Descripción general de DMARC

DMARC, que significa “Autenticación de mensajes basados en el dominio, generación de informes y conformidad”, es un protocolo de autenticación de correo electrónico. Las personas que envían correos no deseados a menudo falsifican o falsean las direcciones del campo Desde en los correos electrónicos y hacen que parezca que provienen de su dominio. Para evitar este tipo de abusos con su dominio e informar a los demás dominios de destinatarios acerca de sus políticas de dominio saliente, puede publicar un registro DMARC mediante el cual los servicios de correo electrónico que emplean los estándares DMARC puedan gestionar los correos no autenticados. Esto también ayuda a controlar las actividades de retrodispersión de correo electrónico y suplantación de identidad mediante su dominio y ayuda a proteger la reputación de su dominio. DMARC ayuda al receptor a gestionar mejor los mensajes fallidos y, por lo tanto, limita o elimina la exposición del receptor final a dichos correos electrónicos falsificados que utilizan el dominio.

DMARC no solo ofrece un método para que los destinatarios de correo electrónico notifiquen a los remitentes sobre correos electrónicos que pasan o fallan la evaluación de DMARC, sino que también integra una función de informes dentro de su política. La consola de administración de Zoho Mail ofrece una sección Informes de DMARC aparte dentro de los informes de administración, en la que puede analizar los informes de DMARC recibidos a través de correo electrónico. Esta función permite que tanto los remitentes como los destinatarios mejoren y supervisen la protección del dominio en función de los correos electrónicos fraudulentos, lo que facilita la comunicación por correo electrónica segura.

Contenido

Antes de publicar DMARC

La política de DMARC se basa en los protocolos SPF y DKIM ampliamente implementados para garantizar la autenticidad del correo electrónico. Permite que el remitente indique que sus correos electrónicos están protegidos por SPF o DKIM, y le indica a los destinatarios sobre la acción, como poner en cuarentena o rechazar el mensaje, si fallan las verificaciones de SPF y DKIM.

Un correo electrónico que utilice la dirección de correo electrónico de su dominio, que no pase la prueba SPF o DKIM, activará la política DMARC. Debe configurar los registros del SPF y las claves DKIM para sus dominios antes de publicar la política DMARC.

La política de DMARC será eficaz, solo si envía todos los correos electrónicos con sus propios dominios. Los correos electrónicos enviados en nombre de su dominio, a través de servicios de terceros, aparecerá como no autenticado y puede ser rechazado según la política de DMARC publicada. Para autorizar los correos electrónicos a través de proveedores externos, debe compartir la clave DKIM para que se incluya en los encabezados, o los correos electrónicos se deben enviar a través de los servidores SMTP que ya tienen las claves DKIM autorizadas y los registros SPF publicados.

Registros de DMARC

Los registros de DMARC son registros de DNS que ayudan a evitar la suplantación de correo electrónico y los ataques de robo de identidad (“phishing”), ya que proporcionan una forma para que los remitentes de correo electrónico autentiquen sus correos electrónicos. Estos registros contienen políticas que indican a los servidores de correo electrónico cómo manejar los correos electrónicos que afirman provenir de un dominio específico. Los registros de DMARC especifican reglas para los métodos de autenticación de correo electrónico, como SPF (Marco de políticas del remitente) y DKIM (Correo identificado de claves de dominio). Un registro de DMARC comprende varios componentes clave, cada uno de los cuales cumple una función esencial en garantizar la autenticidad de las comunicaciones por correo electrónico y en especificar la acción que se debe tomar cuando un correo electrónico falla la autenticación. Los componentes son los siguientes:

Acción de la política

El componente de política de un registro de DMARC especifica la acción que se debe tomar cuando un correo electrónico falla la autenticación. Mediante la definición de políticas, como Cuarentena, Rechazo o Ninguna, los propietarios de dominio pueden proteger a los destinatarios de correos electrónicos potencialmente perjudiciales y reforzar la confianza en su dominio. Recomendamos encarecidamente implementar la política de DMARC de manera gradual. Para hacerlo de manera gradual, deberá establecer la acción que se debe tomar cuando falle la validación de DMARC, o el parámetro “p”, de Ninguna a Cuarentena y, finalmente, Rechazo. A continuación, se incluye una explicación detallada de la acción:

Fase 1: Supervisar los informes y el tráfico

Cuando establece la política de DMARC en “p=none,” todos los correos electrónicos se entregarán como de costumbre, independientemente de si pasan o fallan la autenticación de DMARC. Esta fase es exclusivamente para fines de supervisión y no lleva a cabo ninguna acción en la entrega de correos electrónicos. Usted recibirá informes de infracciones a la dirección de correo electrónico especificada en la política. Una vez que encuentre los informes con solo correos electrónicos falsificados válidos, puede cambiar la política a Cuarentena. Si establece la acción que se debe tomar cuando DMARC falla en Ninguna, el registro normalmente se generará de la siguiente manera:

“v=DMARC1; p=none; rua=mailto:admin@yourdomain.com”

Fase 2: Cuarentena de correos electrónicos y análisis

Cuando establece la política DMARC en “p=quarantine”, todos los correos electrónicos que no tengan la autenticación DMARC se enviarán a cuarentena y le enviarán informes de la infracción a la dirección de correo electrónico especificada en la política. Puede supervisar los correos electrónicos en cuarentena y aprobar o rechazar correos electrónicos desde cuarentena. Puede revisar sus informes y también supervisar los correos electrónicos de cuarentena. Una vez que esté seguro de que solo se rechazarán los correos electrónicos falsificados y de que todos los correos válidos están firmados, puede cambiar la política a Rechazar para implementar DMARC por completo. Si establece la acción que se debe tomar cuando DMARC falla en Cuarentena, el registro normalmente se generará de la siguiente manera:

“v=DMARC1; p=quarantine; rua=mailto:admin@yourdomain.com”

Fase 3: Rechazar correos electrónicos con suplantación de identidad

Cuando establece la política de DMARC en "p=reject", se rechazarán todos los correos electrónicos que no pasen la autenticación de DMARC y no se enviarán a la bandeja de entrada del destinatario como de costumbre. Puede hacer un seguimiento de los correos electrónicos rechazados a través de los informes que recibe por correo electrónico a la dirección de correo proporcionada. Si establece la acción que se debe tomar cuando DMARC falla en Rechazar, el registro normalmente se generará de la siguiente manera:

“v=DMARC1; p=reject; rua=mailto:admin@yourdomain.com”

Política de porcentaje

El porcentaje de política, o el componente “pct” del registro de DMARC, especifica el porcentaje de correos electrónicos que se verán afectados por la política en la fase 2 o la fase 3. Al configurar DMARC, puede especificar un valor de porcentaje entre 0 % y 100 % como porcentaje de política para determinar el porcentaje de correos electrónicos que deben estar sujetos a la acción de la política de DMARC (como cuarentena o rechazo) si fallan la autenticación de DMARC. Se recomienda aumentar lentamente el porcentaje de 0 % a 100 % para una transición gradual que minimice el posible impacto en el tráfico de correo electrónico legítimo. Lo importante es asegurarse de supervisar los informes de correo electrónico con regularidad para garantizar que los correos válidos no se rechacen ni se coloquen en cuarentena antes de la implementación total de la política de DMARC. Este porcentaje de política se especifica en la etiqueta pct del registro de DMARC. Por ejemplo,

“v=DMARC1; p=quarantine; pct=20; rua=mailto:admin@yourdomain.com”

En el ejemplo anterior, solo el 20 % de los correos electrónicos que parecen falsificados se pondrán en cuarentena y el resto de ellos todavía se entregará de la forma habitual, pero se incluirá en los informes.

Alineación de DMARC

La alineación de DMARC garantiza que los dominios encontrados en el registro SPF y la firma DKIM estén alineados con el dominio que se encuentra en el encabezado Desde del correo electrónico. Estas alineaciones en la política de DMARC fortalecen la integridad de las comunicaciones por correo electrónico al verificar que los correos electrónicos se originan de fuentes legítimas y que no se han alterado durante el tránsito. Sin embargo, las organizaciones pueden tener diferentes configuraciones de infraestructura de correo electrónico, incluidos complejos reenvíos de correo electrónico, subdominios y servicios externos. Por lo tanto, para proporcionar flexibilidad y adaptarse a las diversas configuraciones de correo electrónico y prácticas de autenticación en diferentes organizaciones, los usuarios pueden elegir entre los modos de alineación Estricto y Relajado. La elección entre una alineación estricta y relajada depende de los requisitos de seguridad de la organización y de las políticas de autenticación de correo electrónico.

Alineación de SPF (aspf)

La alineación de SPF comprueba si el dominio indicado en el registro de SPF corresponde al dominio especificado en la dirección del encabezado Desde del correo electrónico.

  • En los modos de alineación Estrictos (s), si hay discrepancias, como diferencias en los subdominios o variaciones en el nombre de dominio entre el dominio del encabezado Desde y el dominio de registro de SPF, el modo de alineación estricto generará una falla de alineación.
  • En el modo de alineación relajado (r), siempre y cuando compartan el mismo dominio de la organización, incluso si hay variaciones menores, como pequeñas diferencias en el nombre de dominio o subdominios entre el dominio del encabezado Desde y el dominio de registro de SPF, pasarán la alineación de SPF.
    Alineación de SPF

En el ejemplo anterior, dado que tanto el dominio que se encuentra en la dirección del encabezado Desde como en el sobre de la dirección Desde/dirección de la ruta de retorno están alineados, esto indica que el correo electrónico ha pasado la autenticación de SPF.

Alineación de DKIM (adkim)

La alineación de DKIM comprueba si el dominio indicado en la firma de DKIM coincide con el dominio especificado en la dirección del encabezado Desde del correo electrónico.

  • En el modo de alineación Estricto (s), 'd=' tag (domain)) en la firma de DKIM debe coincidir con precisión con el dominio que se encuentra en el encabezado Desde del correo electrónico. Cualquier diferencia, como en los subdominios o variaciones en el nombre de dominio, genera una falla de alineación.
  • En el modo de alineación Relajado (r), siempre y cuando domain ('d=' tag) de la organización de la firma de DKIM coincida con el dominio de la organización del encabezado Desde, incluso si los subdominios difieren, el correo electrónico pasa la alineación de DKIM.
    Alineación de DKIM

En el ejemplo anterior, la alineación correcta entre el dominio en la dirección del encabezado Desde y la etiqueta 'd=' indica que el correo electrónico pasó la autenticación DKIM.

Generar registros de DMARC

La publicación manual de registros de DMARC puede ser propensa a errores debido a la complejidad de las opciones de sintaxis y configuración involucradas. Incluso los errores menores en el registro de DMARC, como errores tipográficos, configuración incorrecta de políticas o información faltante, pueden generar una interpretación errónea por los servidores de correo electrónico o problemas de capacidad de entrega de correo electrónico.

Para mitigar el riesgo de errores y garantizar la configuración precisa de registros de DMARC, Zoho Mail proporciona la generación automática de registros de DMARC en la consola de administración. Siga los pasos a continuación para generar registros de DMARC:

  1. Inicie sesión en la consola de administración de Zoho Mail como administrador o superadministrador.
  2. Vaya a Dominios en el panel de la izquierda y seleccione el dominio para el que desea configurar DMARC.
  3. En la pestaña Configuración de correo electrónico, seleccione DMARC.
  4. Seleccione la acción que se va a tomar cuando falle la validación de DMARC para su dominio de acuerdo con sus preferencias de las opciones que se indican a continuación:
    • No hacer nada con el correo electrónico (Fase 1)
    • Poner en cuarentena los correos electrónicos (Fase 2)
    • Rechazar los correos electrónicos (Fase 3)
  5. Proporcione la Dirección de correo electrónico de notificación agregada a la que se debe enviar el informe agregado detallado.
  6. Proporcione la Dirección de correo electrónico de notificación forense a la que se debe enviar el informe forense.
  7. Seleccione la acción que se va a tomar cuando falle la validación de DMARC para su subdominio de acuerdo con sus preferencias de las opciones que se indican a continuación:
    • No hacer nada con el correo electrónico (Fase 1)
    • Poner en cuarentena los correos electrónicos (Fase 2)
    • Rechazar los correos electrónicos (Fase 3)

  8. Si es necesario, indique el porcentaje de política para especificar el porcentaje de correos electrónicos que deben estar sujetos a las acciones de la política de DMARC configuradas (cuarentena o rechazo).

    Nota:

    Si no especifica un porcentaje de política, se establecerá el porcentaje predeterminado de 100 % para la acción de su política de DMARC.

