Qué aprenderá en este artículo
- "Política DMARC no habilitada" suele significar que su dominio no tiene ningún registro DMARC publicado o que su política DMARC está configurada como p=none, que supervisa pero no actúa sobre el correo no autenticado.
- La solución comienza con la publicación de un registro DMARC válido (un registro DNS TXT) y la confirmación de la alineación de los identificadores SPF/DKIM antes de pasar a la ejecución.
- El paso de p=ninguno → cuarentena → rechazo debe ser gradual, utilizando los informes DMARC para identificar primero cada fuente legítima de correo electrónico.
- DKIM es más fuerte cuando se combina con SPF y DMARC como parte de una estrategia más amplia de seguridad del correo electrónico.
- Herramientas como Mimecast DMARC Analyzer pueden ayudar a generar, publicar y supervisar los registros, haciendo que la aplicación sea más segura y fácil de gestionar a escala.
¿Qué es el error "Política DMARC no habilitada"?
El error "Política DMARC no habilitada" significa que su dominio no está aplicando una acción de cumplimiento a través de DMARC. En muchas herramientas de , se activa cuando:
- No hay ningún registro DMARC publicado para su dominio, o
- Existe un registro DMARC, pero la política DMARC de está configurada como p=none (sólo supervisión), por lo que no puede actuar sobre el correo electrónico no autorizado.
DMARC trabaja con Sender Policy Framework (SPF) y DKIM para apoyar la autenticación del correo electrónico. SPF comprueba si la IP remitente está autorizada (basándose en su registro SPF). DKIM comprueba la firma DKIM utilizando su registro DKIM.
A continuación, DMARC evalúa la alineación (también llamada alineación de identificadores) para confirmar si SPF o DKIM "coincide" con el dominio visible From, que es lo que hace que la autenticación DMARC tenga sentido para la protección de marcas.
Por qué una política DMARC puede no estar habilitada
Este problema de la política DMARC no habilitada suele reducirse a una de estas dos cosas: falta de configuración DNS o retraso en la aplicación de .
Causas técnicas comunes
Este problema suele tener su origen en la configuración del DNS y la alineación de la autenticación. Antes de realizar cambios en la política, confirme en que el registro existe, es válido y que SPF/DKIM están configurados para alinearse con su dominio De.
- No hay ningún registro DMARC DNS TXT publicado en su servidor DNS (por lo que las herramientas muestran "no hay registro" o "registro DMARC encontrado: no")
- El registro DMARC existe pero está incompleto (falta v=DMARC1 o p=), falla la validación dmarc
- SPF/DKIM existen, pero la alineación spf o la alineación DKIM no está pasando, por lo que el propietario del dominio duda en aplicar
- Los remitentes de terceros (plataformas de marketing, sistemas de tickets, herramientas CRM) envían correo sin la firma DKIM adecuada o SPF alineado
Causas organizativas comunes
Incluso cuando las piezas técnicas están disponibles, las organizaciones pueden retrasar su aplicación debido a preocupaciones sobre los riesgos y a la falta de visibilidad del remitente . Estos bloqueadores son habituales en entornos con múltiples remitentes de terceros y una madurez limitada de los informes DMARC .
- Confiar sólo en SPF/DKIM, sin darse cuenta de que DMARC añade la aplicación y informes DMARC
- Los sistemas de correo heredados y los complejos ecosistemas de remitentes hacen que la implementación de DMARC parezca arriesgada
- Miedo a interrumpir la entregabilidad del correo electrónico si se activa la aplicación antes de contabilizar a todos los remitentes
- Visibilidad limitada de los flujos de correo, por lo que los equipos no saben qué sistemas envían en nombre del dominio hasta que comienza la supervisión con p=none
Esta es la razón por la que los informes y las herramientas de supervisión son importantes para reducir las conjeturas y hacer que la aplicación de la ley sea un despliegue controlado y escalonado de .
Cómo solucionar el error "Política DMARC no habilitada
Paso 1: Comprobar si existe un registro DMARC
Realice una comprobación utilizando un comprobador DMARC / herramienta de búsqueda DMARC de. Está buscando confirmación de que un registro DMARC está presente como un registro DNS TXT en:
_dmarc.sudominio.com
Si la herramienta muestra "no hay registro DMARC" (o similar), tendrá que publicar uno.
