El principal objetivo de DMARC es ofrecer a los propietarios de dominios de correo electrónico una forma de proteger tu dominio frente al uso no autorizado, también conocido como spoofing. Al publicar una política DMARC en tus registros DNS, los propietarios de dominios pueden especificar qué mecanismos se utilizan para autenticar los mensajes de correo electrónico enviados desde tu dominio y qué hacer si un mensaje no supera la autenticación. Esto permite a los servidores de correo receptores comprobar la autenticidad de los mensajes e impedir su entrega si no superan la comprobación de autenticación.

DMARC permite al propietario de un dominio publicar una política en sus registros DNS que especifica qué mecanismos, como SPF y DKIM, se utilizan para autenticar los mensajes de correo electrónico enviados desde su dominio. Cuando un servidor de correo receptor recibe un mensaje de correo electrónico, comprueba las cabeceras del mensaje para ver si incluye una política DMARC. Si el mensaje incluye una política DMARC, el servidor de correo receptor comprobará el mensaje con la política publicada del propietario del dominio para ver si supera las comprobaciones de autenticación (es decir, SPF y DKIM). Si el mensaje no pasa las comprobaciones de autenticación, el servidor de correo receptor puede tomar la acción especificada en la política, como poner el mensaje en cuarentena o rechazarlo.

Implementar DMARC puede ser algo complejo, ya que implica publicar una política DMARC en sus registros DNS y supervisar regularmente tus reportes DMARC. Si no estás familiarizado con DNS y los mecanismos de autenticación de correo electrónico, lo ideal es trabajar con una organización como Sendmarc para ayudarte a configurar tu política DMARC. Las herramientas de Sendmarc también le proporcionan la visibilidad necesaria para supervisar el progreso en todos tus dominios activos (o dominios de clientes) de forma continua. Además, Sendmarc proporciona herramientas que facilitan la gestión de SPF, DKIM y DMARC.

SPF, o Sender Policy Framework, es una comprobación de autenticación de correo electrónico que valida el origen de un mensaje. El propietario de un dominio autoriza una lista de direcciones IP que pueden enviar correo electrónico desde ese dominio. Cuando un servidor recibe un correo electrónico, puede verificar que procede de una fuente autorizada si proviene de una dirección IP permitida por el propietario del dominio.

DMARC se basa en SPF para verificar que un remitente es quien dice ser, y vincula SPF y DKIM con un conjunto de políticas que determinan qué debe ocurrir con el correo electrónico si no supera la autenticación SPF o DKIM.

DKIM es una comprobación de autenticación de correo electrónico para verificar que un correo electrónico no ha sido manipulado durante el tránsito, que los encabezados del correo electrónico no han cambiado y que el remitente es el propietario legal del dominio o está autorizado por el propietario para enviar en su nombre.

A cada correo electrónico enviado desde una lista autorizada de direcciones se adjuntan una clave de cifrado y una firma digital que se utilizan para verificar que el mensaje no ha sido alterado o falsificado.

SPF y DKIM son protocolos complementarios de autenticación de correo electrónico que suelen utilizarse juntos para proporcionar una defensa más sólida contra los ataques de suplantación de identidad y phishing. SPF ayuda a evitar direcciones de remitente falsificadas, mientras que DKIM ayuda a evitar cambios no autorizados en el contenido de un mensaje.

Al implementar tanto SPF como DKIM, el propietario de un dominio puede garantizar que sus mensajes se entregan al destinatario previsto y que el contenido del mensaje no ha sido manipulado en tránsito. Si un correo electrónico supera la autenticación SPF y DKIM, el destinatario puede estar seguro al 100% de que tanto el remitente como el mensaje son auténticos.

Sí. SPF y DKIM ayudan a proteger contra ataques basados en correo electrónico que utilizan direcciones de remitente falsificadas o se basan en la edición del contenido de un correo electrónico. Al implementar estos dos protocolos y supervisar sus registros, los propietarios de dominios pueden ayudar a proteger sus dominios de ser utilizados en este tipo de ataques. Sin embargo, es importante tener en cuenta que SPF y DKIM por sí solos no son una solución completa para la protección contra los ataques basados en el correo electrónico, y deben utilizarse junto con DMARC, la formación de concienciación de los usuarios y la implementación de una pasarela de correo electrónico segura.

Sendmarc y tu SEG se complementan de múltiples maneras. Al implementar DMARC con Sendmarc, proporcionará a su SEG señales adicionales para identificar y rechazar eficazmente los correos electrónicos de suplantación de identidad.

Además, Sendmarc protegerá tu dominio de intentos de suplantación fuera del perímetro de tu SEG. Esto significa que cada empresa e individuo que recibe correo electrónico de tu dominio será capaz de distinguir fácilmente entre el correo electrónico legítimo y los intentos de un atacante para hacerse pasar por tu organización. Mientras que tu SEG es un componente crucial de su estrategia de seguridad, Sendmarc mejora esa protección asegurando que sólo se entrega correo electrónico real, protegiendo a tu personal y al resto del mundo.

Según ha declarado Google, a partir de febrero de 2024 todos los remitentes de Gmail deberán:

1. Ten configurados los protocolos de autenticación de correo electrónico DKIM o SPF para tu dominio. Ponte en contacto con nosotros, podemos ayudarte.
2. Asegúrate de que los dominios o IP de envío tengan registros DNS directos e inversos válidos, también denominados registros PTR.
3. Utiliza una conexión TLS para transmitir correo electrónico.
4. Evita alcanzar una tasa de spam del 0,3% o superior.
5. Formatea los mensajes según la norma Internet Message Format (RFC 5322).
6. Nunca suplantes las cabeceras "De:" de Gmail. El envío de correo electrónico desde cualquier plataforma o servicio de envío de correo electrónico que no sea una plataforma de Google (por ejemplo, Mailchimp, SendGrid o Zendesk) con una dirección De: con el dominio gmail.com se considera una suplantación de las cabeceras De: de Gmail. Para evitarlo, Google comenzará a aplicar una política de cuarentena DMARC. Así, por ejemplo, si utilizas [email protected] para enviar correos electrónicos comerciales en lugar de [email protected], Y envías correos electrónicos desde cualquier plataforma que no sea Gmail, es probable que esos correos vayan a parar a las carpetas Spam o Correo no deseado.
7. Añade encabezados ARC al correo electrónico saliente, especialmente si lo reenvía con regularidad, incluso utilizando listas de correo o pasarelas de entrada. Los encabezados ARC indican que el mensaje ha sido reenviado y le identifican como remitente. Los remitentes de listas de correo también deben añadir una cabecera List-id:, que especifica la lista de correo, a los mensajes salientes.

Según lo declarado por Yahoo, a partir de febrero de 2024 todos los remitentes de Yahoo deberán:

1. Autenticar el correo electrónico aplicando como mínimo SPF o DKIM.
2. Mantener la tasa de spam por debajo del 0,3%.
3. Disponer de un registro DNS directo e inverso válido para las IP de envío
4. Cumplir las RFC 5321 y 5322

Microsoft puede estar involucrado en DMARC, pero hay áreas en las que su plataforma y servicios se quedan cortos cuando se trata de resolver problemas relacionados con DMARC. Los dos papeles principales de Microsoft en el ecosistema DMARC incluyen el envío de informes y la aplicación de DMARC, que son necesarios, pero no suficientes, para que el propietario de un dominio logre el cumplimiento de DMARC.

Sendmarc complementa el trabajo de Microsoft de dos maneras:

1. Informes: Nuestra plataforma recopila y enriquece los datos DMARC que le envían miles de destinatarios de correo electrónico de todo el mundo. A continuación, resume, enriquece y visualiza todos los datos DMARC generados por su dominio y los muestra en un único lugar para facilitar su visualización, ofreciéndole información comprensible y procesable para su protección.
2. Configuración: Aunque Microsoft respetará DMARC, SPF y DKIM, depende del propietario del dominio (con la ayuda de una plataforma como Sendmarc) asegurarse de que estos estándares están configurados correctamente. De lo contrario, Microsoft rechazará los correos legítimos, causando problemas de entrega. Por lo tanto, aunque Microsoft rechazará los correos electrónicos que no pasen el DMARC, depende del propietario del dominio asegurarse de que su dominio tiene las instrucciones correctas para que Microsoft pueda hacerlo.

Aunque el papel de Microsoft en DMARC es fundamental para proteger tu organización contra las amenazas entrantes, el camino hacia una protección DMARC completa requiere más. Requiere que tu empresa interprete los informes de todos los proveedores, configure todas las plataformas para el cumplimiento de DMARC (no solo Microsoft) y mantenga registros DMARC, SPF y DKIM completos para una protección definitiva contra las ciberamenazas.