  9. Seleccione la gravedad de la alineación de SPF para determinar con qué precisión el registro de SPF debe coincidir con la dirección de remitente en el encabezado del correo electrónico para que pase la autenticación de las opciones (Estricto/Relajado).
  10. Seleccione la gravedad de la alineación de DKIM para determinar con qué precisión la firma de DKIM debe coincidir con la dirección en el encabezado Desde del correo electrónico para que pase la autenticación de las opciones (Estricto/Relajado).
  11. Una vez hecho esto, haga clic en Generar.
    Política de Dmarc

Se generarán registros TXT que contengan las configuraciones de DMARC especificadas.

Publicación de la política DMARC

El registro de DMARC generado se realizará en el siguiente formato:

Nombre del registro TXT:Valor del registro TXT:
_dmarc.yourdomain.comv=DMARC1; p=none; rua=mailto:admin@yourdomain.com; ruf=mailto:admin2@yourdomain.com; sp=none; adkim=r; aspf=s; pct=40

Nota:

  • En este ejemplo, yourdomain debe reemplazarse por su nombre de dominio.
  • Los componentes del registro pueden variar según sus configuraciones de DMARC.
  • Para obtener más información sobre los componentes del registro de DMARC, haga clic aquí.

Una vez que genera el registro de política de DMARC, debe crear un registro TXT en su DNS y publicar los valores generados. Para publicar su registro de DMARC, siga los pasos que se indican a continuación:

  1. Vaya a la página Configuración de DNS de su proveedor de dominio.
  2. Cree un registro TXT en su DNS.
  3. Copie y pegue los valores de Nombre de TXT/Host generados en la consola de administración.
  4. Copie y pegue los valores de Valor de TXT/Contenido generados en la consola de administración.
  5. Elija el valor de TTL más corto para que los cambios surtan efecto lo antes posible y, a continuación, haga clic en Agregar.
  6. Una vez agregado, vuelva a la consola de administración y haga clic en Verificar para verificar los registros.

verificar registro

Después de una verificación satisfactoria, se configurará el registro de DMARC para su dominio. Si desea actualizar los registros de DMARC, vaya a la sección de la política de DMARC en la consola de administración y haga clic en el botón Volver a generar. Realice los cambios necesarios, genere el registro y actualícelo en su página DNS.

Una vez configurado, comenzará a recibir informes de DMARC de acuerdo con sus configuraciones de DMARC. Estos informes le proporcionan información acerca de las anomalías en los correos electrónicos, la fuente de los correos electrónicos sin firmar o los correos electrónicos que parecen ser falsos. Además, detallan el recuento general de correos electrónicos que pasan o fallan las validaciones de DMARC, DKIM y SPF. Mediante el uso de estos informes de DMARC, puede comprender y analizar la actividad de direcciones IP que envían correos electrónicos en nombre de su dominio, revisar las fuentes y posiblemente incluir direcciones IP válidas en sus registros de SPF o configurar fuentes legítimas con DKIM.

Nota:

Cada vez que vuelva a generar el registro de DMARC en la consola de administración para actualizar las configuraciones de DMARC para su dominio o subdominio, asegúrese de actualizar el registro TXT correspondiente en su página DNS para aplicar las nuevas configuraciones de la política de DMARC.

Solución de problemas al agregar y verificar registros de DMARC

Errores de configuración de SPF y DKIM

Vuelva a comprobar la configuración de DNS para asegurarse de que tanto los registros SPF como DKIM se publiquen correctamente y estén accesibles para los servidores de correo electrónico que realizan comprobaciones de autenticación.

Valores incorrectos/errores de sintaxis

Verifique la sintaxis de su registro de DMARC para asegurarse de que siga el formato correcto. Los errores habituales incluyen falta de punto y coma, etiquetas incorrectas o valores no válidos. Se recomienda generar el registro de DMARC en la consola de administración para evitar inconsistencias en los registros.

TTL más extenso

El tiempo de vida (TTL) es el tiempo especificado en el DNS para que cada cambio en el DNS sea efectivo. Si tiene un valor de TTL extenso (24 o 48 horas), es posible que no se proporcionara el registro TXT durante el proceso de verificación. Los cambios de DNS pueden tardar de 12 a 24 horas en surtir efecto, según el conjunto de TTL. Compruebe el valor TTL con la herramienta de verificación de DNS e intente verificarlo después de un tiempo.
 

¿Todavía no puede encontrar lo que busca?

Escríbanos: support@zohomail.com