¿Qué es DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) es una práctica recomendada de autenticación de correo electrónico que protege a remitentes y destinatarios de ataques basados en el correo electrónico, como el phishing, la suplantación de identidad y el spoofing.
DMARC se basa en protocolos de autenticación clave, Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM), con una capa de seguridad adicional. Proporciona visibilidad sobre quién utiliza un dominio y permite al propietario de un dominio especificar la acción que deben realizar los servidores receptores cuando un correo electrónico no supera la autenticación.
Una vez que un dominio es compatible con DMARC, los receptores de correo electrónico pueden informar a los remitentes sobre el estado de los mensajes que reciben, por ejemplo, si superan o no las comprobaciones de autenticación, o si se entregan, se ponen en cuarentena o se rechazan.
¿Cómo funciona DMARC?
DMARC funciona añadiendo un registro TXT especial al DNS (Sistema de Nombres de Dominio) de un dominio de correo electrónico, que especifica cómo quiere el propietario del dominio que los receptores traten los mensajes que dicen proceder de ese dominio.
El registro TXT contiene un conjunto de etiquetas y valores que definen la política DMARC, como el modo de alineación, el porcentaje de mensajes a los que aplicar la política, las opciones de informe y las acciones deseadas para los mensajes fallidos.
Cuando un receptor recibe un correo electrónico de un dominio que tiene un registro DMARC, primero comprueba si el mensaje tiene una firma SPF y DKIM válida y, a continuación, compara los dominios utilizados en esas firmas con el dominio del encabezado De del mensaje.
Si los dominios coinciden, o se alinean, según la política DMARC, el mensaje pasa la autenticación. Si no, el mensaje falla la autenticación y el receptor sigue la acción especificada por la política DMARC, como rechazar, poner en cuarentena o ninguna.
¿Cómo funciona SPF con DMARC?
SPF es una comprobación de autenticación de correo electrónico que valida el origen de un mensaje. El propietario de un dominio autoriza una lista de direcciones IP que pueden enviar correo electrónico desde ese dominio. Cuando un servidor recibe un correo electrónico, puede verificar que proviene de una fuente autorizada si procede de una dirección IP permitida por el propietario del dominio.
DMARC se basa en SPF para verificar que un remitente es quien dice ser, y vincula SPF y DKIM con un conjunto de políticas que determinan qué debe ocurrir con el correo electrónico si no supera la autenticación SPF o DKIM.
¿Cómo funciona DKIM con DMARC?
DKIM es una comprobación de autenticación de correo electrónico para verificar que un correo electrónico no ha sido manipulado durante el tránsito, que los encabezados del correo electrónico no han cambiado y que el remitente es el propietario legal del dominio o está autorizado por el propietario para enviar en su nombre.
A cada correo electrónico enviado desde una lista autorizada de direcciones se adjuntan una clave de cifrado y una firma digital que se utilizan para verificar que el mensaje no ha sido alterado o falsificado.
Si un correo electrónico supera la autenticación SPF y DKIM, el destinatario puede estar seguro al 100% de que tanto el remitente como el mensaje son auténticos.
DMARC, DKIM Y SPF
Cuando se configuran correctamente, SPF, DKIM y DMARC demuestran que un remitente de correo electrónico es legítimo y que el mensaje no ha sido comprometido, garantizando que sólo los correos electrónicos que han pasado estas comprobaciones de autenticación llegan a una bandeja de entrada.
¿Qué es una política DMARC?
La política DMARC de una organización forma parte del registro DMARC que se publica en el DNS. Indica a un servidor receptor qué hacer con un correo electrónico que no supera las comprobaciones de autenticación de correo electrónico SPF y DKIM. Hay tres políticas DMARC que el propietario de un dominio puede elegir:
p=ninguno - Sólo supervisión
Permite al propietario de un dominio supervisar el tráfico de correo electrónico, recibir informes sobre las fuentes de correo electrónico y comprender cómo se gestionan los correos electrónicos, sin imponer activamente ninguna medida a los correos electrónicos que no superan la autenticación. Esta política se utiliza a menudo durante la implementación de DMARC para asegurarse de que está configurada correctamente antes de pasar a una política más estricta. Esto no afectará a la entregabilidad del correo electrónico.
p=quarantine - Pone en cuarentena los correos sospechosos
Además de enviar informes, esta directiva indica a un servidor receptor que ponga en cuarentena un correo electrónico que no supere las comprobaciones DMARC colocándolo en la carpeta Spam o Correo no deseado en lugar de entregarlo en la bandeja de entrada. Esta directiva permite que se entregue un correo electrónico que no supera las comprobaciones DMARC, pero lo pone en cuarentena para que se investigue más a fondo antes de que llegue a la bandeja de entrada.
p=reject - Rechaza los mensajes que no superan la autenticación
P=reject es la política DMARC más estricta. Además de enviar informes, garantiza una protección completa para los destinatarios internos y externos de los correos electrónicos de una empresa, ya que ordena a los servidores de los destinatarios que rechacen de plano los correos electrónicos que no superen las comprobaciones DMARC, garantizando que no lleguen a la bandeja de entrada. Todas las organizaciones deberían procurar tener una política p=reject, ya que proporciona la protección más sólida contra los correos electrónicos fraudulentos.
¿Qué son los informes DMARC?
Los informes DMARC son una función muy valiosa del protocolo de autenticación de correo electrónico DMARC que permite a los propietarios de dominios obtener información sobre las actividades de envío de correo electrónico a través de su dominio. Este mecanismo de informes proporciona datos sobre qué correos electrónicos pasan o no las comprobaciones DMARC, lo que ayuda a identificar tanto las fuentes de correo electrónico legítimas como las actividades potencialmente fraudulentas.
Entre las ventajas de los informes DMARC se incluyen
- Detección precoz de amenazas
- Mayor visibilidad y control
- Mayor capacidad de entrega del correo electrónico
Más información aquí.
Existen dos tipos de informes DMARC:
1. Informes agregados (RUA): Suelen enviarse diaria o semanalmente y ofrecen una visión detallada de los datos de autenticación de correo electrónico recopilados de varias fuentes. Esto incluye una vista de todo el tráfico de correo electrónico, información sobre las IP que envían correos electrónicos en nombre del dominio y el estado de autenticación de cada correo electrónico. Los informes RUA son útiles para supervisar tendencias e identificar posibles problemas.
2. Informes forenses (RUF): Se envían en tiempo real o casi real y proporcionan información detallada sobre fallos individuales de correo electrónico para ayudar en la investigación de incidentes. Los informes RUF incluyen las cabeceras del correo electrónico, el cuerpo y los resultados de la autenticación.
A través de los informes DMARC, las organizaciones pueden supervisar y proteger sus dominios de usos no autorizados, mejorando la seguridad del correo electrónico al evitar la suplantación de identidad y los ataques de phishing. Esto ayuda a mantener la integridad del ecosistema del correo electrónico y los canales de comunicación de la organización.
¿Cuáles son las ventajas de DMARC?
- Proteja su reputación
- Aumentar la visibilidad del correo electrónico
- Mejorar la capacidad de entrega
- Branding de correo con BIMI
- Conformidad
¿Qué es la marca de correo electrónico BIMI?
Brand Indicators for Message Identification (BIMI) es un protocolo de autenticación de correo electrónico adicional a DKIM, SPF y DMARC. Una organización no puede implementar BIMI a menos que sea compatible con DMARC con una política p=reject.
El BIMI es un tipo de marca de correo electrónico que permite mostrar el logotipo de una empresa junto a los mensajes de correo electrónico en las bandejas de entrada de los destinatarios. Mejora el impacto del correo electrónico, ya que proporciona instantáneamente reconocimiento de marca y credibilidad, y aumenta la confianza al permitir que los destinatarios sepan que un correo electrónico procede de un remitente legítimo.
BIMI también permite a los servidores receptores autorizar correos electrónicos legítimos, ya que añade el registro DNS correspondiente. Actúa como una medida antifraude adicional contra el spoofing, el phishing y la suplantación de identidad en el correo electrónico. El protocolo BIMI dispone de protección contra la suplantación de logotipos de remitentes ilegítimos, lo que lo convierte en una herramienta de protección extremadamente potente para las empresas comprometidas con la seguridad de todas las partes interesadas internas y externas.
Una vez que una organización ha implementado BIMI, un ciberdelincuente no puede copiar o mostrar su logotipo en la bandeja de entrada de un destinatario porque su correo electrónico fraudulento no será aprobado y nunca llegará a la bandeja de entrada. Esto significa que los destinatarios pueden asociar con confianza los correos electrónicos que muestran el logotipo de una empresa como dignos de confianza, porque la adopción de BIMI sólo es posible con los protocolos de autenticación más sólidos.