Protocolo DMARC : Verificar configuracion en nuestro Dominio

Fecha Publicación:       28 de Mayo de 2019
Fecha Modificación:       06 de Marzo de 2024

→ Viene del tutorial  Cómo evitar que mi correo electrónico sea etiquetado como SPAM

 

protocolo autenticacion dmarc

¿Qué es el protocolo DMARC y por qué lo necesitas?

DMARC Esta construida sobre protocolos maduros : SPF y DKIM

El protocolo DMARC (Autenticación de mensajes, informes y conformidad basada en dominios) es el último gran avance en autenticación de correos electrónicos y busca avanzar estos estándares previos comparando el remitente del sobre autenticado por la verificación SPF y la entidad firmada autenticada por la firma DKIM con el remitente que figura en el campo “De: Encabezado”.

Es decir, DMARC garantiza que un correo electrónico legítimo sea autenticado correctamente en función de estándares DKIM y SPF establecidos y que se bloquee la actividad fraudulenta que pareciera provenir de dominios bajo el control de la organización (dominios de envío activos, dominios que no envían emails y dominios registrados en forma defensiva). Los dos valores clave de DMARC son la alineación de dominios y la generación de informes.

Al igual que el protocolo SSL permitió a las marcas la posibilidad de asegurar a sus clientes que sus portales Web son auténticos, DMARC pretende lo mismo para el correo electrónico, permitiendo que los remitentes de un mensaje de correo electrónico puedan asegurar a los destinatarios que dicho mensaje proviene realmente de ellos. DMARC viene de las siglas en Inglés de: "Domain-based Message Authentication, Reporting and Conformance".

Dmarc como funciona:

Al enviar un correo:

- El servidor que recibe el correo que hace: 

  • Extrae la Firma DKIM del email header. 
  • Extrae "From" de la dirección del dominio.
  • Extrae "return path" de la dirección del dominio

 

Fuente: https://www.youtube.com/watch?v=jKN-hE5zmQc 

 

DMARC cubre 3 Objetivos:

  • Autenticacion = Alineación del resultado de dos mecanismos conocidos : SPF y DKIM.
  • Reporte          =  Recibo y Generación de reportes periódicos.
  • Conformidad  =  Aplica una política a partir del resultado de la alineación.

Política DMARC

DMARC permite ilustrar a los proveedores de correo electrónico cómo manejar al correo no autenticado mediante la política DMARC. Los remitentes podrán elegir entre:

 p = none

Con una política de DMARC de p = none, los correos electrónicos que no pasen la verificación de DMARC simplemente se enviarán a la bandeja de entrada del destinatario. Esta política permite a los propietarios de dominios obtener información sobre quién envía correos electrónicos en su nombre y se considera el primer paso hacia la implementación completa de DMARC.

p = quarantine

Con una política de DMARC de p = quarantine, los correos electrónicos que no pasen la verificación de DMARC se enrutarán a la carpeta de correo no deseado o correo no deseado. Si bien esta política de DMARC afecta la forma en que se maneja el correo electrónico, los correos electrónicos fallidos aún se envían a las carpetas de 'cuarentena' del receptor.

p = reject

Con una política de DMARC de p = reject, los correos electrónicos que no superan la verificación de DMARC son rechazados por los proveedores de buzón de correo de apoyo y NO se envían al destinatario. No se recomienda comenzar con esta política, ya que puede evitar que se entreguen correos electrónicos legítimos.

