Artículo de blog

Perfil del/a autor/a

DMARC en la empresa: guía práctica para la aplicación en múltiples dominios

Un escudo digital sobre un globo terráqueo en un entorno digital

Resumen DMARC :

  • Procesa cada dominio por separado a través de las fases de supervisión, cuarentena y rechazo.
  • Da prioridad primero a los dominios orientados al cliente y traslada los dominios aparcados directamente a p=reject.
  • Designa a un responsable del ámbito y a un coordinador del programa antes de que tu primer ámbito entre en la fase piloto.

Imaginemos una empresa con 50 dominios repartidos en tres unidades de negocio. Además, cuenta con una infraestructura heredada en dos regiones y debe cumplir con un plazo de 90 días para el cumplimiento normativo. Pasar de la supervisión a la aplicación de las normas sin interrumpir los flujos de trabajo financieros ni las notificaciones a los clientes requiere algo más que un simple cambio de política.

Esa tensión es precisamente donde se estancan la mayoría de los proyectos DMARC en las empresas. Se comprende el aspecto técnico, pero no la realidad organizativa. Un modelo por fases, la secuenciación de dominios y una gobernanza definida DMARC son los elementos que marcan la diferencia entre una aplicación controlada y un incidente doloroso que echa por tierra seis meses de progreso.

Por qué fracasa DMARC a gran escala

Una empresa con un solo dominio puede permitirse pasar de p=none a p=reject en cuestión de semanas. Una empresa con 10, 30 o 50 dominios no puede hacerlo. Cada dominio tiene su propio historial de envíos, su propia combinación de remitentes autorizados y no autorizados, y su propio grupo de partes interesadas que se darán cuenta cuando dejen de recibir correos electrónicos.

La aplicación de las normas afecta a todos los equipos que envían correos electrónicos. El departamento de Finanzas utiliza un sistema de facturación de terceros. El departamento de RR. HH. envía correos desde una herramienta SaaS de selección de personal. El departamento de Marketing lanza campañas desde una plataforma independiente. Ninguno de estos remitentes aparece en tu inventario inicial hasta que la aplicación de las normas los pone de manifiesto.

El costo ese descubrimiento según p=reject son los correos electrónicos que se pierden, las notificaciones que se pasan por alto y una escalada por parte de las partes interesadas que socava todo el programa. La alternativa es un modelo de secuenciación por fases en el que cada ámbito alcanza la aplicación mediante un proceso estructurado.

Modelo por fases: Piloto → Aplicación → Rechazo

Este modelo de tres fases se aplica a cada ámbito de forma individual. No se hace avanzar todo el portafolio a través de las fases al mismo tiempo; la secuencia de los ámbitos determina el orden en que estos avanzan a lo largo del proceso.

Fase 1: Fase piloto (modo de supervisión)

implementar p=none en su primer grupo de dominios. La fase piloto de DMARC se centra en la recopilación de datos, no en la protección. Está creando un inventario completo de remitentes a partir de informes agregados y forenses.

Un registro inicial mínimo tiene este aspecto:

HostTipoValor
_dmarc.yourdomain.comTXTv=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Durante la fase piloto, comprueba la alineación de cada remitente. Si un remitente aparece en los informes sin un resultado de alineación satisfactorio, resuelve primero ese problema.

Esta fase piloto suele durar entre uno y cinco días por dominio, dependiendo del volumen de mensajes enviados y de la rapidez con la que las partes interesadas puedan autorizar o bloquear a los remitentes desconocidos.

Fase 2: Fase intermedia (modo de cuarentena)

Una vez confirmada la alineación, pasa el dominio a p=quarantine, la segunda fase de DMARC . Esto indica a los servidores receptores que envíen los mensajes no autenticados a la carpeta de spam o correo no deseado, en lugar de rechazarlos directamente.

Un típico p=quarantine tiene este aspecto:

HostTipoValor
_dmarc.yourdomain.comTXTv=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected]

El modo de cuarentena es tu última red de seguridad antes de que se apliquen las medidas. Considéralo como un periodo de observación de entre 30 y 60 días.

