search
El medio de comunicación que reinventa la empresa
Registrar un software

¿Cómo puede asegurarse de que sus correos electrónicos se autentiquen mediante DMARC?

¿Cómo puede asegurarse de que sus correos electrónicos se autentiquen mediante DMARC?

Por Jennifer Montérémal

El 29 de octubre de 2024

El protocolo de seguridad DMARC (Domain-based Message Authentication), aplicado al envío de correos electrónicos, interesa cada vez más a las empresas. Y con razón: no sólo protege a los destinatarios de correos fraudulentos y malintencionados, sino que también contribuye a mejorar la reputación de los remitentes, garantía de un mejor índice de entregabilidad del correo electrónico.

Pero mientras que normas de seguridad como DKIM y SPF ya han sido adoptadas por muchas organizaciones, ¿en qué se diferencia DMARC? ¿Cuáles son sus ventajas?

Para comprender las ventajas de la autenticación de mensajes basada en dominios, veamos su definición, su funcionamiento y su aplicación.

DMARC: definición

¿Qué es DMARC?

DMARC es una especificación técnica creada por un grupo de colaboradores fundadores (Gmail, Hotmail, AOL, etc.).

El objetivo de esta norma es paliar los problemas de seguridad asociados a la autenticación del correo electrónico, en particular detectando el uso indebido del nombre de dominio del remitente.

¿Para qué sirve?

En el mundo del correo, la usurpación de identidad se ha convertido, por desgracia, en una práctica habitual. Todos nos hemos enfrentado a este tipo de correo electrónico malicioso. Para los estafadores, la práctica consiste en falsificar el dominio de una empresa y los correos electrónicos que envía, para hacer creer al destinatario que proceden de un remitente conocido y/o legítimo. ¿El objetivo? Engañar a las víctimas para que instalen programas maliciosos o faciliten información confidencial, como datos bancarios.

El objetivo de DMARC es luchar contra estas prácticas comprobando la fiabilidad del remitente. En resumen, esta especificación técnica es un excelente medio para luchar contra el spam y otros intentos de phishing.

El interés para las empresas es doble:

  • impedir que personas malintencionadas usurpen su identidad ;
  • aumentar su índice de entregabilidad del correo electrónico. Gracias a DMARC, las organizaciones pueden mostrar un "certificado de buena salud" a los servidores de correo de sus destinatarios. De este modo, evitan encontrarse en listas negras (debido a la apropiación de su dominio) y, por tanto, ver sus correos electrónicos rechazados o relegados al correo basura.

¿Cómo funciona DMARC?

Los protocolos DKIM y SPF

DMARC se basa en otros dos protocolos de seguridad:

DKIM (DomainKeys Identified Mail)

Con DKIM, el destinatario puede estar seguro de que el correo de un dominio concreto ha sido aprobado por ese dominio.

Esta norma se basa en una firma criptográfica. Una vez aplicada, garantiza que el mensaje enviado no ha sido alterado.

En el destino, la calidad del correo electrónico puede comprobarse cotejando :

  • la clave privada utilizada para registrar el mensaje
  • y la clave pública disponible en el registro DNS (Domain Name System).

SPF (Marco de Política del Remitente)

El protocolo SPF permite a las empresas y organizaciones especificar quién tiene derecho a enviar correos electrónicos utilizando su nombre de dominio.

A continuación, registran en su DNS las direcciones IP que aprueban (como las direcciones IP de su proveedor de servicios de envío de correo electrónico).

SPF es, por tanto, una excelente forma de verificar la autenticidad del remitente, al identificar los correos electrónicos fraudulentos que usurpan direcciones "de" y nombres de dominio.

Las limitaciones de los protocolos DKIM y SPF

Sin embargo, el uso de los protocolos DKIM y SPF por sí solos ha puesto de manifiesto una serie de limitaciones. Requieren que el MTA ( Agente de Transferencia de Correo ) del destinatario sea plenamente consciente de las medidas que deben tomarse en caso de que falle la autenticación. Además, el remitente carece de visibilidad sobre las medidas adoptadas.

