La importancia de DMARC para el dominio

Desde Bastify, estamos implantando en nuestros clientes la política de DMARC, que consideramos fundamental para la mejora del correo electrónico y reputación del domino.

DMARC significa «Autenticación, informe y conformidad de mensajes basados ​​en dominio». DMARC es un protocolo que utiliza el marco de políticas del remitente, (SPF) y el correo identificado DomainKeys (DKIM) para determinar la autenticidad de un mensaje de correo electrónico. DMARC requiere que SPF y DKIM fallen para que pueda actuar sobre un mensaje.

Su registro DMARC se publica junto con sus registros DNS, incluidos:

  • SPF
  • A-record
  • CNAME
  • DKIM

A diferencia de SPF y DKIM, una política DMARC configurada correctamente puede indicarle al servidor receptor si acepta o no un correo electrónico de un remitente en particular. Es importante tener en cuenta que no todos los servidores receptores realizarán una verificación DMARC antes de aceptar un mensaje, pero todos los ISP principales lo hacen y su implementación está creciendo.

Beneficios de DMARC

  1. La publicación de un registro DMARC protege su marca al evitar que terceros no autenticados envíen correo desde su dominio. En algunos casos, simplemente publicar un registro DMARC puede resultar en un aumento de reputación positivo.
  2. El consumo de informes DMARC aumenta la visibilidad de su programa de correo electrónico al hacerle saber quién está enviando correo desde su dominio.
  3. DMARC ayuda a la comunidad de correo electrónico a establecer una política coherente para tratar con mensajes que no se autentican. Esto ayuda a que el ecosistema de correo electrónico en su conjunto se vuelva más seguro y confiable.

¿Cómo se ve un registro DMARC?

Puede ver cómo se ve un registro DMARC escribiendo <dig txt _dmarc.sendgrid.net> en su terminal. También puede ir a https://dmarcian.com/dmarc-inspector/ para ver el registro DMARC de cualquier dominio si tienen uno publicado.

Aquí hay un ejemplo de registro DMARC: este es el registro DMARC de SendGrid:

v = DMARC1 \; p = none \; rua = mailto: dmarc@sendgrid.com \; ruf = mailto: dmarc@sendgrid.com \; rf = afrf \; pct = 100

Analicemos un registro DMARC

“V = DMARC1” Este es el identificador que el servidor receptor busca cuando escanea el registro DNS para el dominio del que recibió el mensaje. Si el dominio no tiene un registro txt que comience con v = DMARC1, el servidor receptor no ejecutará una verificación DMARC.

“P = none” Esta parte le dice al servidor receptor qué hacer con los mensajes que fallan en DMARC. En este caso, la política se establece en «none». Esto significa que el servidor receptor no tomará ninguna acción si un mensaje falla DMARC. Esto aún puede ser valioso para un remitente, porque DMARC envía informes que alertan al administrador del dominio de cualquier fallo de DMARC.

«P = none» es generalmente un primer paso recomendado para implementar una política que eliminará el correo no autorizado. La mayoría de las personas se sorprenden al descubrir cuántas personas / grupos / organizaciones diferentes están enviando correo (legítimo o no) en nombre de su dominio. Otras opciones para el campo p = son » quarantine » y «reject». » quarantine » dejará los mensajes a un lado para su posterior procesamiento; en la mayoría de los casos, esto significa que se enviará a la carpeta de spam. «Reject» detendrá los mensajes directamente.

“Rua = mailto: dmarc@sendgrid.com” Esta parte le dice al servidor receptor dónde enviar informes agregados de fallos de DMARC. Estos informes agregados se envían diariamente al administrador del dominio al que pertenece el registro DMARC. Incluyen información de alto nivel sobre fallos de DMARC, pero no proporcionan detalles granulares sobre cada incidente. Puede ser cualquier dirección de correo electrónico que elija.

“Ruf = mailto: dmarc@sendgrid.com” Esta parte le dice al servidor receptor dónde enviar informes forenses de fallos de DMARC. Estos informes forenses se envían en tiempo real al administrador del dominio al que pertenece el registro DMARC. Estos informes forenses contienen detalles sobre cada fallo individual. Esta dirección de correo electrónico debe ser del dominio para el que se publica el registro DMARC.

“Rf = afrf” Esta parte le dice al servidor receptor qué tipo de informe quiere el titular de la póliza. rf significa formato de informe. En este caso, rf = afrf significa formato de informe de fallos agregado.

«Pct = 100» Esta parte le dice al servidor receptor cuánto de su correo debe estar sujeto a las especificaciones de la política DMARC. En este caso, si p = fue configurado para rechazar, el 100% del correo que fallo DMARC sería rechazado.

Hay varios otros mecanismos que se pueden incluir en un registro DMARC. A continuación, se muestran algunos:

“Sp =” Esta parte le diría al servidor receptor si debe aplicar o no la política DMARC a los subdominios.

«Adkim =» Establece la alineación DKIM. Se puede establecer en «s» para strict o «r» para relax. Estricto significa que la parte DKIM de la autenticación DMARC solo pasará si el campo d = en la firma DKIM coincide EXACTAMENTE con el dominio from. Si se establece en relajado, los mensajes pasarán la parte DKIM de la autenticación DMARC si el campo DKIM d = coincide con el dominio raíz de la dirección de origen.

«Ri =» Esto establece el intervalo de la frecuencia con la que desea recibir informes agregados sobre fallos de DMARC.

A medida que la implementación de DMARC se extienden, también lo harán los fallos de DMARC. Algunas aplicaciones y / o web tienen características que permiten que un usuario se envíe un correo electrónico a sí mismo o a un amigo. A menudo, la web o la aplicación envía estos correos electrónicos desde la dirección de correo electrónico del usuario (user@yahoo.com). Debido a la política DMARC de Yahoo, estos mensajes serán rechazados por cualquier servidor receptor que realice una verificación DMARC. El mismo fallo de DMARC ocurrirá si un usuario no autorizado intenta enviar correo para cualquier dominio que publique un registro DMARC con un p = «reject».

Si no tienes la política de DMARC en tu dominio, ponte en contacto con nosotros.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *