DMARC (Domain-based Message Authentication, reporte and Conformance) es un estandar recomendado de autenticación de correo electrónico que protege a remitentes y destinatarios de ataques basados en el correo electrónico, como phishing, spoofing y otras posibles formas de suplantación de identidad.
DMARC se basa en protocolos de autenticación clave como el Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM), con una capa de seguridad adicional. Proporciona visibilidad sobre quién utiliza un dominio y permite al propietario de un dominio especificar la acción que deben realizar los servidores receptores cuando un mensaje de correo electrónico no supera la autenticación.
Una vez que un dominio es compatible con DMARC , los receptores de correo electrónico pueden informar a los remitentes sobre el estado de los mensajes que reciben, por ejemplo, si superan o no las comprobaciones de autenticación, o si se entregan, se ponen en cuarentena o se rechazan.
El principal objetivo de DMARC es ofrecer a los propietarios de dominios de correo electrónico una forma de proteger su dominio frente al uso no autorizado, también conocido como spoofing. Al publicar una política DMARC en tus registros DNS, los propietarios de dominios pueden especificar qué mecanismos se utilizan para autenticar los mensajes enviados desde tu dominio y qué hacer si un mensaje no supera la autenticación. Esto permite a los servidores de correo receptores comprobar la autenticidad de los correos e impedir su entrega si no superan la comprobación de autenticación.
- Proteger tu reputación
- Aumentar la visibilidad del correo electrónico
- Mejorar la entrega de los mensajes
- Buenas prácticas de branding con BIMI
- Cumplimiento de las normativas y regulaciones vigentes
Obtén más información sobre las últimas amenazas y cómo proteger tu organización en nuestro Reporte de Ciberamenazas 2024
DMARC trabaja añadiendo un registro TXT especial al DNS (Sistema de Nombres de Dominio) de un dominio de correo electrónico, que especifica cómo quiere el propietario del dominio que los receptores traten los mensajes que dicen proceder de ese dominio.
El registro TXT contiene un conjunto de etiquetas y valores que definen la política DMARC , como el modo de alineación, el porcentaje de mensajes a los que aplicar la política, las opciones de reporte y las acciones deseadas para los mensajes fallidos.
Cuando un receptor recibe un correo electrónico de un dominio que tiene un registro DMARC , primero comprueba si el mensaje tiene un SPF y una firma DKIM válidos y, a continuación, compara los dominios utilizados en esas firmas con el dominio del encabezado From (De) del mensaje.
Si los dominios coinciden, o se alinean, según la política DMARC , el mensaje pasa la autenticación. Si no, el mensaje falla la autenticación y el receptor sigue la acción especificada por la política DMARC , como rechazar, poner en cuarentena o ninguna.
La política DMARC de una organización forma parte del registro DMARC que se publica en el DNS. Indica a un servidor receptor qué hacer con un correo electrónico que no supera las comprobaciones de autenticación de correo electrónico SPF y DKIM . Hay tres políticas DMARC que el propietario de un dominio puede elegir:
p=none - Solo supervisión o monitoreo
Permite al propietario de un dominio supervisar el tráfico de correo electrónico, recibir reportes sobre las fuentes de correo electrónico y comprender cómo se gestionan los correos electrónicos, sin imponer activamente ninguna medida a los correos electrónicos que no superen la autenticación. Esta política se utiliza a menudo durante laimplementación DMARC para asegurarse de que está configurada correctamente antes de pasar a una política más estricta. Esto no afectará a la capacidad de entrega del correo electrónico.
p=quarantine - Pone en cuarentena los correos sospechosos
Además de enviar reportes, esta directiva indica a un servidor receptor que ponga en cuarentena un correo electrónico que no supere las comprobaciones DMARC direccionándolo a las carpetas de Spam o Correo no deseado en lugar de entregarlo en la bandeja de entrada. Esta directiva permite que se entregue un correo electrónico que no supera las comprobaciones DMARC, pero lo pone en cuarentena para que se investigue más a fondo antes de que llegue a la bandeja de entrada.
p=reject - Rechaza los mensajes que no superan la autenticación
P=reject es la política DMARC más estricta. Además de enviar reportes, garantiza una protección completa para los destinatarios internos y externos de los correos electrónicos de una empresa, ya que ordena a los servidores de los destinatarios que rechacen de plano los correos electrónicos que no superen las comprobaciones DMARC y garantiza que no lleguen a la bandeja de entrada. Todas las organizaciones deberían procurar tener una política de p=reject , ya que proporciona la protección más sólida contra los correos electrónicos fraudulentos.
SPF, o Sender Policy Framework, es una comprobación de autenticación de correo electrónico que valida el origen de un mensaje. El propietario de un dominio autoriza una lista de direcciones IP que pueden enviar correo electrónico desde ese dominio. Cuando un servidor recibe un correo electrónico, puede verificar que procede de una fuente autorizada si proviene de una dirección IP permitida por el propietario del dominio.
DMARC se apoya en SPF para verificar que un remitente es quien dice ser y vincula SPF con DKIM a través de un conjunto de políticas que determinan qué debe ocurrir con el correo electrónico si no supera la autenticación SPF o DKIM .
DKIM es una comprobación de autenticación de correo electrónico para verificar que un correo electrónico no ha sido manipulado durante el tránsito, que los encabezados del correo electrónico no han cambiado y que el remitente es el propietario legal del dominio o está autorizado por el propietario para enviar en su nombre.
A cada correo electrónico enviado desde una lista autorizada de direcciones se adjuntan una clave de cifrado y una firma digital que se utilizan para verificar que el mensaje no ha sido alterado o falsificado.
Si un correo electrónico supera la autenticación SPF y DKIM, el destinatario puede estar seguro al 100 % de que tanto el remitente como el mensaje son auténticos.
Cuando se configuran correctamente, SPF, DKIM y DMARC demuestran que un remitente de correo electrónico es legítimo y que el mensaje no ha sido comprometido, garantizando que solo los correos electrónicos que han pasado estas comprobaciones de autenticación llegan a una bandeja de entrada.
Implementar DMARC puede ser algo complejo, ya que implica publicar una política DMARC en sus registros DNS y supervisar regularmente tus reportes DMARC. Si no estás familiarizado con DNS y los mecanismos de autenticación de correo electrónico, lo ideal es trabajar con una organización como Sendmarc para ayudarte a configurar tu política DMARC. Las herramientas de Sendmarc también le proporcionan la visibilidad necesaria para supervisar el progreso en todos tus dominios activos (o dominios de clientes) de forma continua. Además, Sendmarc proporciona herramientas que facilitan la gestión de SPF, DKIM y DMARC.
Descubre las ventajas de Sendmarc sobre los métodos DIY en nuestra infografía.
El reporte DMARC es una función muy valiosa del protocolo de autenticación de correo electrónico DMARC que permite a los propietarios de dominios obtener información sobre las actividades de envío de correo electrónico que utilizan tu dominio. Este mecanismo de reporte proporciona datos sobre los correos electrónicos que superan o no las comprobaciones DMARC, lo que ayuda a identificar tanto las fuentes de correo electrónico legítimas como las actividades potencialmente fraudulentas.
Entre las ventajas del reporte DMARC se incluyen
- Detección temprana de amenazas
- Mayor visibilidad y control
- Mayor capacidad de entrega del correo electrónico
Más información aquí.
Existen dos tipos de reportes DMARC :
1. Reportes agregados (RUA): Suelen enviarse diaria o semanalmente y ofrecen una visión detallada de los datos de autenticación de correo electrónico recopilados de varias fuentes. Esto incluye una vista de todo el tráfico de correo electrónico, información sobre las IP que envían correos electrónicos en nombre del dominio y el estado de autenticación de cada correo electrónico. Los reportes RUA son útiles para supervisar tendencias e identificar posibles problemas.
2. Reportes forenses (RUF): Se envían en tiempo real o casi real y proporcionan información detallada sobre fallos individuales de correo electrónico para ayudar en la investigación de incidentes. Los reportes RUF incluyen las cabeceras del correo electrónico, el cuerpo y los resultados de la autenticación.
A través de los reportes DMARC, las organizaciones pueden supervisar y proteger sus dominios contra el uso no autorizado, mejorando la seguridad del correo electrónico mediante la prevención de la suplantación de identidad y los ataques phishing . Esto ayuda a mantener la integridad del ecosistema del correo electrónico y los canales de comunicación de la organización.
DMARC proporciona una defensa eficaz contra los ataques basados en el correo electrónico que utilizan la suplantación de identidad para hacerse pasar por un dominio legítimo. Al implementar DMARC y supervisar regularmente sus reportes DMARC, los propietarios de dominios pueden ayudar a evitar que su dominio se utilice en este tipo de ataques. Sin embargo, es importante tener en cuenta que DMARC por sí solo no es una solución completa para la protección contra el spam y el phishing, y debe utilizarse junto con la formación de concienciación de los usuarios y la implementación de una pasarela de correo electrónico segura.
Sí. SPF y DKIM ayudan a proteger contra ataques basados en correo electrónico que utilizan direcciones de remitente falsificadas o se basan en la edición del contenido de un correo electrónico. Al implementar estos dos protocolos y supervisar sus registros, los propietarios de dominios pueden ayudar a proteger sus dominios de ser utilizados en este tipo de ataques. Sin embargo, es importante tener en cuenta que SPF y DKIM por sí solos no son una solución completa para la protección contra ataques basados en el correo electrónico y deben utilizarse junto con DMARC, la formación de concienciación de los usuarios y la implementación de una pasarela de correo electrónico segura.
Brand Indicators for Message Identification (BIMI) es un protocolo de autenticación de correo electrónico adicional a DKIM, SPF y DMARC. Una organización no puede implementar BIMI a menos que sea compatible con DMARC con una política de p=reject .
BIMI es un tipo de marca de correo electrónico que permite mostrar el logotipo de una empresa junto a los mensajes de correo electrónico en las bandejas de entrada de los destinatarios. Mejora el impacto del correo electrónico, ya que proporciona instantáneamente reconocimiento de marca y credibilidad y aumenta la confianza al permitir que los destinatarios sepan que un correo electrónico procede de un remitente legítimo.
BIMI también permite a los servidores receptores autorizar correos electrónicos legítimos, ya que añade un registro DNS correspondiente. Actúa como una medida antifraude adicional contra el spoofing, el phishing y la suplantación de identidad en el correo electrónico. El protocolo BIMI dispone de protección contra la suplantación de logotipos de remitentes ilegítimos, lo que lo convierte en una herramienta de protección extremadamente potente para las empresas comprometidas con la seguridad de todas las partes interesadas internas y externas.
Una vez que una organización ha implementado BIMI, un ciberdelincuente no puede copiar o mostrar su logotipo en la bandeja de entrada de un destinatario porque su correo electrónico fraudulento no será aprobado y nunca llegará a la bandeja de entrada. Esto significa que los destinatarios pueden asociar con confianza los correos electrónicos que muestran el logotipo de una empresa como dignos de confianza, porque la adopción de BIMI solo es posible con los protocolos de autenticación más sólidos.
Sendmarc y tu SEG se complementan de múltiples maneras. Al implementar DMARC con Sendmarc, proporcionará a su SEG señales adicionales para identificar y rechazar eficazmente los correos electrónicos de suplantación de identidad.
Además, Sendmarc protegerá tu dominio de intentos de suplantación fuera del perímetro de tu SEG. Esto significa que cada empresa e individuo que recibe correo electrónico de tu dominio será capaz de distinguir fácilmente entre el correo electrónico legítimo y los intentos de un atacante para hacerse pasar por tu organización. Mientras que tu SEG es un componente crucial de su estrategia de seguridad, Sendmarc mejora esa protección asegurando que solo se entrega correo electrónico real, protegiendo a tu personal y al resto del mundo.
Obtén más información sobre por qué DMARC sigue siendo necesario con un SEG en nuestro blog:
10,5 billones de razones por las que el antispam no es suficiente
Según estableció Google, desde febrero de 2024 todos los remitentes de Gmail deben:
Según lo estipulado por Yahoo, desde febrero de 2024 todos los remitentes de Yahoo deben:
Microsoft puede estar involucrado en DMARC, pero hay áreas en las que su plataforma y servicios se quedan cortos cuando se trata de resolver problemas DMARC. Los dos papeles principales de Microsoft en el ecosistema DMARC incluyen el envío de informes y la aplicación de DMARC, que son necesarios, pero no suficientes, para que el propietario de un dominio logre el cumplimiento de DMARC .
Sendmarc complementa el trabajo de Microsoft de dos maneras:
Aunque el papel de Microsoft en DMARC es fundamental para proteger tu organización contra las amenazas entrantes, el camino hacia una protección DMARC completa requiere más. Requiere que tu empresa interprete los informes de todos los proveedores, configure todas las plataformas para el cumplimiento de DMARC (no solo Microsoft) y mantenga registros DMARC, SPF y DKIM completos para una protección definitiva contra las ciberamenazas.
Correo electrónico:
