Qué es DMARC, los registros, la supervisión y la política

Comprender DMARC y cómo se puede utilizar para proteger a los remitentes y destinatarios es importante cuando creas una campaña de correo electrónico. Las comprobaciones de DMARC pueden ayudar a evitar el uso no autorizado de tu dominio, lo que a su vez puede ayudar a reducir el spam en la bandeja de entrada de los destinatarios.

Si quieres obtener más información sobre el significado de DMARC y la política de DMARC y cómo puede afectar a tu campaña de marketing por correo electrónico, sigue leyendo.

DMARC utiliza el Convenio de Remitentes (SPF) y DomainKeys Identified Mail (DKIM) para evaluar la autenticidad de los mensajes de correo electrónico. Estas herramientas en conjunto evitan prácticas como el phishing y la suplantación de identidad de dominio.

El phishing es un delito informático en el que alguien se comporta como una entidad fiable (como un banco, una agencia gubernamental o incluso tu propio empleador) para tratar de recopilar información confidencial, como los datos de tu tarjeta de crédito o el número de la seguridad social. La suplantación de identidad del dominio es una forma de phishing que conlleva el uso de una dirección de correo electrónico falsa o un dominio que parece legítimo.

DMARC permite a los propietarios de dominios definir cómo se manejan los correos electrónicos que parecen enviados desde ese dominio si no incluyen la información correcta. Por ejemplo, los correos electrónicos no autenticados pueden bloquearse o enviarse directamente a una carpeta de correo basura en función de las opciones introducidas en los registros del dominio de esa dirección de correo electrónico.

¿Por qué DMARC es importante?

Los spammers y los suplantadores de identidad tienen mucho que ganar poniendo en peligro las cuentas de usuario. Al obtener acceso a contraseñas, información de tarjetas de crédito, cuentas bancarias y otros instrumentos financieros, los actores maliciosos pueden acceder fácilmente a los ingresos de sus víctimas antes de que estas sean conscientes de que han sido estafadas.

El correo electrónico es un objetivo particularmente atractivo y común, especialmente en el caso de la suplantación de identidad. Incluso algo tan sencillo como insertar el logotipo de una marca bien conocida en un correo electrónico puede engañar a algunos destinatarios y hacerles creer que han recibido una comunicación legítima.

DMARC funciona para resolver este problema a escala. Los servicios de correo electrónico gratuitos como Google, Yahoo o Hotmail no pueden inspeccionar cada correo electrónico que pasa a través de sus servidores para determinar cuáles permitir y cuáles pueden ser fraudulentos.

Los registros SPF y DKIM pueden ayudar, pero estos procesos por sí mismos tienen un alcance limitado. Cuando se utilizan con DMARC, estos protocolos ayudan a remitentes y destinatarios a cooperar para recibir correos electrónicos seguros.

Los registros DMARC son una parte importante de la protección personal y de las personas a las que envías correos electrónicos. Además de proteger tu dominio del uso no autorizado, DMARC puede permitirte determinar quién está utilizando tu dominio de correo electrónico para enviar correos electrónicos no autorizados.

DMARC proporciona tres importantes ventajas: seguridad, reputación y visibilidad.

Seguridad

Además de proteger a los clientes, el uso de DMARC beneficia a la comunidad de correo electrónico en su conjunto. Al establecer un marco para una política coherente, con el fin de gestionar correos electrónicos no autenticados, DMARC ayuda a que el ecosistema del correo electrónico sea más fiable y seguro.

Reputación

DMARC protege a las marcas sirviendo como un guardián: evita que los actores maliciosos falsifiquen tu dominio y envíen correos electrónicos que parezcan provenir de tu marca. La publicación de tu registro DMARC puede dar lugar a una mejora de tu reputación.

Visibilidad

DMARC te proporciona más información sobre tu programa de correo electrónico a un nivel más alto, dándote a conocer la identidad de todos los que envían correo electrónico desde tu dominio.

La experiencia de DMARC

Para comprender DMARC es importante entender los conceptos básicos de SPF y DKIM, así como los registros del Sistema de nombres de dominio (DNS). DMARC se basa en técnicas SPF y DKIM.

SPF

El SPF ayuda a detectar la falsificación mediante la revisión de la dirección de devolución. Esta dirección de correo electrónico también se conoce como «Correo electrónico de» o dirección de rebote.

Cuando un correo electrónico no se puede enviar a su destinatario previsto después de varios intentos o de un retraso, se suele enviar una notificación de este fallo a la dirección de devolución.

Así es como se utiliza la dirección de devolución para ayudar a autenticar el correo electrónico.

Los propietarios de dominios pueden decidir desde qué servidores de correo pueden hacer envíos sus dominios cuando conectan un dominio al configurar sus protocolos SPF.

1. La información SPF se introduce en un registro TXT para determinar los servidores de correo autorizados a enviar correos electrónicos a un dominio.
2. Un servidor de correo entrante recibe un nuevo correo electrónico y comprueba las reglas escritas para el dominio de la dirección de correo electrónico de la dirección de devolución. El servidor entrante compara la dirección IP del remitente de correo con los dominios o direcciones IP definidas en el registro SPF.
3. El servidor receptor utiliza las reglas especificadas en el registro SPF del remitente y determina si debe aceptar, rechazar o señalar de algún modo el mensaje.

DKIM

El DKIM es una técnica de autenticación de correo electrónico que garantiza que el contenido de este se mantenga seguro frente a la manipulación utilizando una firma digital encriptada. Las firmas DKIM se añaden como encabezados a los mensajes de correo electrónico y se aseguran con la criptografía de clave pública.

Cuando un servidor receptor determina que un correo electrónico tiene una firma DKIM válida, puede confirmar que el correo electrónico y los archivos adjuntos no se han modificado. Este proceso no suele ser visible para los usuarios finales, es decir, para el destinatario previsto del mensaje de correo electrónico.

Cómo funciona el DKIM

Así es como se validan las firmas DKIM:

1. El propietario del dominio publica una clave criptográfica única, formateada como un registro TXT dentro del registro DNS del dominio.
2. Cuando un mensaje se envía por medio de un servidor de salida, genera y adjunta una firma DKIM única en el encabezado.
3. Los servidores entrantes reciben un hash cifrado del cuerpo del mensaje.
4. El servidor receptor localiza primero la clave pública DKIM a la que se hace referencia en la firma DKIM y se almacena en los registros DNS.
5. La clave se utiliza para descifrar el hash y, a continuación, genera una nueva copia del cuerpo del mensaje y la comparará con el original incluido por el remitente.
6. Si los dos hash coinciden, pueden confirmar que el mensaje no se alteró en el trayecto.

Registro A

El tipo de registro DNS que dirige los dominios a una dirección IP se denomina un registro de dirección. Cuando se utilizan direcciones Ipv4, a este registro se le denomina registro A.

Si visitas Mailchimp.com, tu navegador pedirá a un servidor DNS cercano si tiene la dirección IP de Mailchimp.com. Si tiene registrada la IP, la enviará a tu navegador. De lo contrario, le dirá a tu navegador que debe encontrar otro servidor DNS que la tenga, y así sucesivamente hasta que la IP se te envíe junto con el sitio web.

Registro CNAME

Un registro CNAME (nombre canónico) es un tipo de registro DNS que asigna un alias a un nombre de dominio verdadero (canónico). Los registros CNAME normalmente asignan un subdominio como «www» o «mailto:» al dominio que aloja el contenido de ese subdominio. Por ejemplo, un registro CNAME puede asignar la dirección web www.Mailchimp.com al sitio web del dominio Mailchimp.com.

Puedes añadir un registro CNAME a tus opciones DNS si deseas personalizar una dirección web, verificar la propiedad del dominio, restablecer tu contraseña de administrador y mucho más.

Historia del DMARC.

SPF y DKIM se desarrollaron hace varios años para ayudar a asegurar el ecosistema de correo electrónico. Si bien el uso de estas herramientas ha aumentado con el tiempo, los correos electrónicos fraudulentos y engañosos siguen siendo un problema muy extendido. DMARC se estableció para evitar varios problemas frecuentes:

• Los remitentes con múltiples sistemas que envían correo electrónico se enfrentaron con muchas complicaciones al tratar de trabajar con SPF y DKIM.
• Cuando una combinación de correos electrónicos autenticados, no autenticados y no coincidentes se envían desde el mismo dominio, los servidores receptores tienen que discernir cuáles son legítimos y cuáles pueden ser fraudulentos. Esto tiende a disparar los algoritmos de spam, lo que conduce a mensajes fraudulentos que terminan en las bandejas de entrada.
• Con SPF y DKIM, los remitentes obtienen un poco de información sobre sus implementaciones de autenticación de correo electrónico. A menos que el correo electrónico se rebote, los remitentes no tienen manera de saber cuántos mensajes legítimos se envían sin autenticar o el alcance de los correos electrónicos fraudulentos que se envían desde su dominio.
• Incluso cuando los remitentes han protegido su infraestructura de autenticación de correo electrónico, los receptores del correo electrónico están programados para aceptar algunos mensajes no autenticados, porque es posible que pasen mensajes legítimos sin firmar.

