Artículo de blog

  • 8 minutos leídos
Perfil del/a autor/a
  • Kiara Saloojee
  • DMARC Enthusiast

Cómo elegir la DMARC adecuada para tu organización

Una mano sobre un dispositivo móvil con gráficos de barras digitales y un escudo

Resumen de DMARC :

  • p=none supervisa el tráfico de correo electrónico y genera reporte , pero no protege contra la suplantación de identidad. Los correos electrónicos no autenticados y suplantados siguen llegando a los destinatarios.
  • p=quarantine que desvía los correos electrónicos a la carpeta de spam o correo no deseado. Se trata de una fase de transición, no de una solución a largo plazo; su objetivo es detectar errores de configuración antes de la aplicación completa.
  • p=reject es la solo que bloquea de forma activa los correos electrónicos falsificados. Los mensajes que no superan DMARC llegan a la bandeja de entrada, no van a parar a la carpeta de spam y no se pueden recuperar.
  • Alcanzar p=reject requiere una visión completa y precisa de todas las fuentes que envían correo electrónico en nombre de tus dominios.
  • Los remitentes desconocidos, los entornos distribuidos, las desviaciones en la configuración y la carga de trabajo manual son los principales obstáculos.

La mayoría de las empresas saben que DMARC tres opciones de política. Sin embargo, son pocas las que saben cómo decidir qué DMARC aplicar y cuándo hacerlo. Esta guía constituye un marco de referencia para la toma de decisiones.

DMARC más adecuada depende de tu conocimiento de las fuentes de envío de correo electrónico, del estado de tu DKIM SPF DKIM , y de la disposición de tu empresa a aplicar estas medidas.

¿No sabes cuál es el estado de tu dominio? Realiza un análisis gratuito del dominio para ver tu DKIM actual DMARC, SPF y DKIM en cuestión de segundos.

Si corres riesgo de suplantación de identidad, uno de nuestros expertos se pondrá en contacto para ayudarte.

Qué controla realmente la etiqueta p=

La etiqueta p= indica a los servidores receptores qué hacer con los correos electrónicos que no superan DMARC . solo se aplica solo los correos que no superan DMARC ; los mensajes que sí DMARC superan no DMARC afectados, independientemente de la política que se haya establecido.

Hay que tener en cuenta una cosa: los servidores receptores son los que deciden si respetan la política. La mayoría de los principales proveedores lo hacen, pero no todos. Eso significa que p=reject no garantiza un bloqueo universal.

A continuación se explica cómo funciona cada DMARC :

PolíticaInstruccionesEntrega
p=noneNo hacer nada
p=quarantineA la carpeta de spam o correo no deseadoSí – filtrado
p=rejectRechazar el mensajeNo

Cuando p=none es la opción correcta, y cuándo no lo es

p=none es la DMARC adecuada al inicio de una implementación. Cuando una organización aún no tiene una visión completa de sus fuentes de envío de correo electrónico, el modo de supervisión proporciona visibilidad sin el riesgo de bloquear correos electrónicos legítimos.

Ya estás listo para salir p=none cuando:

  1. Estás revisando reporte agregados reporte
  2. Has identificado todas las fuentes de envío legítimas
  3. SPF DKIM correctamente configurados para esas fuentes

El riesgo es quedarse en p=none sin un plan para avanzar. En este nivel de política, los correos electrónicos falsificados y no autenticados siguen llegando a los destinatarios. El dominio está supervisado, pero no protegido.

Cuándo pasar a p=quarantine

Una empresa está preparada para la p=quarantineDMARC cuando sus fuentes de envío principales están identificadas y autorizadas. En esta fase, los correos electrónicos que no pasan la validación se desvían a la carpeta de spam o correo no deseado en lugar de ser rechazados. Los correos electrónicos legítimos que se configuran incorrectamente durante la transición se pueden recuperar: los destinatarios pueden consultar su carpeta de spam.

Tratar p=quarantine como algo temporal. Su objetivo es detectar los fallos de autenticación restantes antes de la aplicación completa.

Las empresas suelen subestimar el tiempo que lleva esta fase. Las organizaciones con varios dominios, filiales o regiones tardan más en estandarizar la configuración del remitente. Precipitarse a p=reject antes de que la configuración del remitente esté completa supone un riesgo de entrega para los correos electrónicos legítimos.

Cuando p=reject es operativamente seguro

p=reject es la solo DMARC que impide de forma activa que los correos electrónicos falsificados lleguen a los destinatarios. Es segura desde el punto de vista operativo cuando:

  1. Todas las fuentes de envío autorizadas están identificadas y correctamente configuradas
  2. reporte agregados reporte muestran una alta tasa de paso para los mensajes legítimos
  3. reporte errores de reporte confirman que ningún remitente legítimo está fallando en la autenticación

Los mensajes que no superan DMARC bloquean. No llegan a la bandeja de entrada, no van a parar a la carpeta de correo no deseado y no se pueden recuperar.

Los correos electrónicos legítimos solo en p=reject si los remitentes no están configurados correctamente. Corrige la configuración; no eludas la aplicación de las normas.

¿Qué impide a las empresas alcanzar p=reject

La mayoría de las empresas no se quedan estancadas en p=none por falta de voluntad. Se estancan debido a realidades operativas que son difíciles de resolver a gran escala.

Hay cuatro problemas que suelen obstaculizar el avance:

  • Remitentes desconocidos. Los departamentos adoptan herramientas SaaS de envío de correo electrónico —plataformas de marketing, sistemas de RR. HH., servicios de correo electrónico transaccional— sin informar al departamento de TI ni al de seguridad. Estas aparecen como fuentes no autenticadas en los informes agregados. Hasta que no se identifique y autorice cada fuente de envío, el cumplimiento normativo seguirá siendo un riesgo.
  • Entornos distribuidos. Las organizaciones con múltiples dominios, filiales o regiones tienen dificultades para estandarizar las políticas y la configuración de los remitentes a gran escala. Una política que funciona para una unidad de negocio puede impedir la autenticación en otra.
  • Desviaciones en la configuración. Los ajustes cambian con el tiempo. Se añaden nuevas herramientas. SPF se actualizan. DKIM se renuevan. Sin una supervisión continua, estos cambios provocan fallos de autenticación que pasan desapercibidos, hasta que se convierten en un incidente de entrega o de seguridad.
  • La carga de trabajo que supone la gestión manual. Analizar reporte agregados, investigar los fallos y coordinar los cambios en el DNS entre los distintos equipos requiere muchos recursos. La mayoría de los equipos de TI y seguridad no tienen la capacidad necesaria para gestionar DMARC a gran escala.

Cómo te ayuda Sendmarc a elegir la DMARC más adecuada

Una aplicación rigurosa de las normas comienza con una visibilidad total. La plataforma de Sendmarc identifica todas las fuentes que envían correos electrónicos en nombre de tus dominios, incluidas las herramientas no autorizadas de las que tus propios equipos podrían no tener conocimiento.

Sendmarc ofrece:

  • Visibilidad unificada de todas las fuentes de envío en todos los dominios y regiones
  • Alertas sobre remitentes no autorizados o desconocidos en cuanto aparecen
  • Control centralizado de los equipos de marketing, recursos humanos, finanzas y producto
  • Supervisión y optimización continuas de DMARC, SPF y DKIM
  • Registros de auditoría para demostrar el cumplimiento de las políticas ante los comités de cumplimiento y de riesgos

Descubre cómo Sendmarc te ayuda a alcanzar DMARC plena DMARC de DMARC .

Reserva una demo