¿Qué es un registro DMARC?
Un registro DMARC es el registro donde se definen los conjuntos de reglas DMARC. Este registro informa a los ISP (como Gmail, Microsoft, Yahoo! etc.) si un dominio está configurado para utilizar DMARC. El registro DMARC contiene la política. El registro DMARC debe colocarse en su DNS. El nombre del registro TXT debe ser "_dmarc.sudominio.com". donde "sudominio.com" se sustituye por el nombre real de su dominio (o subdominio).
Cómo configurar un registro DMARC
1. Evalúe su infraestructura de correo electrónico
Antes de configurar DMARC, evalúe su infraestructura de correo electrónico actual e identifique todos los remitentes y fuentes legítimos asociados a su dominio. Esto incluye:
- Proveedores de servicios de correo electrónico
- Plataformas de automatización de marketing
- Cualquier servidor de correo electrónico de terceros utilizado para enviar correos electrónicos en su nombre
DMARC Analyzer le ayuda a realizar el trabajo de generación de registros DMARC fácilmente con nuestro generador de registros DMARC. La versión gratuita de DMARC Analyzer le permite utilizar el generador de registros DMARC(regístrese aquí). Puede utilizar DMARC Analyzer para generar un registro DMARC de ejemplo. Una vez que SPF y DKIM estén en funcionamiento, configure DMARC añadiendo políticas a los registros DNS de su dominio en forma de registros TXT (igual que con SPF o DKIM).
El nombre del registro TXT debe ser "_dmarc.sudominio.com". donde "sudominio.com" se sustituye por el nombre real de su dominio (o subdominio).
2. Seleccione los tipos y registros DNS TXT:
| Nombre de la etiqueta | Requerido | Propósito | Muestra |
|---|---|---|---|
| v | requerido | Versión del protocolo | v=DMARC1 |
| p | requerido | Política de dominio | p=cuarentena |
| pct | opcional | % de mensajes sometidos a filtrado | pct=20 |
| rua | opcional | URI de informes agregados | rua=mailto:CUSTOMERID@for.dmarcanalyzer.com |
| ruf | opcional | Direcciones a las que debe enviarse la información forense específica del mensaje (lista de URI en texto plano separadas por comas). | ruf=mailto:CUSTOMERID@for.dmarcanalyzer.com |
| rf | opcional | Formato que se utilizará para los informes de información forense específicos de los mensajes (lista de valores de texto plano separados por comas). | rf=afrf |
| aspf | opcional | Modo de alineación para SPF | aspf=r |
| adkim | opcional | Modo de alineación para DKIM | adkim=r |
Visite DMARC Tag Registry para ver otras etiquetas disponibles. Cuando inicie sesión en app.dmarcanalyzer.com vaya a "Registros DNS" para generar su registro DMARC. Sólo se requieren las etiquetasv (versión) y p (política).
3. Elija una política DMARC
Existen tres posibles configuraciones de política, o disposiciones de mensajes:
- ninguna política: Sólo desea supervisar los resultados del DMARC y no desea tomar medidas específicas sobre todos los correos electrónicos que fallen. Puede utilizar la política "ninguno" para empezar con DMARC y recopilar todos los informes DMARC y empezar a analizar estos datos.
- política de cuarentena: Pone en cuarentena los correos electrónicos que no superan las comprobaciones. La mayoría de estos correos acabarán en la carpeta de correo no deseado del receptor.
- política de rechazo: Puede rechazar todos los correos electrónicos que no superen la comprobación DMARC. Los receptores de correo electrónico deben hacerlo "a nivel SMTP". Los correos electrónicos rebotarán directamente en el proceso de envío.
Elija una de las tres políticas DMARC para definir cómo desea que los receptores de correo electrónico gestionen los mensajes que no superen las comprobaciones DMARC de su registro DMARC.
El modo de alineación (aspf / adkim) se refiere a la precisión con la que se comparan los registros del remitente con las firmas SPF y DKIM, siendo los dos valores posibles relajado o estricto, representados por "r" y "s" respectivamente. En resumen, relajado permite coincidencias parciales, como subdominios de un dominio determinado, mientras que estricto exige una coincidencia exacta.
Asegúrese de incluir su dirección de correo electrónico con la etiqueta opcional rua para recibir los informes diarios.
4. Añada el registro DMARC a su DNS
La creación de un registro TXT con el nombre y el valor adecuados es diferente para cada host de dominio. Póngase en contacto con nosotros si necesita ayuda para configurarlo con su proveedor.
Debe ser bastante sencillo y puede tener un aspecto parecido al siguiente en el generador:
| Utilice el generador de registros DMARC para crear su propio registro DMARC |
| Utilice el comprobador de registros DMARC para visualizar, probar y verificar si su registro DMARC es válido |
| Utilice las guías de configuración de registros para obtener orientación sobre cómo configurar su registro DMARC para alojamientos web específicos |
| Software de análisis DMARCfácil de usar |
5. Analice sus informes DMARC
Los informes diarios se presentan en formato XML. Léalos para comprender mejor su flujo de correo. Los informes le ayudan a asegurarse de que sus fuentes de correo saliente se autentifican correctamente. Asegúrese de que las distintas IP que envían correo electrónico afirmando proceder de su dominio son realmente legítimas, configúrelas correctamente con DKIM o añádalas a su rango SPF. Los informes también ayudan a los administradores a tomar medidas rápidas cuando tienen una política de bloqueo en vigor si una nueva fuente de correo entra en línea o se rompe la configuración de una fuente de correo existente.
He aquí un extracto de un informe que muestra los resultados de los mensajes enviados desde un par de direcciones IP, una enviada directamente y la otra reenviada. Ambos mensajes fueron aprobados:
<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>yourdomain.com</header_from>
<auth_results>
<dkim>
<domain>sudominio.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>yourdomain.com</domain>
<result>pass</result>
</identities>
/spf>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>207.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment>
</reason>
</policy_evaluated>
</row>
<identities>
<header_from>yourdomain.com</header_from>
<auth_results>
<dkim>
<domain>sudominio.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>yourdomain.com</domain>
<result>pass</result>
< /spf</identities>
</spf>
</auth_results>
</record>
6. Despliegue gradualmente su política DMARC
Recomendamos encarecidamente aumentar el uso de DMARC lentamente empleando estas políticas en este orden. En primer lugar, supervise su tráfico y busque anomalías en los informes, como mensajes que aún no se hayan firmado o que quizá estén siendo suplantados. Después, cuando se sienta cómodo con los resultados, cambie la configuración de la política de registros TXT de "ninguna" a "cuarentena". Una vez más, revise los resultados, esta vez tanto en su captura de spam como en los informes DMARC diarios. Por último, una vez que esté absolutamente seguro de que todos sus mensajes están firmados, cambie la configuración de la política a "rechazar" para hacer pleno uso de DMARC. Revise los informes para asegurarse de que sus resultados son aceptables.
Del mismo modo, la etiqueta opcional pct puede utilizarse para escenificar y muestrear su despliegue DMARC. Dado que 100% es el valor predeterminado, pasar "pct=20" en su registro DMARC TXT tiene como resultado que una quinta parte de todos los mensajes afectados por la política reciban realmente la disposición en lugar de todos ellos. Esta configuración es especialmente útil cuando decide poner en cuarentena y rechazar el correo electrónico. Empiece con un porcentaje más bajo al principio y auméntelo cada pocos días.
Así, un ciclo de despliegue conservador se parecería a:
Intente eliminar los porcentajes para completar el despliegue. Como siempre, revise sus informes diarios.
7. Mantener el cumplimiento y la seguridad continuos
Configurar DMARC es sólo el principio. La gestión continua es esencial para que su dominio permanezca protegido. Con el tiempo, es posible que se añadan nuevos servicios de envío de correo electrónico o que los existentes cambien de comportamiento. Por eso es necesario realizar auditorías periódicas de sus registros DMARC, SPF y DKIM para garantizar que todo se mantiene alineado y que su autenticación DMARC permanece intacta. Mantenga el cumplimiento revisando periódicamente los registros DNS de su dominio y confirmando que todas las fuentes de correo autorizadas siguen pasando las comprobaciones de autenticación. También es importante actualizar las etiquetas rua y ruf si cambian sus direcciones de notificación o su infraestructura, para evitar que se pierdan datos clave de la notificación DMARC. Esta diligencia continua respalda una configuración DMARC saludable que se adapta al crecimiento de su organización. Mantenerse al día de la evolución de las normas de seguridad del correo electrónico ayuda a protegerse contra las amenazas de suplantación de identidad, mejorar la capacidad de entrega del correo electrónico y reforzar la reputación de remitente de su dominio. Utilice las herramientas de validación DMARC de forma rutinaria para detectar cualquier problema antes de que afecte a la entrega del mensaje. ¿Desea crear su propio registro DMARC?
| Utilice el generador de registros DMARC para crear su propio registro DMARC |
¿Mi flujo de correo electrónico está configurado correctamente?
Mientras implanta DMARC, utilizará los datos de DMARC para analizar sus flujos de correo electrónico actuales. Para ello, compruebe los datos y verifique que sus fuentes de envío están configuradas correctamente.
Tenga en cuenta que si está probando un registro DNS actualizado (ya sea DKIM o SPF), podría haber caché DNS implicada que influya en el resultado. Las actualizaciones de su registro SPF deben probarse siempre antes de realizarlas utilizando nuestro comprobador SPF de prevalidación.
Software de análisis DMARC fácil de usar
DMARC Analyzer proporciona un software de análisis DMARC fácil de usar y actúa como su guía experto para llevarle hacia una política de rechazo lo más rápido posible. DMARC Analyzer proporciona una solución SaaS que permite a las organizaciones gestionar fácilmente la compleja implantación de DMARC. La solución proporciona una visibilidad y gobernanza de 360° en todos los canales de correo electrónico. Todo está diseñado para que sea lo más fácil posible.
| Utilice el generador de registros DMARC para crear su propio registro DMARC |
| Utilice el comprobador de registros DMARC para visualizar, probar y verificar si su registro DMARC es válido |
| Utilice las guías de configuración de registros para obtener orientación sobre cómo configurar su registro DMARC para alojamientos web específicos |
| Software de análisis DMARCfácil de usar |
DMARC Analyzer proporciona un software de análisis DMARCfácil de usar y actúa como su guía experto para llevarle hacia una política de rechazo lo más rápido posible.