Para resolver estos problemas, los remitentes y los destinatarios deben compartir la información entre sí. Lo ideal sería que los destinatarios diesen a los remitentes resúmenes de información, mientras que los remitentes podrían contar a los destinatarios qué hacer cuando reciben mensajes no autenticados.

DMARC se basa en la idea de que el remitente y el destinatario cooperen para mejorar las prácticas de autenticación del correo electrónico de los remitentes y para habilitar los receptores para rechazar mensajes no autenticados.

Cómo funciona la autenticación de correo electrónico de DMARC

DMARC se adapta a los procesos entrantes de autenticación de correo electrónico existentes. Ayuda a los destinatarios a determinar si un mensaje coincide con lo que sabe sobre un remitente.

Si el mensaje no coincide, el servidor receptor puede verificar el registro DMARC para orientarte sobre cómo manejar el mensaje no alineado. Aquí tienes un ejemplo de este proceso para un destinatario que utiliza SPF, DKIM y sus propios filtros de spam (configuración común):

1. Un usuario escribe y envía un correo electrónico.
2. El servidor de envío inserta un encabezado DKIM.
3. El servidor de envío manda el correo electrónico al destinatario.
4. El correo electrónico pasa a través de pruebas estándar de validación (bloqueos de IP, límites de tasa, pruebas de reputación, etc.).
5. El servidor receptor recupera los dominios DKIM verificados en función del encabezado, un «sobre de» a través de SPF, aplica políticas DMARC, pasa el correo electrónico, lo pone en cuarentena o lo rechaza y envía un informe al servidor del remitente. Dicho de otra manera, podemos decir que, en este punto, el servidor receptor está buscando una respuesta «sí» a 3 preguntas clave:
   • ¿Está la firma DKIM habilitada?
   • ¿El mensaje proviene de una dirección IP aceptada de acuerdo con el registro SPF?
   • ¿Muestran los encabezados del mensaje el ajuste correcto del dominio?
6. El correo electrónico pasa a través de filtros antispam y de otros procesos estándar.

De este modo, DMARC cumple con varios requisitos en alto nivel:

• Menos falsos positivos
• Sólidos informes de autenticación
• Reducción del phishing
• Trabajar en una escala de alta capacidad

Aunque no todos los servidores receptores realizan un control DMARC antes de permitir que un mensaje llegue, los principales ISP normalmente sí lo hacen. La adopción de DMARC está creciendo.

Tu registro DMARC

Junto con tus registros DNS, tu registro DMARC es público y está disponible para cualquier persona en línea que lo quiera ver. En esta sección, veremos cómo revisar el registro DMARC de un dominio y qué significan las partes del registro.

Comprobar y descodificar un registro DMARC

Se puede verificar un dominio para un registro DMARC desde la línea de comandos de una ventana del terminal. Por ejemplo:

dig txt dmarc.mailchimp.com

Como alternativa, DMARC.org proporciona una lista de otras empresas comerciales que ofrecen búsquedas y análisis de registros DNS, lo que incluye herramientas para revisar DMARC.

Aquí tienes el registro DMARC de Mailchimp:

v=DMARC1; p=reject; rua=mailto:19ezfriw@ag.dmarcian.com; ruf=mailto:19ezfriw@fr.dmarcian.com

El registro DMARC se almacena en el subdominio DMARC de mailchimp.com como un registro TXT. Muestra varios datos sobre el dominio que influirán en la forma en que los servidores de correo electrónico recibirán un correo electrónico enviado desde este dominio.

v=DMARC1

El servidor receptor busca el identificador v=DMARC1 cuando escanea un registro DNS para el dominio que envía el mensaje. Si el servidor receptor no encuentra esta etiqueta, no se ejecutará el control DMARC.

p=reject, p=none, p=quarantine

La p aquí significa «política». Los titulares de dominios pueden seleccionar tres políticas para informar al servidor receptor sobre qué hacer con el correo que no pasa el SPF y el DKIM, pero afirma venir de tu dominio.

• p=none le dice al destinatario que no lleve a cabo ninguna acción contra el correo no autenticado, pero que envíe en su lugar informes de correo electrónico a la dirección mailto: inscrita en el registro DMARC.
• p=quarantine le dice al destinatario que ponga en cuarentena los mensajes no cualificados (por ejemplo, enviándolos a un filtro de correo basura o de spam en lugar de a una bandeja de entrada).
• p=reject le dice al destinatario que rechace el correo no cualificado. Solo el correo electrónico verificado llegará a una bandeja de entrada. Al correo rechazado simplemente se le deniega la entrada.

rua=mailto:

Esta sección le dice al servidor receptor a dónde puede enviar los informes DMARC agrupados. Los informes incluyen información de alto nivel acerca de los problemas de DMARC, pero no son muy detallados.

ruf=mailto:

Similar a rua=mailto:, ruf=mailto: le dice al servidor receptor a dónde enviar los informes forenses (detallados) sobre los errores de DMARC. Estos informes se envían en tiempo real al administrador del dominio e incluyen detalles sobre cada incidente.

fo=

Esta sección muestra uno de los muchos valores relacionados con las opciones de informe forense:

• 0 genera informes cuando todos los mecanismos de autenticación no consiguen generar un resultado de pase DMARC
• 1 genera informes cuando cualquier mecanismo falla
• d genera informes si las firmas DKIM fallan en la verificación
• s genera informes si SPF falla

sp=

Cuando un valor sp= opcional aparece en el registro DMARC, indica al servidor receptor si debe aplicar las políticas DMARC a los subdominios.

adkim=

También un valor opcional, adkim= establece la coincidencia DKIM en s (estricto) o r (relajado). Estricto significa que la porción DKIM pasará solo cuando el campo d= en la firma DKIM coincida exactamente con la dirección del remitente. La opción relajada permite que los mensajes pasen la porción DKIM si el campo DKIM d= coincide con el dominio raíz de la dirección del remitente y es implícito si no se especifica el adkim= en el registro.

A modo de ejemplo, en modo relajado, mail.mailchimp.com, mx1.mail.mailchimp.com y mailchimp.com se coordinarán entre sí, ya que comparten el mismo dominio organizativo (mailchimp.com). En modo estricto, cada uno solo puede alinearse con ellos (mailchimp.com solo coincidiría con mailchimp.com).

ri=

También puedes ver el valor ri= al examinar un registro DMARC. Este valor establece el intervalo para la frecuencia preferida de los informes agregados como se enumeran en rua=mailto:.

aspf=

Otro valor opcional, aspf= establece el rigor requerido para la coordinación SPF a las s (estrictas) o r (relaxed). Estricto significa que SPF se coordinará solo si el correo electrónico del remitente (también llamado «SPF de», «sobre de» o dirección de rebote) coincide con el encabezado de (también conocido como el «De amigo») exactamente. La opción relajada permite al SPF coordinarse si el dominio de Mail From y el encabezado del dominio comparten el mismo dominio de organización.

Por ejemplo, cuando aspf está configurado en relaxed, mail.mailchimp.com, mx1.mail.mailchimp.com y mailchimp.com se coordinarían entre sí, ya que comparten el mismo dominio organizativo (mailchimp.com). Como adkim, los valores predeterminados de aspf son relajados.

pct=

El uso de este valor opcional permite a un propietario del dominio probar el impacto de su DMARC en el envío, estableciendo un porcentaje de cuántos correos electrónicos se envían con una política determinada. Esto puede ser útil cuando implementamos primero DMARC para medir la diferencia en el éxito de la entrega del correo electrónico para el enviado desde tu dominio. A modo de ejemplo, p=reject; pct=50 significa que el 50 % de los correos electrónicos están sujetos a la política más estricta, mientras que el 50 % restante está sujeto a la siguiente política estricta (cuarentena, en este caso.)

La implementación de DMARC

DMARc.org, una iniciativa sin ánimo de lucro destinada a promover el uso de DMARC, recomienda implementarlo siguiendo estos 5 pasos:

1. Implementa SPF y DKIM.
2. Comprueba que tus correos electrónicos coinciden con los identificadores correspondientes.
3. Publica un registro DMARC con el indicador «none» para desencadenar informes de datos.
4. Analiza los datos y realiza modificaciones según sea necesario.
5. Modifica las señales de política DMARC para «quarantine» o «reject» a medida que ganes experiencia. Usa pct= para establecer un porcentaje en las señales de política para señalar su impacto en la entrega.