Fase 3: Fase de aplicación total (modo de rechazo)

La aplicación íntegra significa p=reject. Los mensajes no autenticados que afirman proceder de tu dominio son rechazados. Es aquí donde realmente se detienen los correos electrónicos falsificados, y donde las lagunas en tu inventario de remitentes se convierten en incidentes operativos.

Las empresas suelen estructurar sus configuraciones de la siguiente manera:

HostTipoValor
_dmarc.yourdomain.comTXTv=DMARC1; p=reject; rua=mailto:[email protected]; rua=mailto:[email protected]

Secuenciación de dominios: cómo establecer prioridades en tu cartera

No todos los dominios entrañan el mismo riesgo ni la misma complejidad, por lo que la secuenciación de dominios establece un orden de prioridad entre ellos.

Utiliza esta lógica de secuenciación para establecer prioridades:

  1. Dominios principales de contacto con el cliente: son los que presentan un mayor riesgo de suplantación de identidad, por lo que deben ser los primeros en ser objeto de medidas coercitivas.
  2. Dominios de comunicación interna: menor exposición a la suplantación de identidad externa, pero siguen siendo relevantes para phishing interno.
  3. Dominios aparcados e inactivos: no hay flujo de correo electrónico legítimo. Trasládalos directamente a p=reject. Requieren una coordinación mínima, pero son importantes porque los atacantes se centran específicamente en los dominios no utilizados.

Lista de comprobación sobre gobernanza: ¿Quién es responsable de qué?

La gobernanza es el aspecto que la mayoría de DMARC pasan por alto. Sin ella, las decisiones sobre el avance de fases se toman de manera informal, la autoridad para revertir cambios no queda clara y los incidentes relacionados con la aplicación de las normas se convierten en disputas entre equipos sobre quién aprobó el cambio.

Define estas áreas de responsabilidad antes de que tu primer dominio entre en la fase piloto de la DMARC :

Titular del dominio (por dominio)

  • Responsable de que el inventario del remitente esté completo
  • Aprueba las decisiones relativas al avance de las fases
  • Recibe notificaciones cuando la aplicación de las normas interrumpe el flujo de correos electrónicos

A menudo: responsable de TI del dominio o administrador sénior del correo electrónico

Responsable del DMARC

  • Es el responsable del calendario de secuenciación
  • Mantiene el inventario maestro de remitentes
  • Gestiona reporte al grupo de seguridad

A menudo: responsable de seguridad del correo electrónico, responsable de infraestructuras o reporte directo del CISO

Grupo de seguridad y riesgos

  • Establece el calendario de aplicación y aprueba las excepciones
  • reporte de síntesis de las revisiones sobre el progreso de la armonización
  • Aumenta el riesgo de incumplimiento ante el consejo de administración si se incumplen los plazos de aplicación

A menudo: CISO o CIO

Partes interesadas

  • Identifica y autoriza a los remitentes externos dentro de su ámbito de competencia
  • Se han programado cambios en las herramientas antes de que sea necesario actualizar el DNS
  • Aprueba las bajas de remitentes

Un dominio pasa de una fase a otra solo cumple estas condiciones:

  1. Fase piloto de cuarentena: alineación total entre todas las fuentes de envío, con el inventario de los remitentes aprobado por el propietario del dominio
  2. De la cuarentena a la aplicación de medidas: alineación al 100 % sin fallos de remitente sin resolver en reporte de los últimos 14 días, con la aprobación del propietario del dominio y del responsable del programa

Cómo puede ayudarte Sendmarc con la DMARC de DMARC

Hacer un seguimiento de decenas de dominios a lo largo de tres fases de aplicación de medidas, revisar informes diarios agregados y mantener manualmente un inventario de remitentes para cada dominio no es viable para un equipo de seguridad o de TI con una carga de trabajo excesiva.

La plataforma Sendmarc te ayuda en todas las fases de DMARC , reuniendo DMARC de todos los dominios en una única vista y transformando los informes agregados y forenses en datos que tu equipo puede utilizar de inmediato. Esto te ofrece una visibilidad unificada de DMARC SPF, DKIM y DMARC .

Sendmarc también ofrece los reporte de auditoría y cumplimiento reporte exigen los consejos de administración y los comités de riesgos, con el respaldo de implementación práctico implementación y una optimización continua.