DMARC (Domain-based Message Authentication, Reporting and Conformance) es una práctica recomendada de autenticación de correo electrónico que protege a remitentes y destinatarios de ataques basados en el correo electrónico, como el phishing, la suplantación de identidad y el spoofing.
DMARC se basa en protocolos de autenticación clave, Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM), con una capa de seguridad adicional. Proporciona visibilidad sobre quién utiliza un dominio y permite al propietario de un dominio especificar la acción que deben realizar los servidores receptores cuando un correo electrónico no supera la autenticación.
Una vez que un dominio es compatible con DMARC, los receptores de correo electrónico pueden informar a los remitentes sobre el estado de los mensajes que reciben, por ejemplo, si superan o no las comprobaciones de autenticación, o si se entregan, se ponen en cuarentena o se rechazan.
El principal objetivo de DMARC es ofrecer a los propietarios de dominios de correo electrónico una forma de proteger tu dominio frente al uso no autorizado, también conocido como spoofing. Al publicar una política DMARC en tus registros DNS, los propietarios de dominios pueden especificar qué mecanismos se utilizan para autenticar los mensajes de correo electrónico enviados desde tu dominio y qué hacer si un mensaje no supera la autenticación. Esto permite a los servidores de correo receptores comprobar la autenticidad de los mensajes e impedir su entrega si no superan la comprobación de autenticación.
- Proteja su reputación
- Aumente la visibilidad del correo electrónico
- Mejore la capacidad de entrega
- Personalización del correo electrónico con BIMI
- Cumplimiento de normativas
DMARC funciona añadiendo un registro TXT especial al DNS (Sistema de Nombres de Dominio) de un dominio de correo electrónico, que especifica cómo quiere el propietario del dominio que los receptores traten los mensajes que dicen proceder de ese dominio.
El registro TXT contiene un conjunto de etiquetas y valores que definen la política DMARC, como el modo de alineación, el porcentaje de mensajes a los que aplicar la política, las opciones de informe y las acciones deseadas para los mensajes fallidos.
Cuando un receptor recibe un correo electrónico de un dominio que tiene un registro DMARC, primero comprueba si el mensaje tiene una firma SPF y DKIM válida y, a continuación, compara los dominios utilizados en esas firmas con el dominio del encabezado De del mensaje.
Si los dominios coinciden, o se alinean, según la política DMARC, el mensaje pasa la autenticación. Si no, el mensaje falla la autenticación y el receptor sigue la acción especificada por la política DMARC, como rechazar, poner en cuarentena o ninguna.
La política DMARC de una organización forma parte del registro DMARC que se publica en el DNS. Indica a un servidor receptor qué hacer con un correo electrónico que no supera las comprobaciones de autenticación de correo electrónico SPF y DKIM. Hay tres políticas DMARC que el propietario de un dominio puede elegir:
p=none - Solo supervisión
Permite al propietario de un dominio supervisar el tráfico de correo electrónico, recibir informes sobre las fuentes de correo electrónico y comprender cómo se gestionan los correos electrónicos, sin imponer activamente ninguna medida a los correos electrónicos que no superan la autenticación. Esta política se utiliza a menudo durante la implementación de DMARC para asegurarse de que está configurada correctamente antes de pasar a una política más estricta. Esto no afectará a la entregabilidad del correo electrónico.
p=quarantine - Pone en cuarentena los correos sospechosos
Además de enviar informes, esta directiva indica a un servidor receptor que ponga en cuarentena un correo electrónico que no supere las comprobaciones DMARC colocándolo en la carpeta Spam o Correo no deseado en lugar de entregarlo en la bandeja de entrada. Esta directiva permite que se entregue un correo electrónico que no supera las comprobaciones DMARC, pero lo pone en cuarentena para que se investigue más a fondo antes de que llegue a la bandeja de entrada.
p=reject - Rechaza los mensajes que no superan la autenticación
P=reject es la política DMARC más estricta. Además de enviar informes, garantiza una protección completa para los destinatarios internos y externos de los correos electrónicos de una empresa, ya que ordena a los servidores de los destinatarios que rechacen de plano los correos electrónicos que no superen las comprobaciones DMARC, garantizando que no lleguen a la bandeja de entrada. Todas las organizaciones deberían procurar tener una política p=reject, ya que proporciona la protección más sólida contra los correos electrónicos fraudulentos.