DMARC.org destaca que implementar DMARC no es tan fácil como simplemente accionar un interruptor, pero el uso de este método puede ayudar a todos los involucrados a facilitar una implementación completa con el tiempo.

Una vez que hayas implementado DMARC, puedes probarlo en la página del verificador de autenticación de correo electrónico del Instituto Nacional de Estándares y Tecnología. Este recurso también te permitirá probar SPF y DKIM, lo que puede ser útil para la resolución de problemas.

limitaciones de DMARC

DMARC es una técnica sólida para reducir la probabilidad de que se produzca una suplantación de identidad, pero tiene algunas limitaciones. Una de las más significativas es que no puedes combatir los ataques de phishing usando los impostores de nombre (DNI, Display Name Imposters), que constituyen un gran porcentaje de los intentos de fraude por correo electrónico.

Además, DMARC no protege contra lo que parecen falsificaciones de dominios. DMARC se debe utilizar junto con otros protocolos para la protección contra el fraude por correo electrónico.

DMARC es complejo también. Las empresas con grandes grupos de empleados informáticos tienen una ventaja aquí. Pero existen muchos recursos para enseñar a cualquier persona a implementar DMARC. Puede ser un compromiso a largo plazo, pero los propietarios de dominios que quieren mitigar las vulnerabilidades en sus sistemas de correo electrónico descubrirán que vale la pena dedicarle tiempo.

Es difícil decir cuántas organizaciones acabarán utilizando DMARC, pero la cifra crece de forma constante. Teniendo en cuenta que la gran mayoría de las brechas de datos que tienen éxito se originan con el correo electrónico, está claro que todos estaremos mejor cuando el uso de DMARC sea generalizado.

DMARC: preguntas frecuentes

¿Para qué se utiliza DMARC?

DMARC es un método de autenticación de correo electrónico que se utiliza para evitar que usuarios no autorizados envíen correos electrónicos utilizando tu dominio de correo electrónico. Estos usuarios no autorizados suelen enviar un correo electrónico con dominios no autorizados a través de una técnica llamada «suplantación de identidad». La suplantación de identidad consiste esencialmente en inventar la sección «De» de un correo electrónico, lo que puede engañar a los usuarios para que piensen que el correo electrónico proviene de una fuente legítima. DMARC puede ayudar a proteger a las personas de ataques de phishing y otras estafas maliciosas.

¿Cómo puedes saber si un dominio está utilizando DMARC?

Si deseas comprobar si un dominio está utilizando DMARC, puedes utilizar un verificador de registros DMARC en línea. Estas herramientas son gratuitas y fáciles de usar, por lo que puedes determinar si un dominio está utilizando DMARC en solo unos segundos. Lo único que tienes que hacer es escribir la URL del dominio que deseas comprobar y la herramienta de comprobación DMARC se encargará del resto.

¿Gmail utiliza DMARC?

Sí, Gmail utiliza DMARC para protegerse contra el spam y la suplantación de identidad. De hecho, muchos de los proveedores de correo electrónico más populares utilizan DMARC, incluidos AOL, Comcast y Outlook. Elegir un proveedor de correo electrónico que utilice DMARC es importante si deseas protegerte de ataques de suplantación de identidad y similares. Antes de elegir un proveedor de correo electrónico, comprueba primero si utiliza DMARC.

Conclusión: DMARC

La seguridad es clave cuando se trata de correos electrónicos y marketing por correo electrónico, y DMARC ayuda a evitar ataques de suplantación de identidad que pueden comprometer la seguridad del usuario. Con DMARC, puedes proteger tu dominio del uso no autorizado por parte de spammers y estafadores, lo que ayuda a proteger tu reputación y mantener a tus clientes seguros.

El marketing por correo electrónico puede ser muy útil para los propietarios de pequeñas empresas. Afortunadamente, Mailchimp puede ayudarte a eliminar las complicaciones de los correos electrónicos, con herramientas de automatización y análisis de marketing que te ahorran tiempo e impulsan tu campaña de marketing por correo electrónico. Si necesitas ayuda con el marketing por correo electrónico, prueba Mailchimp hoy mismo.