Artículo de blog
- 8 minutos leídos
- Kiara Saloojee
- DMARC Enthusiast
Informes DMARC : qué son y cómo utilizarlos
Resumen de los informes DMARC :
- Los informes DMARC ofrecen información detallada, mensaje por mensaje, sobre los correos electrónicos que no superan DMARC
- Se diferencian de los informes agregados, que resumen todo el tráfico durante un periodo determinado
- Los informes forenses pueden contener datos confidenciales: evalúe las obligaciones en materia de privacidad antes de habilitarlos
ruf= - Utiliza los informes forenses junto con los datos agregados, no como sustituto de estos
Los informes DMARC ofrecen a los equipos de seguridad una visión detallada, mensaje por mensaje, de los correos electrónicos que no superan DMARC . Mientras que los informes agregados resumen los resultados de la autenticación de todo el tráfico, los informes DMARC —también denominados informes RUF— proporcionan detalles sobre cada uno de los mensajes que no superan la autenticación.
Esa distinción es importante cuando hay que investigar un intento concreto de suplantación de identidad, diagnosticar un remitente mal configurado o crear un registro de auditoría con fines de cumplimiento normativo.
Para recibir informes forenses, añada el ruf= etiqueta a tu DMARC . Esta etiqueta especifica el buzón al que los servidores receptores deben enviar los informes cuando un mensaje no cumple con los requisitos de DMARC.
Descubre cómo Sendmarc ofrece a tu equipo una visión global de los errores DMARC .
Cómo funcionan los informes DMARC
Cuando un servidor receptor detecta un DMARC , genera un reporte por mensaje reporte lo envía a la dirección especificada en tu ruf= etiqueta. Los informes DMARC utilizan el Formato de Notificación de Abusos (ARF), un formato estándar del sector para reporte los abusos reporte .
Cada reporte incluir:
- Encabezados de los mensajes
- La dirección del remitente
- Resultados de la autenticación (SPF DKIM)
- Hora de recepción
- DKIM
- Servidor de envío
- Asunto
- ID del mensaje
En fo= La etiqueta controla cuándo se generan los informes:
| Valor de la etiqueta | Cuando reporte envía un reporte |
|---|---|
fo=0 | Solo cuando DKIM tanto SPF DKIM |
fo=1 | Cuando DKIM SPF DKIM |
fo=d | solo sobre DKIM |
fo=s | Sobre SPF solo |
Una limitación importante: no todos los servidores receptores envían informes DMARC . La compatibilidad varía según el proveedor, y algunos de los principales —entre ellos Gmail— no envían informes RUF. Esto significa que reporte forenses nunca estarán completos. Úsalos junto con reporte agregados, no como sustituto de estos.
Informes DMARC frente a informes agregados
Saber cuándo utilizar cada reporte ayuda a los equipos de seguridad a sacar el máximo partido a su DMARC .
| Tipo de informe | Disparador | Ámbito de aplicación | Contenido | Ideal para |
|---|---|---|---|---|
| Informes agregados | Periódico (normalmente cada 24 horas) | Todo el tráfico de correo electrónico | Volumen, índices de aprobados/suspensos, procedencias de los alumnos | Seguimiento continuo y aplicación de las políticas |
| Informes forenses | Error por mensaje | Mensajes de error individuales | Encabezados, resultados de autenticación, detalles del mensaje | Investigación de fallos concretos e intentos de suplantación de identidad |
Los informes agregados son la herramienta principal para la supervisión diaria y la aplicación de políticas. Los informes forenses resultan más útiles cuando los datos agregados ponen de manifiesto un problema, pero no lo explican.
Puedes configurar ambos en un único DMARC :
| Host | Tipo | Valor |
|---|---|---|
_dmarc.yourdomain.com | TXT | v=DMARC1; p=reject; rua=mailto:[email protected]; f ruf=mailto:[email protected]; fo=1; |
Consideraciones sobre la privacidad en los informes DMARC
Los informes forenses pueden contener información confidencial, como encabezados, asuntos y, en algunos casos, el cuerpo de los correos electrónicos que no han superado DMARC. Esto genera obligaciones en materia de tratamiento de datos que varían según la región y el sector.
Organizaciones sujetas al RGPD o a normativas de privacidad similares normativa debería evaluar si permitir ruf= antes de proceder. Si los informes forenses recogen datos personales procedentes de correos electrónicos de terceros, dichos datos deben tratarse de conformidad con la legislación aplicable.
Antes de habilitar reporte forense:
- Confirme la base jurídica para la recogida y el tratamiento de reporte
- Asegúrese de que el reporte cuente con controles de acceso y esté debidamente protegido
- Revisa tus obligaciones en materia de conservación de datos relativos al reporte
Tenga en cuenta que algunos servidores receptores ocultan los campos confidenciales —como el contenido del cuerpo del mensaje—, lo que puede reducir el riesgo para la privacidad, pero también limita la información disponible para la investigación.
Tomar medidas a partir de los datos del informe forense
Los informes DMARC resultan más útiles cuando se utilizan como parte de una investigación. Te ayudan a:
- Investiga las direcciones IP de origen desconocidas. Si un reporte forense reporte una dirección IP de origen que no reconoces, comprueba si se trata de un remitente no autorizado o de un servicio legítimo que no está configurado correctamente. Los remitentes no autorizados deben eliminarse o bloquearse; los remitentes legítimos deben autorizarse en tus DKIM SPF DKIM .
- Analice el motivo del fallo de autenticación. Los resultados de la autenticación que aparecen en cada reporte si el fallo se debió a SPF o DKIM , o por ambos. Esto determina lo que hay que solucionar.
- Crear registros de auditoría. reporte forenses sirven de apoyo a las investigaciones internas y proporcionan pruebas fiables a los comités de auditoría y de riesgos.
Analizar y actuar sobre reporte forenses de forma manual no es práctico. Una plataformaDMARC analiza y muestra reporte de fallos en todos tus dominios, para que tu equipo pueda investigar más rápidamente.
Visibilidad unificada de DMARC
Los informes DMARC revelan detalles que los datos agregados por sí solos no pueden proporcionar. Identifican fallos de autenticación específicos y proporcionan a los equipos de seguridad la visibilidad necesaria para investigar intentos de suplantación de identidad, eliminar a los remitentes no autorizados y respaldar reporte de cumplimiento normativo.
La gestión de reporte forenses en múltiples dominios requiere algo más que un reporte . La soluciónDMARC de Sendmarc ofrece a los equipos una visión global de los errores de autenticación, las fuentes de envío y DMARC .
Sendmarc ofrece:
- reporte agregados y forenses reporte un único panel de control
- Identificación de remitentes de correo electrónico no autorizados o desconocidos
- Supervisión continua sin aumentar la carga de trabajo interna
- Registros de auditoría para respaldar los requisitos de cumplimiento normativo y gobernanza
Descubre cómo Sendmarc ofrece a tu equipo una visión global dereporte DMARC .