SPF, o Sender Policy Framework, es una comprobación de autenticación de correo electrónico que valida el origen de un mensaje. El propietario de un dominio autoriza una lista de direcciones IP que pueden enviar correo electrónico desde ese dominio. Cuando un servidor recibe un correo electrónico, puede verificar que procede de una fuente autorizada si proviene de una dirección IP permitida por el propietario del dominio.
DMARC se basa en SPF para verificar que un remitente es quien dice ser, y vincula SPF y DKIM con un conjunto de políticas que determinan qué debe ocurrir con el correo electrónico si no supera la autenticación SPF o DKIM.
DKIM es una comprobación de autenticación de correo electrónico para verificar que un correo electrónico no ha sido manipulado durante el tránsito, que los encabezados del correo electrónico no han cambiado y que el remitente es el propietario legal del dominio o está autorizado por el propietario para enviar en su nombre.
A cada correo electrónico enviado desde una lista autorizada de direcciones se adjuntan una clave de cifrado y una firma digital que se utilizan para verificar que el mensaje no ha sido alterado o falsificado.
Cuando se configuran correctamente, SPF, DKIM y DMARC demuestran que un remitente de correo electrónico es legítimo y que el mensaje no ha sido comprometido, garantizando que sólo los correos electrónicos que han pasado estas comprobaciones de autenticación llegan a una bandeja de entrada.
SPF es una comprobación de autenticación de correo electrónico que valida el origen de un mensaje. El propietario de un dominio autoriza una lista de direcciones IP que pueden enviar correo electrónico desde ese dominio. Cuando un servidor recibe un correo electrónico, puede verificar que proviene de una fuente autorizada si procede de una dirección IP permitida por el propietario del dominio.
DMARC se basa en SPF para verificar que un remitente es quien dice ser, y vincula SPF y DKIM con un conjunto de políticas que determinan qué debe ocurrir con el correo electrónico si no supera la autenticación SPF o DKIM.
DKIM es una comprobación de autenticación de correo electrónico para verificar que un correo electrónico no ha sido manipulado durante el tránsito, que los encabezados del correo electrónico no han cambiado y que el remitente es el propietario legal del dominio o está autorizado por el propietario para enviar en su nombre.
A cada correo electrónico enviado desde una lista autorizada de direcciones se adjuntan una clave de cifrado y una firma digital que se utilizan para verificar que el mensaje no ha sido alterado o falsificado.
Si un correo electrónico supera la autenticación SPF y DKIM, el destinatario puede estar seguro al 100% de que tanto el remitente como el mensaje son auténticos.
Implementar DMARC puede ser algo complejo, ya que implica publicar una política DMARC en sus registros DNS y supervisar regularmente tus reportes DMARC. Si no estás familiarizado con DNS y los mecanismos de autenticación de correo electrónico, lo ideal es trabajar con una organización como Sendmarc para ayudarte a configurar tu política DMARC. Las herramientas de Sendmarc también le proporcionan la visibilidad necesaria para supervisar el progreso en todos tus dominios activos (o dominios de clientes) de forma continua. Además, Sendmarc proporciona herramientas que facilitan la gestión de SPF, DKIM y DMARC.
Los informes DMARC son una función muy valiosa del protocolo de autenticación de correo electrónico DMARC que permite a los propietarios de dominios obtener información sobre las actividades de envío de correo electrónico a través de su dominio. Este mecanismo de informes proporciona datos sobre qué correos electrónicos pasan o no las comprobaciones DMARC, lo que ayuda a identificar tanto las fuentes de correo electrónico legítimas como las actividades potencialmente fraudulentas.
Entre las ventajas de los informes DMARC se incluyen
- Detección precoz de amenazas
- Mayor visibilidad y control
- Mayor capacidad de entrega del correo electrónico
Más información aquí.
Existen dos tipos de informes DMARC:
1. Informes agregados (RUA): Suelen enviarse diaria o semanalmente y ofrecen una visión detallada de los datos de autenticación de correo electrónico recopilados de varias fuentes. Esto incluye una vista de todo el tráfico de correo electrónico, información sobre las IP que envían correos electrónicos en nombre del dominio y el estado de autenticación de cada correo electrónico. Los informes RUA son útiles para supervisar tendencias e identificar posibles problemas.
2. Informes forenses (RUF): Se envían en tiempo real o casi real y proporcionan información detallada sobre fallos individuales de correo electrónico para ayudar en la investigación de incidentes. Los informes RUF incluyen las cabeceras del correo electrónico, el cuerpo y los resultados de la autenticación.