Aquí es donde entra en juego DMARC: el remitente establece de antemano las medidas que debe tomar el MTA destinatario, es decir, cómo debe reaccionar si fallan las comprobaciones DKIM y SPF.

El proceso DMARC

La función de la configuración DMARC es garantizar que el correo enviado cumple al menos uno de los dos protocolos siguientes:

  • Autenticación y alineación SPF,
  • autenticación y alineación DKIM.

Para ello, el propietario del nombre de dominio informa a los servidores de correo de que se han implementado las técnicas DKIM y SPF. Cuando el correo electrónico llega al servidor, éste comprueba que la autenticación se ha realizado correctamente utilizando al menos una de estas dos técnicas.

DMARC sólo actuará si no se ha respetado al menos uno de los dos protocolos anteriores, ya que el correo electrónico en cuestión se considerará sospechoso. En este caso, la acción emprendida dependerá de las reglas de seguridad elegidas en sentido ascendente por el propietario del dominio. Existen tres tipos de políticas:

  • Política DMARC ninguna: en este caso, el correo electrónico se sigue entregando al destinatario. Al mismo tiempo, se envía un informe DMARC al propietario del dominio para indicar su estado e informarle de la falta de alineación.
  • Cuarentena de política DMARC: el correo electrónico en cuestión se pone en "cuarentena", en una carpeta específica. Puede procesarse más tarde.
  • Rechazo de la política DMARC: el correo electrónico es rechazado, es decir, no se reenvía al destinatario.

DMARC es, por tanto, la solución de política de autenticación preferida, ya que el remitente indica al destinatario lo que debe hacer si sospecha algo. No deja lugar a dudas.

Además, gracias a sus capacidades de cuarentena y rechazo, el protocolo evita cualquier exposición a mensajes peligrosos.

¿Cómo se implanta el DMARC?

Como puede ver, dado que la política DMARC se basa en SPF y DKIM, primero tiene que implementar estos dos protocolos.

A continuación, debe ir al campo TXT de su dominio para establecer la etiqueta. La etiqueta debe contener los dos elementos siguientes

  • v: es la versión del protocolo. El registro debe comenzar por "v=DMARC1;",
  • p: esta letra corresponde a la regla de seguridad seleccionada entre las tres descritas anteriormente:
    • "ninguna
    • "cuarentena
    • "rechazar".

Además, hay algunos elementos no obligatorios, que puede optar por introducir o no:

  • pct: porcentaje de mensajes filtrados,
  • adkim: alineación con el protocolo DKIM:
    • "s" para estricto,
    • "r" para relajado,
  • aspf: alineación con el protocolo SPF:
    • "s" para estricto,
    • "r" para relajado,
  • sp: el procedimiento aplicable a los subdominios de su dominio ("ninguno", "cuarentena" y "rechazar"). Si no lo especifica, se aplicará por defecto el valor "p",
  • ruf: la dirección de correo electrónico que recibirá el informe en caso de fallo,
  • fo: las condiciones de envío del informe:
    • "1" para fallo DKIM y/o SPF,
    • "d" para fallo DKIM,
    • "s" para fallo SPF,
    • "0" para fallo DKIM y SPF, por defecto,
  • rua: la dirección de correo electrónico que recibirá los informes agregados.

💡 Para ver concretamente cómo puede ser un parámetro de etiqueta, he aquí un ejemplo proporcionado por Wikipedia:

v=DMARC1;pct=42;adkim=s;aspf=s;p=quarantine;sp=none;ruf=mailto:forensik@example.org;fo=1;rua=mailto:postmaster@example.org!50m

Sin embargo, hay que tener en cuenta que la aplicación satisfactoria de su política DMARC puede ser compleja. Una buena gestión implica ir más allá de la simple configuración de sus DNS. Por eso existe software como Merox. Merox le ayuda a desplegar y actualizar su protocolo DMARC, simplificando :

  • la configuración
  • la recopilación de informes
  • la agregación de informes
  • la visualización de datos.

De este modo, podrá estar seguro de una protección óptima de sus dominios, así como del éxito de sus campañas de marketing gracias a un índice óptimo de entregabilidad del correo electrónico.

Artículo traducido del francés