Tabla de Etiquetas frecuentes que se utilizan en los registros TXT DMARC

Nombre de la etiqueta Obligatoria Descripción y valores Ejemplo

v

Obligatoria Versión del protocolo. Este valor debe ser DMARC1. v=DMARC1

p

Obligatoria

Define la forma en la que el dominio gestiona los mensajes sospechosos:

  • none (ninguna): no hace nada, pero registra los mensajes sospechosos en el informe diario.
  • quarantine (cuarentena): marca los mensajes como spam y los mantiene en cuarentena a la espera de seguir tratándolos.
  • reject (rechazar): cancela el mensaje para que no llegue al destinatario.
p=quarantine

pct

Opcional

Define el porcentaje de mensajes sospechosos a los que se aplica la política DMARC. Estos mensajes son los que no superan la comprobación de DMARC. El valor predeterminado es 100

pct=20

rua

Opcional

Indica el identificador uniforme de recursos (URI) de informes agregados. Utiliza esta opción con tu dirección de correo electrónico para generar informes sobre la actividad DMARC de tu dominio.

rua=mailto:inforagreg@example.com

sp

Opcional

Define la política de los mensajes de los subdominios de tu dominio principal. Utiliza esta opción si quieres aplicar una política DMARC diferente en los subdominios. Los valores posibles de esta etiqueta son los mismos que los de la etiqueta p.

 

sp=reject

aspf

Opcional

Define el modo de alineación de SPF (ASPF), que define el grado de coincidencia que debe haber entre la información del mensaje y las firmas de SPF. El valor predeterminado es flexible (r).

r: el modo flexible permite obtener concordancias parciales, lo que incluye, por ejemplo, los subdominios de un dominio.

s: el modo estricto requiere una coincidencia exacta.

aspf=r

¿Cómo configuro DMARC?

Para configurarlo debes tener primero agregados los registros SPF y DKIM. Una vez que te asegures de esto.

Ir a la configuración de la zona DNS de tu hosting y agrega un registro del tipo "TXT" e incorpora los parámetros del DMARC siguiendo este ejemplo a continuación:



configurar protocolo autenticacion DMARC

Configuracion parametros DMARC

configurar protocolo autenticacion DMARC

 

  • Nombre: _dmarc.midominio.com
    (Reemplaza "midominio.com" por tu dominio corporativo).
  • Tipo = TXT
  • Policy = Que queremos hacer con los correos electronicos que fallan a la verifican SPF y DKIM , se tiene 3 opciones  ninguna, cuarentena,rechazar (se representa con la etiqueta P - ver la tabla de etiquetas para obtener mas informacion).
  • Subdomain Policy = Que hacemos si el correo provienede un subdominio (ninguna, cuarentena,rechaza) (se representa con la etiqueta sp)
  • DKIM Mode = Que la verificacion sea (normal,estricta)
  • SPF Mode =  Que la verificacion sea (normal,estricta)
  • Percentage = que verifique el 100/100 de los correos que lleguen.


    Valor predeterminado: v=DMARC1; p=none; rua=mailto:soporte@midominio.com
    (Reemplaza "soporte@midominio.com" por tu correo).

Comprobar si tiene configurado el protocolo DMARC con las siguientes herramientas:

Generador de registro DMARC: 

https://www.kitterman.com/dmarc/assistant.html

ANALIZADOR DE INFORMES DMARC

Mx Toolbox Analizador de informes Dmarc

Esta herramienta hará que los informes XML agregados de DMARC sean legibles por humanos al analizarlos y agregarlos por dirección IP en informes legibles.

Los receptores de correo envían informes XML agregados de DMARC (como Gmail, Yahoo !, y más) e incluyen datos valiosos como los volúmenes de mensajes vistos, las tasas de autenticación SPF / DKIM, las acciones realizadas en el mensaje (cuarentena / rechazo) y más. Los informes sin analizar son difíciles de descifrar y contienen datos no agregados.

→ Ir a Analizador de informes Dmarc

 

Fuentes externas:

https://www.youtube.com/watch?v=ChA1Zn4Wvdw

https://fortixpert.blogspot.com/2015/12/dmarc-correo-electronico-mas-seguro.html

https://fortixpert.blogspot.com/2015/12/dmarc-correo-electronico-mas-seguro.html

Articulo : 2669 - Veces Leidas
Compartir Articulo: