¿Qué es la Alineación DMARC y Por Qué es Importante?
Los invitamos a ver los artículos en nuestro blog sobre DMARC: ir al blog
La alineación DMARC es un concepto fundamental en la implementación de DMARC, una tecnología diseñada para autenticar el remitente de los correos electrónicos y mejorar la seguridad del correo electrónico. Esta alineación requiere que el dominio utilizado en los resultados positivos de SPF o DKIM coincida con el dominio en la cabecera "From" del cuerpo del mensaje de correo electrónico.
Aunque las tecnologías SPF y DKIM son ampliamente conocidas, es importante entender que ninguna de ellas se relaciona directamente con la dirección "From", que es lo que los usuarios suelen ver. Esta desconexión es lo que permite la proliferación de phishing, spoofing y otros tipos de abuso de dominios. DMARC introduce un control primordial para observar y restringir el uso de dominios de correo electrónico, exigiendo que los correos electrónicos alineen sus dominios para ser considerados auténticos. Solo los correos electrónicos alineados pueden pasar DMARC; una discrepancia resultará en un fallo de DMARC.
La alineación de los identificadores SPF y DKIM demuestra al mundo que un proveedor o servidor específico está autorizado explícitamente para enviar correos en nombre de tu organización. Este proceso ayuda a asegurar que solo se entreguen los correos electrónicos que deseas y permite instruir a los receptores de correo para descartar cualquier cosa que no haya sido aprobada.
Configurar la alineación DMARC para cada proveedor que envía correos en nombre de su dominio es un paso crítico y puede requerir ajustes individuales en la configuración de DNS de tu organización y comunicación con los proveedores para asegurar el envío de correos alineados. El objetivo final es alcanzar una alineación cercana al 100% con cada uno de tus proveedores de correo electrónico y luego publicar una política DMARC cada vez más restrictiva.
En la introducción al tema de DMARC y la seguridad de email, en un nivel más avanzado comenzamos a entender la importancia de las etiquetas adkim y aspf, componentes de la política DMARC que aunque no son imprescindibles de declarar, ayudan a las organizaciones de una manera más especializada a proteger sus dominios de email contra la suplantación de identidad y otros tipos de ataques de phishing.
Incluir estas etiquetas en la política DMARC de una organización brinda un control más granular sobre cómo se validan los mensajes de correo electrónico y se refuerza la seguridad del dominio, minimizando el riesgo de abuso y ataques de phishing. Al especificar estas políticas, las organizaciones pueden asegurar que solo los correos electrónicos autenticados y verificados sean entregados, mientras que los mensajes sospechosos o fraudulentos pueden ser rechazados o puestos en cuarentena, según las preferencias de la organización.
La correcta implementación de DMARC con configuraciones adecuadas para adkim y aspf es el paso siguiente y más avanzado, luego de haber declarado la política DMARC.
La etiqueta adkim se refiere a la alineación de DKIM, especificando cómo se compara el dominio en la firma DKIM de un correo electrónico con el dominio en el campo «De» del mensaje. Las opciones son «r» para relajado, donde los dominios deben ser del mismo Organizational Domain, y «s» para estricto, donde los dominios deben coincidir exactamente.
v=DMARC1; p=quarantine; pct=25; rua=mailto:idcompany@danaconnect-dmarc.com; adkim=r;
La siguiente tabla demuestra la flexibilidad de la alineación relajada (adkim=r) donde un subdominio puede ser considerado como una coincidencia válida, pero un dominio diferente, aunque comparta algunas partes del nombre, no lo es.
v=DMARC1; p=quarantine; pct=25 ; rua=mailto:idcompany-rua@danaconnect-dmarc.com; ruf=mailto:idcompany-ruf@danaconnect-dmarc.com; adkim=s;
Con la etiqueta de alineación estricta DKIM (adkim=s) activada en un registro DMARC, es imprescindible que el dominio en la firma DKIM y el dominio en la cabecera "From" sean exactamente iguales para que el resultado sea un "PASA". Cualquier discrepancia, incluso entre dominios padre/hijo, resultará en un "FALLA". Esto subraya la importancia de una configuración precisa para evitar fallos en la autenticación de correos legítimos.
La etiqueta aspf se refiere a la alineación de SPF, que establece cómo se debe comparar el dominio utilizado para la verificación SPF con el dominio en el campo «De» del correo electrónico. Al igual que con adkim, las opciones son «r» para relajado y «s» para estricto.
En el contexto de alineación relajada, el dominio que realiza la verificación SPF no necesita coincidir exactamente con el dominio en la cabecera "From" del correo electrónico, pero debe ser parte del mismo dominio organizacional.
v=DMARC1; p=quarantine; pct=100; aspf=r; rua=mailto:idcompany-rua@danaconnect-dmarc.com;
Con aspf=s, el dominio utilizado en la verificación SPF debe coincidir exactamente con el dominio en la cabecera "From" del correo electrónico para considerarse una alineación exitosa y pasar DMARC.
v=DMARC1; p=quarantine; pct=100; aspf=s; rua=idcompany-rua@danaconnect-dmarc.com;
Estos ejemplos destacan la importancia de configurar correctamente las etiquetas adkim y aspf para mejorar la seguridad de tu dominio y garantizar que solo los correos electrónicos autenticados sean entregados.
Los invitamos a ver los artículos en nuestro blog sobre DMARC: ir al blog
La alineación DMARC es un concepto fundamental en la implementación de DMARC, una tecnología diseñada para autenticar el remitente de los correos electrónicos y mejorar la seguridad del correo electrónico. Esta alineación requiere que el dominio utilizado en los resultados positivos de SPF o DKIM coincida con el dominio en la cabecera "From" del cuerpo del mensaje de correo electrónico.
Aunque las tecnologías SPF y DKIM son ampliamente conocidas, es importante entender que ninguna de ellas se relaciona directamente con la dirección "From", que es lo que los usuarios suelen ver. Esta desconexión es lo que permite la proliferación de phishing, spoofing y otros tipos de abuso de dominios. DMARC introduce un control primordial para observar y restringir el uso de dominios de correo electrónico, exigiendo que los correos electrónicos alineen sus dominios para ser considerados auténticos. Solo los correos electrónicos alineados pueden pasar DMARC; una discrepancia resultará en un fallo de DMARC.
La alineación de los identificadores SPF y DKIM demuestra al mundo que un proveedor o servidor específico está autorizado explícitamente para enviar correos en nombre de tu organización. Este proceso ayuda a asegurar que solo se entreguen los correos electrónicos que deseas y permite instruir a los receptores de correo para descartar cualquier cosa que no haya sido aprobada.
Configurar la alineación DMARC para cada proveedor que envía correos en nombre de su dominio es un paso crítico y puede requerir ajustes individuales en la configuración de DNS de tu organización y comunicación con los proveedores para asegurar el envío de correos alineados. El objetivo final es alcanzar una alineación cercana al 100% con cada uno de tus proveedores de correo electrónico y luego publicar una política DMARC cada vez más restrictiva.
Alineación de Políticas adkim y aspf
En la introducción al tema de DMARC y la seguridad de email, en un nivel más avanzado comenzamos a entender la importancia de las etiquetas adkim y aspf, componentes de la política DMARC que aunque no son imprescindibles de declarar, ayudan a las organizaciones de una manera más especializada a proteger sus dominios de email contra la suplantación de identidad y otros tipos de ataques de phishing.
Incluir estas etiquetas en la política DMARC de una organización brinda un control más granular sobre cómo se validan los mensajes de correo electrónico y se refuerza la seguridad del dominio, minimizando el riesgo de abuso y ataques de phishing. Al especificar estas políticas, las organizaciones pueden asegurar que solo los correos electrónicos autenticados y verificados sean entregados, mientras que los mensajes sospechosos o fraudulentos pueden ser rechazados o puestos en cuarentena, según las preferencias de la organización.
La correcta implementación de DMARC con configuraciones adecuadas para adkim y aspf es el paso siguiente y más avanzado, luego de haber declarado la política DMARC.
Etiqueta adkim
La etiqueta adkim se refiere a la alineación de DKIM, especificando cómo se compara el dominio en la firma DKIM de un correo electrónico con el dominio en el campo «De» del mensaje. Las opciones son «r» para relajado, donde los dominios deben ser del mismo Organizational Domain, y «s» para estricto, donde los dominios deben coincidir exactamente.
Etiqueta de alineación DKIM relajada en un registro DMARC (adkim=r)
v=DMARC1; p=quarantine; pct=25; rua=mailto:idcompany@danaconnect-dmarc.com; adkim=r;
Escenarios de aprobación / reprobación en alineación relajada
La siguiente tabla demuestra la flexibilidad de la alineación relajada (adkim=r) donde un subdominio puede ser considerado como una coincidencia válida, pero un dominio diferente, aunque comparta algunas partes del nombre, no lo es.
| Dominio DKIM | Dominio en Cabecera From | Resultado |
|---|---|---|
| mail.example.com | example.com | PASA |
| example.mail.com | example.com | FALLA |
Etiqueta de alineación DKIM estricta en un registro DMARC (adkim=s)
v=DMARC1; p=quarantine; pct=25 ; rua=mailto:idcompany-rua@danaconnect-dmarc.com; ruf=mailto:idcompany-ruf@danaconnect-dmarc.com; adkim=s;
Escenarios de aprobación / reprobación en alineación estricta
Con la etiqueta de alineación estricta DKIM (adkim=s) activada en un registro DMARC, es imprescindible que el dominio en la firma DKIM y el dominio en la cabecera "From" sean exactamente iguales para que el resultado sea un "PASA". Cualquier discrepancia, incluso entre dominios padre/hijo, resultará en un "FALLA". Esto subraya la importancia de una configuración precisa para evitar fallos en la autenticación de correos legítimos.
| Dominio DKIM | Dominio en Cabecera From | Resultado |
|---|---|---|
| mail.example.com | mail.example.com | PASA |
| mail.example.com | example.com | FALLA |
Etiqueta aspf
La etiqueta aspf se refiere a la alineación de SPF, que establece cómo se debe comparar el dominio utilizado para la verificación SPF con el dominio en el campo «De» del correo electrónico. Al igual que con adkim, las opciones son «r» para relajado y «s» para estricto.
Etiqueta de alineación SPF relajada en un registro DMARC (aspf=r)
En el contexto de alineación relajada, el dominio que realiza la verificación SPF no necesita coincidir exactamente con el dominio en la cabecera "From" del correo electrónico, pero debe ser parte del mismo dominio organizacional.
v=DMARC1; p=quarantine; pct=100; aspf=r; rua=mailto:idcompany-rua@danaconnect-dmarc.com;
Escenarios de aprobación / reprobación en alineación relajada SPF
| Dominio de Verificación SPF | Dominio en Cabecera From | Resultado |
|---|---|---|
| spf.example.com | example.com | PASA |
| spf.mail.example.com | example.com | PASA |
| example.net | example.com | FALLA |
Etiqueta de alineación SPF estricta en un registro DMARC (aspf=s)
Con aspf=s, el dominio utilizado en la verificación SPF debe coincidir exactamente con el dominio en la cabecera "From" del correo electrónico para considerarse una alineación exitosa y pasar DMARC.
v=DMARC1; p=quarantine; pct=100; aspf=s; rua=idcompany-rua@danaconnect-dmarc.com;
Escenarios de aprobación / reprobación en alineación estricta SPF
| Dominio de Verificación SPF | Dominio en Cabecera From | Resultado |
|---|---|---|
| example.com | example.com | PASA |
| mail.example.com | example.com | FALLA |
Estos ejemplos destacan la importancia de configurar correctamente las etiquetas adkim y aspf para mejorar la seguridad de tu dominio y garantizar que solo los correos electrónicos autenticados sean entregados.
Los invitamos a ver los artículos en nuestro blog sobre DMARC: ir al blog
Actualizado el: 08/03/2024
¡Gracias!