Preguntas Frecuentes sobre DMARC
Estas preguntas frecuentes proporcionan una visión general de DMARC, cómo funciona, y su importancia en la seguridad del correo electrónico para las empresas y organizaciones.
IMPORTANTE: A partir de febrero de 2024, tener configurado DMARC, al igual que SPF y DKIM, es un requisito para enviar emails hacia servidores Google y Yahoo.
DMARC, que significa "Domain-based Message Authentication, Reporting & Conformance", es un protocolo de validación de correo electrónico diseñado para proteger el dominio de una empresa contra la suplantación de identidad, el phishing y otros tipos de ataques de correo electrónico. Utiliza una combinación de los estándares SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail) para verificar que los mensajes de correo electrónico sean legítimos y provengan de fuentes autorizadas.
DMARC funciona verificando que los correos electrónicos enviados desde un dominio específico estén autorizados por las políticas de SPF y DKIM del dominio. Cuando se recibe un correo electrónico, el servidor del receptor verifica el registro DMARC del dominio del remitente para comprobar si el mensaje cumple con las políticas de autenticación. Si no las cumple, el protocolo DMARC proporciona instrucciones sobre cómo manejar el mensaje (por ejemplo, rechazarlo o ponerlo en cuarentena).
Implementar DMARC ayuda a prevenir el abuso del dominio de una empresa en ataques de phishing y spoofing, mejora la capacidad de entrega de los correos electrónicos legítimos, y proporciona informes sobre los intentos de suplantación, lo que permite una mejor comprensión y respuesta a las amenazas.
No. La configuración de DMARC es una responsabilidad que generalmente recae sobre el equipo de TI o el administrador del dominio de su organización. Aquí hay algunas aclaraciones al respecto:
Responsabilidad del Administrador de Dominio:
La configuración de DMARC debe realizarse en el sistema de nombres de dominio (DNS) de su dominio, lo cual es normalmente una tarea para el administrador del dominio o el equipo de TI de su empresa.
Rol de Proveedores de Servicios de Email como DANAconnect:
Mientras que DANAconnect puede proporcionar recomendaciones o mejores prácticas para la configuración de correos electrónicos y seguridad, ningún empleado de DANAconnect tiene acceso a los sistemas de DNS de sus clientes para configurar registros como DMARC. DANAconnect presta servicios de asesoría para la implementación, pero la implementación práctica (dentro de sus sistemas de DNS) es externa a sus servicios.
La mayoría de los servidores de correo electrónico modernos y los proveedores de servicios de correo electrónico son compatibles con DMARC. Sin embargo, la implementación puede variar, por lo que es importante consultar con el proveedor de servicios de correo electrónico o con un experto en seguridad de TI.
Para configurar DMARC, se debe crear un registro DMARC en el DNS del dominio. Este registro especifica la política de DMARC del dominio y la dirección de correo electrónico para recibir informes sobre los mensajes que no pasen la verificación.
Un registro DMARC es un tipo de registro DNS que especifica la política de autenticación de correo electrónico de un dominio y cómo manejar los correos electrónicos que no pasan la verificación DMARC. Se crea añadiendo una entrada al DNS del dominio con la política DMARC deseada y las direcciones para los informes.
SPF y DKIM son tecnologías de autenticación de correo electrónico. SPF valida el servidor que envía el correo electrónico, mientras que DKIM valida la integridad del mensaje. DMARC utiliza ambos para proporcionar una capa adicional de seguridad, especificando cómo deben manejarse los mensajes que fallan en estas validaciones.
Cuando se configura correctamente, DMARC no debería afectar negativamente a los correos electrónicos legítimos. De hecho, puede mejorar la capacidad de entrega de estos correos al demostrar que provienen de una fuente legítima.
Si un correo electrónico no pasa la verificación DMARC, se tomará la acción especificada en el registro DMARC del dominio del remitente, que puede ser ninguna acción (p=none), poner el mensaje en cuarentena (p=quarantine) o rechazar el mensaje (p=reject).
Si bien no es estrictamente necesario ser un experto, la implementación de DMARC puede ser técnica y puede requerir un conocimiento básico de DNS y de las políticas de correo electrónico. Es aconsejable buscar asesoramiento o asistencia de un experto en seguridad de TI.
Un poco más técnico:
v=DMARC1; p=none; rua=mailto:reportes@domejemplo.com
Este registro se colocaría en la configuración DNS del dominio domejemplo.com. Esto que le ofrecemos es solo un ejemplo, y las políticas y direcciones de correo electrónico deben ser elegidas de acuerdo a las necesidades específicas y las capacidades de manejo de tu organización.
Este registro de ejemplo se desglosa de la siguiente manera:
v=DMARC1: Versión del protocolo DMARC. Hasta febrero de 2024 no existe otra versión de DMARC que la 1.
p=none: La política DMARC aplicada a los correos que fallan las verificaciones SPF y DKIM. En este ejemplo, none indica que no se toma ninguna acción, pero se recopilan y envían informes. Otras opciones pueden ser p=quarantine (cuarentena) o p=reject (rechazo).
rua=mailto:reportes@domejemplo.com: Dirección de correo electrónico donde se enviarán los informes de agregación (resúmenes periódicos de actividad). Aquí, se envían a reportes@domejemplo.com. Recomendamos que tengan un buzón específico para recibir estos mensajes, ya que dependiendo de la cantidad de mensajes que su empresa envíe, los reportes pueden ser extensos.
También existen otras configuraciones opcionales:
ruf=mailto:forensics@domejemplo.com: Dirección de correo electrónico para informes forenses, que son informes detallados de fallos individuales.
fo=1: Opciones de generación de informes forenses. 1 indica que se enviarán informes si falla alguno de los chequeos de SPF o DKIM. Otras opciones pueden incluir 0 (solo si fallan ambos chequeos), d (solo si falla DKIM), y s (solo si falla SPF).
Preguntas frecuentes sobre SPF
Servicio de implementación de DMARC, SPF y DKIM
IMPORTANTE: A partir de febrero de 2024, tener configurado DMARC, al igual que SPF y DKIM, es un requisito para enviar emails hacia servidores Google y Yahoo.
¿Qué es DMARC?
DMARC, que significa "Domain-based Message Authentication, Reporting & Conformance", es un protocolo de validación de correo electrónico diseñado para proteger el dominio de una empresa contra la suplantación de identidad, el phishing y otros tipos de ataques de correo electrónico. Utiliza una combinación de los estándares SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail) para verificar que los mensajes de correo electrónico sean legítimos y provengan de fuentes autorizadas.
¿Cómo funciona DMARC?
DMARC funciona verificando que los correos electrónicos enviados desde un dominio específico estén autorizados por las políticas de SPF y DKIM del dominio. Cuando se recibe un correo electrónico, el servidor del receptor verifica el registro DMARC del dominio del remitente para comprobar si el mensaje cumple con las políticas de autenticación. Si no las cumple, el protocolo DMARC proporciona instrucciones sobre cómo manejar el mensaje (por ejemplo, rechazarlo o ponerlo en cuarentena).
¿Cuáles son los beneficios de implementar DMARC?
Implementar DMARC ayuda a prevenir el abuso del dominio de una empresa en ataques de phishing y spoofing, mejora la capacidad de entrega de los correos electrónicos legítimos, y proporciona informes sobre los intentos de suplantación, lo que permite una mejor comprensión y respuesta a las amenazas.
¿Es DANAconnect responsable de configurar el DMARC de mi dominio?
No. La configuración de DMARC es una responsabilidad que generalmente recae sobre el equipo de TI o el administrador del dominio de su organización. Aquí hay algunas aclaraciones al respecto:
Responsabilidad del Administrador de Dominio:
La configuración de DMARC debe realizarse en el sistema de nombres de dominio (DNS) de su dominio, lo cual es normalmente una tarea para el administrador del dominio o el equipo de TI de su empresa.
Rol de Proveedores de Servicios de Email como DANAconnect:
Mientras que DANAconnect puede proporcionar recomendaciones o mejores prácticas para la configuración de correos electrónicos y seguridad, ningún empleado de DANAconnect tiene acceso a los sistemas de DNS de sus clientes para configurar registros como DMARC. DANAconnect presta servicios de asesoría para la implementación, pero la implementación práctica (dentro de sus sistemas de DNS) es externa a sus servicios.
¿DMARC es compatible con todos los servidores de correo electrónico?
La mayoría de los servidores de correo electrónico modernos y los proveedores de servicios de correo electrónico son compatibles con DMARC. Sin embargo, la implementación puede variar, por lo que es importante consultar con el proveedor de servicios de correo electrónico o con un experto en seguridad de TI.
¿Cómo se configura DMARC?
Para configurar DMARC, se debe crear un registro DMARC en el DNS del dominio. Este registro especifica la política de DMARC del dominio y la dirección de correo electrónico para recibir informes sobre los mensajes que no pasen la verificación.
¿Qué es un registro DMARC y cómo se crea?
Un registro DMARC es un tipo de registro DNS que especifica la política de autenticación de correo electrónico de un dominio y cómo manejar los correos electrónicos que no pasan la verificación DMARC. Se crea añadiendo una entrada al DNS del dominio con la política DMARC deseada y las direcciones para los informes.
¿Qué diferencia hay entre SPF, DKIM y DMARC?
SPF y DKIM son tecnologías de autenticación de correo electrónico. SPF valida el servidor que envía el correo electrónico, mientras que DKIM valida la integridad del mensaje. DMARC utiliza ambos para proporcionar una capa adicional de seguridad, especificando cómo deben manejarse los mensajes que fallan en estas validaciones.
¿Cómo afecta DMARC a los correos electrónicos legítimos?
Cuando se configura correctamente, DMARC no debería afectar negativamente a los correos electrónicos legítimos. De hecho, puede mejorar la capacidad de entrega de estos correos al demostrar que provienen de una fuente legítima.
¿Qué sucede si un correo electrónico falla en la verificación DMARC?
Si un correo electrónico no pasa la verificación DMARC, se tomará la acción especificada en el registro DMARC del dominio del remitente, que puede ser ninguna acción (p=none), poner el mensaje en cuarentena (p=quarantine) o rechazar el mensaje (p=reject).
¿Es necesario ser experto en tecnología para implementar DMARC?
Si bien no es estrictamente necesario ser un experto, la implementación de DMARC puede ser técnica y puede requerir un conocimiento básico de DNS y de las políticas de correo electrónico. Es aconsejable buscar asesoramiento o asistencia de un experto en seguridad de TI.
Un poco más técnico:
¿Cómo es un ejemplo de un registro DMARC?
v=DMARC1; p=none; rua=mailto:reportes@domejemplo.com
Este registro se colocaría en la configuración DNS del dominio domejemplo.com. Esto que le ofrecemos es solo un ejemplo, y las políticas y direcciones de correo electrónico deben ser elegidas de acuerdo a las necesidades específicas y las capacidades de manejo de tu organización.
Este registro de ejemplo se desglosa de la siguiente manera:
v=DMARC1: Versión del protocolo DMARC. Hasta febrero de 2024 no existe otra versión de DMARC que la 1.
p=none: La política DMARC aplicada a los correos que fallan las verificaciones SPF y DKIM. En este ejemplo, none indica que no se toma ninguna acción, pero se recopilan y envían informes. Otras opciones pueden ser p=quarantine (cuarentena) o p=reject (rechazo).
rua=mailto:reportes@domejemplo.com: Dirección de correo electrónico donde se enviarán los informes de agregación (resúmenes periódicos de actividad). Aquí, se envían a reportes@domejemplo.com. Recomendamos que tengan un buzón específico para recibir estos mensajes, ya que dependiendo de la cantidad de mensajes que su empresa envíe, los reportes pueden ser extensos.
También existen otras configuraciones opcionales:
ruf=mailto:forensics@domejemplo.com: Dirección de correo electrónico para informes forenses, que son informes detallados de fallos individuales.
fo=1: Opciones de generación de informes forenses. 1 indica que se enviarán informes si falla alguno de los chequeos de SPF o DKIM. Otras opciones pueden incluir 0 (solo si fallan ambos chequeos), d (solo si falla DKIM), y s (solo si falla SPF).
También de interés:
Preguntas frecuentes sobre SPF
Servicio de implementación de DMARC, SPF y DKIM
Actualizado el: 08/03/2024
¡Gracias!