Paso 2: Generar y publicar un registro DMARC básico (p=ninguno)
Comience con el modo de monitorización para evitar romper el correo legítimo. Un ejemplo sencillo de registro DMARC:
v=DMARC1; p=ninguno; rua=mailto:dmarc-reports@yourdomain.com; adkim=r; aspf=r; pct=100
- p=ninguno significa sólo vigilar (sin aplicación)
- rua= habilita los informes agregados DMARC para ayudarle a ver quién está enviando como usted
- adkim / aspf ajuste el comportamiento de alineación (relajado es un punto de partida más seguro)
Puede crearlo con un generador de registros DMARC de (o con el flujo de trabajo "generar registro DMARC") y, a continuación, publicarlo como un registro TXT en DNS.
Paso 3: Validar la alineación SPF y DKIM antes de su aplicación
Antes de pasar a cuarentena o rechazar:
- Confirme que su autenticación SPF funciona (su registro SPF autoriza a los remitentes correctos)
- Confirme que la firma DKIM funciona ( firma DKIM válida en para cada flujo de envío)
- Confirme la alineación para el dominio De (alineación SPF y/o alineación DKIM)
Si no valida primero la alineación, la aplicación puede afectar a la aceptación del proveedor de correo electrónico y a la entregabilidad general del correo electrónico .
Paso 4: Pasar de la vigilancia a la aplicación con seguridad
Una vez que los informes muestren que sus flujos de correo electrónico legítimo están alineados, avance en la política:
- p=ninguno → p=cuarentena (los mensajes que no superan el DMARC pueden ser tratados como sospechosos; a menudo se dirigen a spam)
- p=cuarentena → p=rechazar (aplicación más estricta; el correo que falla se bloquea)
Este enfoque de "camino a la aplicación" es ampliamente recomendado: vigilar primero, luego apretar. Para resolver específicamente "política DMARC no habilitada ", muchos verificadores esperan cuarentena o rechazo (es decir, aplicación habilitada).
Paso 5: Utilizar herramientas para gestionar la complejidad a escala
Si tiene muchos dominios, muchos remitentes o cambios frecuentes, un enfoque DMARC alojado puede ayudarle:
- Vistas centralizadas de las estadísticas DMARC
- Actualizaciones de registros más sencillas
- Identificación más rápida de las fuentes que causan fallos DMARC
- Progresión simplificada de la aplicación
Mimecast DMARC Analyzer incluye flujos de trabajo para generar y publicar registros DMARC y analizar datos DMARC, lo que ayuda a reducir el riesgo de interrupciones durante el despliegue.
Por qué activar DMARC es importante para la seguridad del correo electrónico
Dejar sin resolver la "política DMARC no habilitada" significa que su dominio es más fácil de falsificar. Sin la aplicación de la ley, los receptores tienen menos instrucciones sobre qué hacer con los mensajes no autentificados que dicen proceder de usted, lo que aumenta la exposición al phishing y a la suplantación de identidad de marca.
La activación de la aplicación de DMARC es compatible:
-
Mayor seguridad del correo electrónico (reduce el correo electrónico no autenticado que llega a los destinatarios)
-
Mejor confianza en la marca y reputación del remitente a lo largo del tiempo
-
Mejora de la coherencia para la colocación en la bandeja de entrada cuando se alinea el correo auténtico
-
Informes más limpios y detección más rápida de remitentes mal configurados
También puede ser un requisito previo para algunos indicadores de marca. Muchas implementaciones de BIMI requieren la aplicación de DMARC (p=cuarentena o p=rechazar), lo que significa que una "política no habilitada" puede bloquear el progreso de BIMI.
Pasar de "Política DMARC no activada" a protección total
"Política DMARC no habilitada" es una señal de que su dominio aún no está aplicando DMARC, ya sea porque no existe ningún registro DMARC o porque su política aún está configurada en modo de supervisión p=none. La solución más segura es un despliegue por etapas: publique un registro DMARC TXT válido, utilice los informes para confirmar la alineación en todos los remitentes y, a continuación, pase a la cuarentena y, finalmente, rechace.
Si desea reducir el riesgo al tiempo que acelera la configuración y aplicación de DMARC, herramientas como Mimecast DMARC Analyzer pueden ayudarle a realizar un seguimiento de los remitentes, validar los cambios y gestionar los informes a escala.