La autenticación, los informes y la conformidad de mensajes basados en dominios ( DMARC ) es un protocolo importante creado para reducir los riesgos asociados con la suplantación de correo electrónico y phishing Los reguladores del correo electrónico de todo el mundo exigen o recomiendan cada vez más DMARC implementación con Sender Policy Framework ( SPF ) y DomainKeys Identified Mail ( DKIM ) para mejorar la seguridad del correo electrónico.
DMARC está pasando de ser una medida de seguridad opcional a un requisito fundamental. Aunque todavía no es obligatorio en todo el mundo, muchos lo consideran cada vez más esencial. La implementación de DMARC no solo ayuda a las organizaciones a cumplir las normas del sector, sino que también refuerza las defensas frente a las amenazas del correo electrónico.
Las tablas siguientes ofrecen una visión detallada de las normativas internacionales de seguridad del correo electrónico y los mandatos DMARC. Estas reglas y recomendaciones proceden de diversos grupos, como autoridades gubernamentales, reguladores del sector y organizaciones de cumplimiento específicas del sector.
Gobiernos de todo el mundo están incorporando cada vez más regulaciones sobre DMARC para mejorar la seguridad del correo electrónico tanto en el sector público como en el privado. Su objetivo es proteger las infraestructuras críticas, asegurar las comunicaciones y reducir la ciberdelincuencia.
Regulación
Región
Qué significa
Los correos electrónicos del gobierno deben implementar SPF , DKIM , y un DMARC política de p=quarantine o p=reject .
DBO
Directiva Operativa Vinculante 18-01
Las agencias federales deben hacer cumplir STARTTLS, SPF , DKIM , y DMARC con un p=reject política.
California SIMM
Manual de gestión de la información del Estado de California - 5315A
Sí
MS-ISAC
Centro Multiestatal de Análisis e Intercambio de Información
Estados Unidos
No
Sí
No
Sí
Sí
No
NZISM
Manual de seguridad de la información de Nueva Zelanda v3.8
Sí
Sí
No
Normativa: Política de correo electrónico del Gobierno canadiense
Región: Canadá
Qué significa: Los correos electrónicos del gobierno deben implementar SPF , DKIM , y un DMARC política de p=quarantine o p=reject .
Obligatorio para DMARC : Sí
Reglamento: DBO - Directiva Operativa Vinculante 18-01
Región: Estados Unidos
Lo que significa: Las agencias federales deben hacer cumplir STARTTLS, SPF , DKIM , y DMARC con un p=reject política.
Obligatorio para DMARC : Sí
Normativa: California SIMM - Manual de gestión de la información del Estado de California - 5315A
Región: Estados Unidos (California)
Lo que significa: Las agencias estatales deben implementar DMARC para protección contra amenazas de correo electrónico.
Obligatorio para DMARC : Sí
Reglamento: MS-ISAC - Centro Multiestatal de Análisis e Intercambio de Información
Región: Estados Unidos
Qué significa: Configurar DMARC , SPF , y DKIM Para mejorar la ciberseguridad.
Obligatorio para DMARC : No
Reglamento: Mandato del Gobierno danés
Región: Dinamarca
Lo que significa: Todas las agencias gubernamentales deben implementar a DMARC política de p=reject .
Obligatorio para DMARC : Sí
Normativa: Norma irlandesa de ciberseguridad del sector público
Región: Irlanda
Qué significa: Los organismos de servicio público deben hacer cumplir SPF , DKIM , y DMARC .
Obligatorio para DMARC : No
Normativa: Mandato del Gobierno neerlandés
Región: Países Bajos
Qué significa: Las agencias gubernamentales deben implementar STARTTLS, DANE, SPF , DKIM , y DMARC .
Obligatorio para DMARC : Sí
Normativa: Política de correo electrónico seguro del Gobierno británico
Región: Reino Unido
Qué significa: Los departamentos gubernamentales deben implementar Gracias, DMARC , DKIM , y SPF .
Obligatorio para DMARC : Sí
Normativa: Guía de seguridad del correo electrónico del Gobierno indio
Región: India
Qué significa: Implementar SPF , DKIM , y DMARC para una mayor seguridad del correo electrónico.
Obligatorio para DMARC : No
Reglamento: NZISM - Manual de Seguridad de la Información de Nueva Zelanda v3.8
Región: Nueva Zelanda
Qué significa: Las agencias gubernamentales deben utilizar DMARC con una política de p=reject , SPF , y DKIM .
Obligatorio para DMARC : Sí
Reglamento: Mandato del sector financiero de Ruanda
Región: Ruanda
Qué significa: Las instituciones financieras deben implementar SPF , DKIM , y DMARC .
