes pasar a políticas más restrictivas como “quarantine” o “reject” a medida que tengas más confianza en tus procesos de autenticación de email.
Revisa regularmente tus informes de DMARC para identificar cualquier problema de configuración o uso no autorizado de tu dominio. Mantén tus etiquetas “rua” y “ruf” actualizadas para asegurarte de que estás recibiendo estos valiosos informes. Además, educa a tu equipo sobre la importancia de DMARC y asegúrate de que todos los remitentes de email dentro de tu organización cumplan con los estándares SPF y DKIM.
Conclusión
Implementar un registro DMARC es un paso crítico para asegurar tus comunicaciones por email y proteger tu dominio de abusos. Al configurar una política DMARC, puedes especificar cómo los destinatarios de email deben manejar los emails que fallan las comprobaciones de autenticación, evitando así ataques de phishing y spoofing de dominio. Con el auge de las amenazas basadas en el email, la adopción de DMARC no solo es recomendable; se está convirtiendo en una necesidad para la gestión responsable de dominios.
Preguntas frecuentes sobre DMARC
- ¿Qué pasa si no configuro un registro DMARC para mi dominio? Sin un registro DMARC, no tienes control sobre cómo los servidores de correo receptores manejan los emails que parecen provenir de tu dominio pero que no pasan las comprobaciones SPF o DKIM. Esto podría provocar que tu dominio se utilice en ataques de phishing sin tu conocimiento.
- ¿Con qué frecuencia debo revisar mis informes de DMARC? Es una buena práctica revisar tus informes de DMARC regularmente, al menos una vez a la semana cuando implementas DMARC por primera vez. A medida que te familiarices con los patrones en el tráfico de tu email, puedes ajustar la frecuencia.
- ¿Puede DMARC prevenir todo tipo de spoofing de email? Si bien DMARC reduce significativamente el riesgo de spoofing de dominio directo, no previene todos los tipos de spoofing de email, como ataques de dominio ‘primo’ o engaño del nombre que se muestra. Debe usarse como parte de una estrategia integral de seguridad de email, no como un único método de defensa.
- ¿Existe el riesgo de que los emails legítimos sean rechazados con una política “reject” de DMARC? Sí, si los emails legítimos no pasan las comprobaciones de SPF o DKIM, podrían ser rechazados. Es por eso que es crucial comenzar con una política de “none” y asegurarse de que tus flujos de email legítimos estén correctamente autenticados antes de pasar a una política de “reject“.
- ¿Todos los proveedores de servicios de email son compatibles con DMARC? La mayoría de los principales proveedores de servicios de email admiten DMARC, pero puede haber algunos que no implementen completamente el protocolo. Por lo tanto, no todos los servidores que manejan los emails de los destinatarios de tus mensajes pueden seguir las instrucciones que has configurado en el registro DMARC.