Formato DMARC : qué significa realmente cada configuración

Lo básico: lo que debe incluir todo DMARC

Solo dos DMARC son obligatorias; todo lo demás es una adición voluntaria.

v= (Versión)

v=DMARC1 identifica la versión del registro. Debe aparecer en primer lugar. No hay alternativas ni variaciones.

p= (Política)

En p= DMARC es el elemento clave para la aplicación de las medidas. Tiene tres valores, cada una de las cuales representa una postura diferente:

• p=none – Supervisión solo. Los correos electrónicos se entregan independientemente de los resultados de la autenticación. No hay ninguna protección de dominio activa.
• p=quarantine – Los mensajes que no se reciben se envían a la carpeta de spam o correo no deseado. Protección parcial.
• p=reject – Los mensajes que no cumplen los requisitos se bloquean directamente. Aplicación estricta.

El valor de la política es la decisión más importante en cualquier DMARC . Este ejemplo DMARC muestra la configuración mínima válida: Este ejemplo DMARC es técnicamente válido, pero no ofrece protección ni reporte . solo es solo como punto de partida provisional.

Referencia de DMARC

Utiliza esta tabla como referencia rápida a la hora de realizar una auditoría o Creación de un DMARC para tu entorno.

Formato DMARC : cuatro configuraciones reales

Configuración 1: Nueva implementación

Situación: Un dominio que publica DMARC primera vez. SPF DKIM configurados, pero las fuentes de envío aún no se han asignado por completo. El objetivo es recopilar reporte agregados reporte antes de tomar cualquier decisión sobre la aplicación de las normas. Este formato DMARC es el punto de partida recomendado: Desglose DMARC :

• p=none – No se toma ninguna medida ante los mensajes de error. Protege contra las interrupciones mientras se realiza el mapeo de la infraestructura.
• rua= – LaDMARC reporte , que redirige los informes agregados a un buzón supervisado o a reporte . Sin ella, la fase de supervisión no genera datos útiles.

Lo que indica este dato: El propietario del dominio está iniciando el DMARC . No aplicación está configurado. El dominio sigue siendo vulnerable a la suplantación de identidad. Este formato DMARC solo es solo como punto de partida. Mantenerlo en p=none «Por tiempo indefinido» no es una estrategia de seguridad.

Configuración dos: aplicación parcial

Situación: Informes agregados Se han revisado. La mayoría de las fuentes de envío legítimas están autenticadas. El dominio está avanzando hacia la aplicación de la política, pero el equipo quiere validar la situación antes de comprometerse a rechazar los mensajes. Este formato DMARC introduce reporte de cuarentena y forenses. El ejemplo DMARC que se muestra a continuación es adecuado cuando la mayoría de los remitentes están autenticados, pero el equipo aún no está preparado para pasar a rechazar los mensajes: Desglose DMARC :

• p=quarantine – Los mensajes con errores se envían a la carpeta de spam o correo no deseado en lugar de ser rechazados. Esto permite al equipo detectar casos excepcionales antes de pasar a p=reject.
• ruf= – LaDMARC reporte ». Permite generar informes sobre mensajes concretos que no se han entregado correctamente. Ten en cuenta que la compatibilidad con reporte «RUF reporte según los proveedores receptores y no es una característica universalmente compatible.
• fo=1 – Genera un reporte forense reporte DKIM SPF DKIM (el valor por defecto fo=0 (solo cuando ambos fallan). Se recomienda para obtener una visión más amplia durante esta fase.

Lo que indica este dato: Se está llevando a cabo una aplicación activa de las medidas de seguridad. El dominio está protegido contra la mayoría de los intentos de suplantación de identidad, pero los mensajes fallidos siguen siendo enviados a la carpeta de correo no deseado en lugar de ser bloqueados.

Configuración tres: aplicación total

Situación: Todas las fuentes de envío legítimas están autenticadas y cumplen los requisitos. El dominio está listo para la aplicación completa de la política. Este formato DMARC representa el estado de aplicación deseado. El ejemplo DMARC que se muestra a continuación se aplica cuando todas las fuentes de envío están autenticadas y cumplen los requisitos: Desglose DMARC :

• p=reject – Los mensajes con errores se bloquean. Este es el objetivo que debe perseguir cualquier dominio que se tome en serio la seguridad del correo electrónico.
• adkim=r y aspf=r – Tranquilo alineación (por defecto). Permite que el dominio raíz coincida incluso cuando los mensajes se envían desde un subdominio o un tercero. Alineación estricta (adkim=s, aspf=s) solo debe solo cuando el entorno de envío esté estrictamente controlado y se conozca al detalle.

Lo que indica este dato: Aplicación total. Se rechazan los mensajes no autorizados. Este formato DMARC es adecuado para la mayoría de los entornos de envío.

Configuración cuatro: Entorno de envío complejo

Situación: Un dominio envía mensajes a través de varios servicios de terceros: una plataforma de marketing, un CRM, un proveedor de correo electrónico transaccional y un sistema de recursos humanos. Los subdominios son utilizados por unidades de negocio independientes con diferentes fuentes de envío. Este formato DMARC combina la aplicación estricta de las políticas en el dominio principal con la flexibilidad de los subdominios. El ejemplo DMARC que se muestra a continuación es adecuado para empresas con múltiples servicios de envío y subdominios gestionados de forma independiente: Desglose DMARC :

• p=reject – Aplicación íntegra en el ámbito organizativo.
• sp=quarantine – Una política más prudente para los subdominios. Resulta útil cuando aún se están asignando las fuentes de envío de los subdominios o cuando diferentes equipos gestionan el envío desde los subdominios de forma independiente.
• adkim=r y aspf=r – En este caso, es fundamental que la alineación sea flexible. Una alineación estricta provocaría fallos en los remitentes externos que utilizan sus propios subdominios.
• ruf= y fo=1 – reporte forense sobreDMARC activadas con un ámbito amplio. Es fundamental a la hora de investigar fallos de autenticación en un entorno de envío distribuido.

Lo que indica este dato: Un formato DMARC maduro que combina la aplicación estricta en el dominio principal con un enfoque prudente en los subdominios. Adecuado para empresas con equipos distribuidos y una infraestructura de envío compleja.

Gestión del formato DMARC a gran escala

Conseguir que el formato DMARC sea el correcto para un solo dominio ya supone un reto. Mantenerlo preciso en una cartera cada vez mayor —y saber cuándo hay que cambiar una configuración— es donde empieza el trabajo. Los equipos de seguridad y de TI que se enfrentan a remitentes no autenticados, DMARC mal configuradas o entornos de envío distribuidos se topan con los mismos problemas: investigaciones manuales, lagunas en la visibilidad y desviaciones en las políticas entre departamentos y regiones. Auditar manualmente DMARC en docenas de dominios no es un proceso escalable. Sendmarc’s Plataforma DMARC ofrece a los equipos una visibilidad continua de cada registro, cada fuente de envío y cada error de autenticación en todos los dominios. Sendmarc te ayuda a:

• Obtén una visión global unificada de todas DMARC SPF, DKIM y DMARC
• Identifica a los remitentes de correo electrónico no autorizados o desconocidos antes de que causen daños
• Reducir la investigación manual de errores de configuración en dominios y subdominios
• Estandarizar las políticas de autenticación del correo electrónico en todos los departamentos, regiones y filiales
• Mantener mejoras continuas en materia de seguridad sin aumentar la carga de trabajo interna

Descubre cómo es DMARC completa DMARC .