Qué aprenderá en este artículo
- La etiqueta DMARC FO (Failure Options) controla cuándo un receptor puede enviar un informe de fallo DMARC (también llamado informe forense), que proporciona detalles a nivel de mensaje para la resolución de problemas y la caza de amenazas.
- FO=1 aumenta la visibilidad solicitando la notificación de fallos cuando falla SPF o DKIM, incluso si el mensaje sigue pasando DMARC a través del otro mecanismo.
- En comparación con otros valores FO, FO=1 puede generar más informes y gastos operativos, por lo que es mejor combinarlo con una gobernanza y un filtrado claros.
- Herramientas como un analizador DMARC pueden ayudar a gestionar el volumen de informes DMARC y acelerar la implementación y la resolución de problemas DMARC.
Si está reforzando la autenticación del correo electrónico, DMARC reporting es donde reside la verdadera información. La mayoría de los equipos empiezan con informes agregados DMARC (tendencias de alto nivel), y luego añaden informes sobre fallos cuando necesitan visibilidad a nivel de mensaje.
Ahí es donde entra en juego el ajuste DMARC fo=1. Ayuda a sacar a la superficie fallos parciales de autenticación que pueden ocultar errores de configuración de , lagunas de alineación y señales tempranas de suplantación de identidad.
Esta guía explica qué hace la etiqueta FO, cómo funciona FO=1 en la práctica, cómo se compara con otras opciones y cuándo tiene sentido para entornos empresariales.
¿Qué es la etiqueta DMARC FO?
La etiqueta DMARC FO (Failure Options) es una etiqueta en su registro DMARC de que influye en cuándo un servidor de correo receptor puede generar informes forenses (de fallos). FO ayuda a definir qué condiciones de fallo de autenticación DMARC deben activar un informe a nivel de mensaje.
Es importante separar la FO de un informe agregado:
- Agregado (RUA): Informes DMARC resumidos que muestran los resultados de autenticación y alineación DMARC en grandes volúmenes de correo.
- Fallo/forense (RUF): Datos de informes forenses a nivel de mensaje vinculados a fallos o condiciones específicas.
FO está ligado al comportamiento de los informes de fallos (normalmente entregados a través de la dirección en ruf=), mientras que los resúmenes agregados son entregados a través de rua=.
Qué significa FO=1 en una política DMARC
FO=1 solicita informes de fallos cuando falla la autenticación SPF de o la autenticación DKIM.
Incluso si el mensaje sigue pasando DMARC porque el otro mecanismo pasa y se alinea, FO=1 puede solicitar un informe. Esa visibilidad añadida le ayuda a detectar los fallos parciales de , como los casos en los que su registro SPF de es correcto pero su firma DKIM se rompe, o en los que DKIM pasa pero la alineación SPF falla debido a terceros remitentes.
Cómo funciona DMARC FO=1 en la práctica
Cuando un receptor evalúa un mensaje, comprueba SPF y DKIM, y luego comprueba la alineación del identificador para decidir si la identidad autenticada se alinea con el dominio "De" visible (requisito fundamental de DMARC). La alineación es lo que convierte "la autenticación ocurrió" en "la autenticación tiene sentido para este dominio From".
He aquí el flujo de decisión simplificado:
- Comprobación SPF: El receptor evalúa si la IP remitente está autorizada para el dominio utilizado en SPF y, a continuación, evalúa la alineación (si ese dominio SPF se alinea con el dominio De configurado para el envío de direcciones de correo electrónico).
- Comprobación DKIM: El receptor valida la firma del registro DKIM con respecto al dominio remitente en la cabecera DKIM y, a continuación, evalúa dkim alignment (si ese dominio DKIM se alinea con el dominio From).
- Resultado de la comprobación DMARC: DMARC pasa si se produce un pase alineado con SPF o un pase alineado con DKIM. Si ambas fallan en la alineación, DMARC falla y el receptor aplica su política DMARC (p=).
Cómo FO=1 activa un informe
Con FO=1, se puede generar un informe de fallo cuando falla SPF o DKIM, independientemente del resultado final DMARC pasa/no pasa . Esto resulta útil cuando se intenta averiguar por qué un correo falla intermitentemente un mecanismo, incluso aunque el correo legítimo sigue llegando.
Lo que puede ver en los informes de fallos de FO=1
Un informe de fallo suele incluir señales a nivel de mensaje como:
- Cabeceras de mensajes clave (suficientes para solucionar problemas de enrutamiento e identidad)
- Resultados de autenticación(SPF/DKIM pasa/no pasa y resultados de alineación)
- Indicadores de la infraestructura de envío como IP de origen y dominios
Al tratarse de datos a nivel de mensaje, pueden contener información sensible. Muchas empresas tratan los informes de fallos como telemetría restringida : limitan quién puede acceder a ellos, definen la retención y evitan reenviar los informes sin procesar de forma generalizada.
Tenga en cuenta también que el soporte de informes de fallos varía según el proveedor de buzones. Aunque publique FO y ruf=, los receptores pueden no enviar informes forenses en todos los casos.
Ejemplo de registro DMARC con FO=1
He aquí un sencillo ejemplo de registro DMARC que muestra FO=1 en un registro DMARC TXT (publicado como registro DNS TXT bajo _dmarc.sudominio.com):
|
v=DMARC1; p=cuarentena; rua=mailto:dmarc-agg@yourdomain.com; ruf=mailto:dmarc-forensic@yourdomain.com; fo=1; adkim=s; aspf=s; pct=100 |
- fo=1 solicita informes de fallos cuando SPF o DKIM fallan
- adkim=s y aspf=s ajustan la alineación (modo estricto)
- rua= recibe resúmenes agregados; ruf= recibe informes de fallos
Si está validando registros durante el despliegue, un comprobador de registros DMARC de puede confirmar la sintaxis y si aparece un resultado de registro DMARC encontrado para el dominio.
DMARC FO=1 frente a otras opciones de etiquetas FO
FO admite varios valores, y cada uno de ellos modifica su visibilidad y su carga operativa:
FO=0
FO=0 solicita informes de fallos principalmente cuando DMARC falla (más orientado al "fallo completo"). Esta es la opción menos ruidosa de y puede ser una opción práctica por defecto cuando esté construyendo una línea de base para la elaboración de informes.
FO=d
FO=d limita la notificación de fallos a los relacionados con DKIM. Es útil si su entorno depende en gran medida de la firma DKIM y desea un enfoque más estricto sobre la rotura de DKIM, que afecta a la entregabilidad y autenticación del correo electrónico.
FO=s
FO=s limita la notificación de fallos a los relacionados con el SPF. Es útil si la autorización SPF y los flujos de trabajo basados en SPF son la principal fuente de problemas de autenticación.
Una forma sencilla de elegir qué valor FO utilizar nos permite considerar los requisitos específicos de su organización:
- Elija FO=0 si desea un volumen más bajo y un punto de partida más limpio.
- Elija FO=1 si desea una visión más profunda de los fallos parciales y está preparado para manejar más datos.
- Elija FO=d o FO=s si quiere aislar la localización de averías a un solo mecanismo.
FO=1 puede aumentar el volumen de informes y los gastos operativos. Si no dispone de un proceso para clasificar y almacenar estos informes de , puede acabar teniendo ruido en lugar de información.
Por qué DMARC FO=1 es importante para la seguridad de las empresas
FO=1 es valioso porque en los fallos parciales es donde se esconden los problemas. Un mensaje puede "pasar el DMARC" y aún así mostrar un punto débil , como una ruta de firma DKIM rota, un remitente tercero que cause problemas de alineación o un cambio gradual en la infraestructura que rompa la autenticación para ciertos flujos. FO=1 puede ayudarle:
- Encuentre antes los errores de autenticación y DMARC (especialmente entre muchos remitentes)
- Detecte los primeros indicadores de suplantación de identidad de una marca o los intentos de phishing de que amenazan la seguridad del correo electrónico
- Validar que su configuración DMARC funciona de forma coherente en todos los dominios, infraestructuras y direcciones de correo electrónico remitentes.
- Reducir los ángulos muertos cuando sólo un mecanismo realiza todo el trabajo
Riesgos y compensaciones a gestionar
Las contrapartidas del uso de FO=1 están relacionadas sobre todo con el funcionamiento y la gobernanza:
- Exposición de datos: Los informes sobre fallos pueden incluir señales de contenido sensible
- Cumplimiento y manipulación: Necesita controles de acceso, normas de retención y almacenamiento seguro.
- Volumen: FO=1 puede generar más informes de los que los equipos esperan
Para la gobernanza empresarial, trate los informes de fallos como telemetría de seguridad. Defina quién puede verla, durante cuánto tiempo se conserva en y cómo se utiliza para las investigaciones.
Mejora de la supervisión DMARC con FO=1
La etiqueta DMARC FO ayuda a refinar los informes DMARC controlando cuándo se solicitan los informes de fallos, y FO=1 es especialmente útil para sacar a la luz fallos parciales de autenticación que pueden ser fáciles de pasar por alto.
Para los entornos de medianas y grandes empresas con muchos remitentes, FO=1 puede reforzar la supervisión mejorando la visibilidad de los problemas SPF/DKIM, las lagunas de alineación y las señales tempranas de abuso.
Si está considerando la FO=1, trátela como parte de una estrategia madura: planifique el tratamiento de los informes, la privacidad y el volumen. Y si la gestión de informes a través de múltiples dominios y remitentes le parece pesada, Mimecast DMARC Analyzer y DMARC record generator pueden ayudarle a reducir la complejidad y convertir los informes en información procesable.