El correo electrónico es una herramienta fundamental para la comunicación, especialmente profesional. Sin embargo, su naturaleza abierta lo convierte en un blanco para ataques maliciosos como el phishing y el spoofing. Aquí es donde entra en juego DMARC que significa, por sus siglas en inglés, «Domain-based Message Authentication, Reporting, and Conformance«, o en español, «Autenticación de mensajes, informes y conformidad basada en el dominio«.
¿Qué es DMARC?
Aunque la sigla puede sonar compleja, su función es crucial y simple conceptualmente. DMARC combina las comprobaciones de DKIM (DomainKeys Identified Mail) y SPF (Sender Policy Framework) para validar los correos electrónicos entrantes.
Si alguna vez utilizaste una plataforma de email marketing como MailChimp, Doppler o similares seguro habrás tenido que configurar en el DNS de tu dominio los protocolos DKIM y SPF. Lo que hace DMARC es decirle a tu servidor, que debería hacer con un correo que falle la comprobación DKIM y / o SPF. Además te envía, al correo que configures, un reporte de los emails que pasan y los que no.
De esta forma podrás evitar que alguien reciba un email bajo tu dominio que no sea oficial y saber cuando eso se intentó para tomar medidas al respecto.
¿Cuáles son sus etiquetas y para qué sirven?
DMARC utiliza varias etiquetas para configurar y controlar su funcionamiento. Las etiquetas más importantes son:
Etiqueta p=
Esta etiqueta especifica la política de DMARC que el remitente quiere aplicar. Puede ser «none» (ninguna acción), «quarantine» (colocar en cuarentena) o «reject» (rechazar).
La opción «quarantine» suele ser la más recomendada para iniciar, ya que si hay alguna configuración errada en los registros DKIM o SPF te dará la oportunidad de solucionarlo sin rechazar esos correos. Una vez que todos tus emails pasen el protocolo DMARC satisfactoriamente, podés modificar el registro y utilizar «reject».
p=quarantine;Etiqueta sp=
Permite asignarle a los subdominios una política «p» diferente. Es opcional y si no se configura, por defecto se asignará a dominio y subdominios la misma política (ej. «quarantine»).
Etiquetas rua= y ruf=
Son dos tipos de informes y allí deberías colocar el correo al que quieras que se envíen. Puede ser al mismo email o a dos diferentes. Entonces esta etiqueta quedaría así:
rua=mailto:tumail@tudominio.com; ruf=mailto:tumail@tudominio.com;RUF (Reporting URI for Forensics):
- Los informes RUF muestran el detalle de los correos electrónicos individuales que no cumplen al 100% con DMARC.
- Contienen detalles forenses sobre los correos electrónicos que fallaron las comprobaciones de autenticación (DKIM o SPF).
- Son valiosos para detectar vulnerabilidades e intentos no autorizados de envío de correos electrónicos.
RUA (Reporting URI for Aggregate):
- Por otro lado, RUA ofrece una vista general de todo el tráfico de correo electrónico de un dominio.
- Brindan estadísticas agregadas sobre cómo se procesaron los correos electrónicos según las políticas DMARC.
- Son fundamentales para monitorear la implementación de DMARC y evaluar su efectividad.
En resumen, RUF se centra en correos electrónicos individuales y RUA en una visión general de todo el tráfico de correo electrónico. Recomendamos al menos configurar RUA en tu registro DMARC.
Etiquetas aspf= y adkim=
Ambos se pueden configurar en estricto (s) o relajado (r). Son opcionales y por defecto la etiqueta será «relaxed».
ASPF refiere a la alineación entre el dominio del remitente y el dominio del encabezado “From:” mientras que ADKIM a la alineación entre el dominio del remitente y la firma DKIM.
Al igual que con la etiqueta «p», en este caso recomendamos dejar al principio la opción por defecto (relajado) y si estamos seguros de que no tendremos problemas con nuestros correos legítimos, pasarlo a strict (estricto).
Etiqueta ri=
Esta etiqueta DMARC indica el período de tiempo entre informes enviados expresado en segundos. Por ejemplo, cada un día sería 86400 (segundos).
ri=86400; ¿Cómo quedaría mi registro DMARC completo?
Primero es necesario verificar que tengas correctamente configurados los registros DNS para SPF y DKIM. Luego te recomendamos crear un primer registro flexible de la siguiente forma:
Nuevo registro DNS de tipo TXT bajo el nombre _dmarc.tudominio.com
v=DMARC1; p=quarantine; rua=mailto:tumail@tudominio.com; ruf=mailto:tumail@tudominio.com; ri=86400;Después de verificar los informes durante un período prudente de tiempo podrás hacer la regla más estricta.
¿Es obligatorio configurar DMARC?
Desde febrero del 2024 Gmail de Google y Yahoo informaron el requisito de contar con este protocolo para dominios que envíen correos masivos. En el caso de Google (Gmail), por ejemplo, si se envían más de 5.000 correos por día es obligatorio para evitar que los correos reboten1.
Por lo que si desde tu dominio se realizan campañas de email marketing masivas, la respuesta corta sería si.
De todas formas, aunque no envíes emails de forma masiva, es recomendable implementarlo. Especialmente para instituciones propensas al fraude como bancos o entidades gubernamentales.
Herramienta para crear tu registro DMARC
Debajo te dejamos el enlace a nuestra herramienta para crear tu registro DNS de forma simple y rápida.