Obligatorio para DMARC : Sí
Normativa: Norma de seguridad del correo electrónico del sector público de Ruanda
Región: Ruanda
Qué significa: Las instituciones públicas deben implementar DMARC para bloquear la suplantación de correo electrónico.
Obligatorio para DMARC : No
Varios organismos reguladores y de cumplimiento de la normativa han introducido requisitos de seguridad del correo electrónico para proteger la información sensible y garantizar la continuidad de la actividad empresarial.
Regulación
Región
Qué significa
CCPA
Ley de Privacidad del Consumidor de California
Estados Unidos (California)
No
CIS
Centro para la Seguridad en Internet controles críticos de seguridad
No
FedRAMP
Programa Federal de Gestión de Riesgos y Autorizaciones DMARC
Sí
CMMC
Certificación del Modelo de Madurez de Ciberseguridad
Estados Unidos
No
NIST CSF
Instituto Nacional de Normas y Tecnología Marco de Ciberseguridad
No
GDPR
Reglamento General de Protección de Datos
Es una obligación para las empresas a proteger los datos personales. Al proteger los datos de correo electrónico de accesos no autorizados, DMARC contribuye al cumplimiento del GDPR.
No
No
No
Las organizaciones deberían implementar DMARC para dominios activos y estacionados.
No
Las organizaciones del sector público deberían implementar medidas de ciberseguridad como DMARC .
No
Sí
Configuración de SPF, DKIM y DMARC con una política p=reject para reducir las amenazas del correo electrónico.
No
ECC
Controles esenciales de ciberseguridad de Arabia Saudí
Sí
POPIA
Ley de Protección de Datos Personales
No
Las organizaciones que envían más de 5.000 correos electrónicos al día deben autenticar los dominios con TLS, DKIM, SPF y una política DMARC de p=none como mínimo.
Sí
Internacional
Sí
ISO/IEC
Organización Internacional de Normalización / Comisión Electrotécnica Internacional 27001
Internacional
Las organizaciones deben gestionar eficazmente los riesgos de seguridad de la información para cumplir con la norma ISO/IEC 27001. Implementación DMARC Puede ayudar a las empresas a cumplir.
No
Normativa: CCPA - Ley de Privacidad del Consumidor de California
Región: Estados Unidos (California)
Qué significa: Refuerza la protección de datos del cliente; DMARC Ayuda a proteger la información confidencial.
Obligatorio para DMARC : No
Normativa: CIS - Centro para la Seguridad en Internet controles críticos de seguridad
Región: Estados Unidos
Qué significa: Implementar DMARC para reducir los ataques exitosos de suplantación de correo electrónico.
Obligatorio para DMARC : No
Regulación: FedRAMP – Programa Federal de Gestión de Riesgos y Autorizaciones DMARC
Región: Estados Unidos
Qué significa: Los proveedores de servicios en la nube deben aplicar un p=reject DMARC política.
Obligatorio para DMARC : Sí
Explicación de la normativa: CMMC - Certificación del Modelo de Madurez de Ciberseguridad
Región: Estados Unidos
Qué significa: Las empresas que trabajan con el Departamento de Defensa (DoD) deben proteger la información confidencial. DMARC mejora la seguridad, reduciendo el riesgo de fugas de información.
Obligatorio para DMARC : No
Normativa: NIST CSF - National Institute of Standards and Technology Cybersecurity Framework (Marco de Ciberseguridad del Instituto Nacional de Normalización y Tecnología)
Región: Estados Unidos
Qué significa: Las organizaciones deben reducir los riesgos de ciberseguridad implementando soluciones como DMARC .
Obligatorio para DMARC : No
Reglamento: GDPR - Reglamento General de Protección de Datos
Región: Unión Europea
Qué significa: Exige que las empresas protejan los datos personales. Al proteger los datos de correo electrónico del acceso no autorizado, DMARC ayuda con el cumplimiento del RGPD.
Obligatorio para DMARC : No
Normativa: Orientaciones sobre la seguridad del correo electrónico en Francia
Región: Francia
Qué significa: Los administradores de correo electrónico deben implementar SPF , DKIM , y DMARC .
Obligatorio para DMARC : No
Normativa: Orientaciones sobre seguridad de los PSI en Alemania
Región: Alemania
Qué significa: Los ISP deberían utilizar DMARC , SPF , y DKIM para combatir el Spam y phishing .
Obligatorio para DMARC : No
Reglamento: Recomendaciones de Portugal en materia de ciberseguridad
Región: Portugal
Qué significa: Las organizaciones deberían implementar DMARC para dominios activos y estacionados.
Obligatorio para DMARC : No
Normativa: Plan de acción de ciberresiliencia de Escocia
Región: Escocia
Qué significa: Las organizaciones del sector público deben implementar medidas de ciberseguridad como DMARC .
Obligatorio para DMARC : No
Normativa: Seguridad del correo electrónico en el sector público británico
Región: Reino Unido
Qué significa: Los correos electrónicos del sector público deben utilizar TLS y DMARC para cifrar y autenticar el correo electrónico.
Obligatorio para DMARC : Sí
Normativa: Directrices australianas sobre ciberseguridad
Región: Australia
Qué significa: Configurar SPF , DKIM , y DMARC con un p=reject Política para reducir las amenazas del correo electrónico.
Obligatorio para DMARC : No
Reglamento: ECC - Controles esenciales de ciberseguridad de Arabia Saudí
Región: Arabia Saudí
Qué significa: Las organizaciones deben implementar Fuerte protección del correo electrónico, que incluye SPF , DKIM , y DMARC .
Obligatorio para DMARC : Sí
Reglamento: POPIA - Ley de protección de datos personales
Región: Sudáfrica
Qué significa: Tomar medidas razonables para evitar el acceso no autorizado a la información personal. DMARC Puede mejorar la protección de datos confidenciales.
Obligatorio para DMARC : No
Reglamento: Requisitos de Microsoft para los remitentes de grandes volúmenes
Región: Internacional
Qué significa: Las empresas que envían más de 5000 correos electrónicos por día a dominios de Microsoft deben implementar SPF , DKIM , y un DMARC política de al menos p=none .
Obligatorio para DMARC : Sí
Normativa: ISO/IEC - Organización Internacional de Normalización/Comisión Electrotécnica Internacional 27001
Región: Internacional
Qué significa: Las organizaciones deben gestionar eficazmente los riesgos de seguridad de la información para cumplir con la norma ISO/IEC 27001. Implementación DMARC Puede ayudar a las empresas a cumplir.
Obligatorio para DMARC : No
Regulación
Región
Qué significa
PCI DSS
Norma de seguridad de datos del sector de las tarjetas de pago v4.0
No
GLBA
Norma de confidencialidad de la información financiera de los consumidores de la Ley Gramm-Leach-Bliley
No
Normativa: PCI DSS - Estándar de seguridad de datos del sector de tarjetas de pago v4.0
Región: Internacional
Qué significa: Requiere mecanismos automatizados para detectar y proteger contra phishing . DMARC , SPF , y DKIM Se recomiendan las mejores prácticas.
Obligatorio para DMARC : No
Normativa: GLBA - Privacy of Consumer Financial Information Rule de la Ley Gramm-Leach-Bliley
Región: Estados Unidos
Lo que significa: Requiere que las instituciones financieras protejan los datos de los clientes; DMARC Puede ayudar a mejorar las defensas.
Obligatorio para DMARC : No
Regulación
Región
Qué significa
Sí
HIPAA
Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (Health Insurance Portability and Accountability Act)
Estados Unidos
Garantiza la privacidad y seguridad de los datos de los pacientes; DMARC Puede aumentar la protección al reducir el éxito. phishing intentos.
No
Normativa: Política de seguridad del correo electrónico del NHS británico
Región: Reino Unido
Qué significa: Las organizaciones acreditadas por el NHS deben implementar un servicio de correo electrónico que admite DMARC .
Obligatorio para DMARC : Sí
Normativa: HIPAA - Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios
Región: Estados Unidos
Qué significa: Garantiza la privacidad y seguridad de los datos del paciente; DMARC Puede aumentar la protección al reducir el éxito. phishing intentos.
Obligatorio para DMARC : No
DMARC es vital para autenticar las comunicaciones por correo electrónico. Al alinear SPF y DKIM con DMARC políticas, las organizaciones pueden reducir el riesgo de éxito phishing y ataques de suplantación de identidad. Los reguladores del correo electrónico exigen o recomiendan DMARC Destacar su papel crucial en la protección contra las ciberamenazas.
La adopción de DMARC , SPF , y DKIM La seguridad varía según el mundo, pero el mensaje es claro: proteger las comunicaciones por correo electrónico es fundamental. A medida que evolucionan las ciberamenazas, también lo hacen los estándares y las normativas. Las organizaciones deben adoptar estas medidas para salvaguardar su reputación, cumplir con los requisitos y proteger los datos de sus clientes.
Hemos publicado un blog sobre todo lo que los proveedores de servicios administrados (MSP) y los proveedores de servicios de seguridad administrados (MSSP) deben saber sobre DMARC mandatos globales.
Recursos
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Cras et lacus suscipit mi tristique dignissim. In sit amet interdum dui, ac ullamcorper diam. Nunc a est eu orci egestas cursus at in ante. Vestibulum ligula urna, ultrices vitae velit quis.