A través de los informes DMARC, las organizaciones pueden supervisar y proteger sus dominios de usos no autorizados, mejorando la seguridad del correo electrónico al evitar la suplantación de identidad y los ataques de phishing. Esto ayuda a mantener la integridad del ecosistema del correo electrónico y los canales de comunicación de la organización.
Sí. SPF y DKIM ayudan a proteger contra ataques basados en correo electrónico que utilizan direcciones de remitente falsificadas o se basan en la edición del contenido de un correo electrónico. Al implementar estos dos protocolos y supervisar sus registros, los propietarios de dominios pueden ayudar a proteger sus dominios de ser utilizados en este tipo de ataques. Sin embargo, es importante tener en cuenta que SPF y DKIM por sí solos no son una solución completa para la protección contra los ataques basados en el correo electrónico, y deben utilizarse junto con DMARC, la formación de concienciación de los usuarios y la implementación de una pasarela de correo electrónico segura.
Brand Indicators for Message Identification (BIMI) es un protocolo de autenticación de correo electrónico adicional a DKIM, SPF y DMARC. Una organización no puede implementar BIMI a menos que sea compatible con DMARC con una política p=reject.
El BIMI es un tipo de marca de correo electrónico que permite mostrar el logotipo de una empresa junto a los mensajes de correo electrónico en las bandejas de entrada de los destinatarios. Mejora el impacto del correo electrónico, ya que proporciona instantáneamente reconocimiento de marca y credibilidad, y aumenta la confianza al permitir que los destinatarios sepan que un correo electrónico procede de un remitente legítimo.
BIMI también permite a los servidores receptores autorizar correos electrónicos legítimos, ya que añade el registro DNS correspondiente. Actúa como una medida antifraude adicional contra el spoofing, el phishing y la suplantación de identidad en el correo electrónico. El protocolo BIMI dispone de protección contra la suplantación de logotipos de remitentes ilegítimos, lo que lo convierte en una herramienta de protección extremadamente potente para las empresas comprometidas con la seguridad de todas las partes interesadas internas y externas.
Una vez que una organización ha implementado BIMI, un ciberdelincuente no puede copiar o mostrar su logotipo en la bandeja de entrada de un destinatario porque su correo electrónico fraudulento no será aprobado y nunca llegará a la bandeja de entrada. Esto significa que los destinatarios pueden asociar con confianza los correos electrónicos que muestran el logotipo de una empresa como dignos de confianza, porque la adopción de BIMI sólo es posible con los protocolos de autenticación más sólidos.
Sendmarc y tu SEG se complementan de múltiples maneras. Al implementar DMARC con Sendmarc, proporcionará a su SEG señales adicionales para identificar y rechazar eficazmente los correos electrónicos de suplantación de identidad.
Además, Sendmarc protegerá tu dominio de intentos de suplantación fuera del perímetro de tu SEG. Esto significa que cada empresa e individuo que recibe correo electrónico de tu dominio será capaz de distinguir fácilmente entre el correo electrónico legítimo y los intentos de un atacante para hacerse pasar por tu organización. Mientras que tu SEG es un componente crucial de su estrategia de seguridad, Sendmarc mejora esa protección asegurando que sólo se entrega correo electrónico real, protegiendo a tu personal y al resto del mundo.
Según ha declarado Google, a partir de febrero de 2024 todos los remitentes de Gmail deberán:
Según lo declarado por Yahoo, a partir de febrero de 2024 todos los remitentes de Yahoo deberán:
Microsoft puede estar involucrado en DMARC, pero hay áreas en las que su plataforma y servicios se quedan cortos cuando se trata de resolver problemas relacionados con DMARC. Los dos papeles principales de Microsoft en el ecosistema DMARC incluyen el envío de informes y la aplicación de DMARC, que son necesarios, pero no suficientes, para que el propietario de un dominio logre el cumplimiento de DMARC.
Sendmarc complementa el trabajo de Microsoft de dos maneras:
Aunque el papel de Microsoft en DMARC es fundamental para proteger tu organización contra las amenazas entrantes, el camino hacia una protección DMARC completa requiere más. Requiere que tu empresa interprete los informes de todos los proveedores, configure todas las plataformas para el cumplimiento de DMARC (no solo Microsoft) y mantenga registros DMARC, SPF y DKIM completos para una protección definitiva contra las ciberamenazas.
