Qué aprenderá en este artículo
- Un registro DMARC indica a los servidores de correo receptores cómo tratar los correos electrónicos que no superan las comprobaciones de autenticación y deben publicarse en el DNS de su dominio.
- Una configuración DMARC satisfactoria comienza con la identificación de todos los remitentes de correo electrónico legítimos y la comprobación de que SPF y DKIM están correctamente configurados.
- Comenzar con una política de sólo supervisión permite a las organizaciones analizar los informes y resolver los problemas de autenticación antes de aplicar controles más estrictos.
- El análisis continuo de los informes, el despliegue gradual de las políticas y las revisiones periódicas del DNS son esenciales para mantener a largo plazo la autenticación del correo electrónico y la protección de los dominios.
¿Qué es un registro DMARC?
Un registro DMARC es el registro donde se definen los conjuntos de reglas DMARC. Este registro informa a los ISP (como Gmail, Microsoft, Yahoo! etc.) si un dominio está configurado para utilizar DMARC. El registro DMARC contiene la política y debe colocarse en su DNS.
Cómo configurar un registro DMARC
1. Evalúe su infraestructura de correo electrónico
Antes de configurar DMARC, evalúe su infraestructura de correo electrónico actual e identifique todos los remitentes y fuentes legítimos asociados a su dominio. Esto incluye:
- Proveedores de servicios de correo electrónico
- Plataformas de automatización del marketing
- Cualquier servidor de correo electrónico de terceros utilizado para enviar correos electrónicos en su nombre
Una vez identificados, documente cada remitente y fuente en una lista centralizada, incluyendo el dominio que utilizan, sus IP de envío y si admiten SPF o DKIM. Necesitará este inventario en pasos posteriores cuando configure SPF, DKIM y DMARC para asegurarse de que cada servicio legítimo está totalmente autenticado. Mantener esta lista actualizada también ayuda a evitar lagunas que provoquen fallos en el DMARC a medida que se añaden nuevas herramientas.
Una vez que SPF y DKIM estén en funcionamiento, configure DMARC añadiendo políticas a los registros DNS de su dominio en forma de registros TXT (igual que con SPF o DKIM).
El nombre del registro TXT debe ser "_dmarc.sudominio.com". donde "sudominio.com" se sustituye por el nombre real de su dominio (o subdominio).
2. Seleccione los tipos y registros DNS TXT:
Los registros DNS TXT son simples entradas de texto que usted añade a la configuración DNS de su dominio. Suelen encontrarse en su registrador de dominios o proveedor de alojamiento DNS (por ejemplo, GoDaddy, Cloudflare, Namecheap). Estos registros indican a los servidores de correo receptores cómo autenticar el correo electrónico procedente de su dominio personalizado y cómo gestionar los mensajes que no superan las comprobaciones DMARC.
Como mínimo, toda configuración DMARC debe incluir las etiquetas v=DMARC1 y p= (política), pero muchas organizaciones también establecen desde el principio etiquetas opcionales como rua, ruf, aspf y adkim porque proporcionan visibilidad y un mejor control.
Si no está seguro de dónde localizar estos ajustes, busque el panel de gestión DNS donde añadió previamente sus registros SPF o DKIM. Su registro DMARC irá en el mismo lugar.
| Nombre de la etiqueta | Requerido | Propósito | Muestra |
|---|---|---|---|
| v | requerido | Versión del protocolo | v=DMARC1 |
| p | requerido | Política de dominio | p=cuarentena |
| pct | opcional | % de mensajes sometidos a filtrado | pct=20 |
| rua | opcional | URI de informes agregados | rua=mailto:CUSTOMERID@for.dmarcanalyzer.com |
| ruf | opcional | Direcciones a las que debe enviarse la información forense específica del mensaje (lista de URI en texto plano separadas por comas). | ruf=mailto:CUSTOMERID@for.dmarcanalyzer.com |
| rf | opcional | Formato que se utilizará para los informes de información forense específicos de los mensajes (lista de valores de texto plano separados por comas). | rf=afrf |
| aspf | opcional | Modo de alineación para SPF | aspf=r |
| adkim | opcional | Modo de alineación para DKIM | adkim=r |
Visite DMARC Tag Registry para ver otras etiquetas disponibles. Cuando inicie sesión en app.dmarcanalyzer.com vaya a "Registros DNS" para generar su registro DMARC. Sólo se requieren las etiquetasv (versión) y p (política).
3. Elija una política DMARC
Existen tres posibles configuraciones de política, o disposiciones de mensajes:
- ninguna política: Sólo desea supervisar los resultados DMARC y no desea tomar medidas específicas sobre todos los correos electrónicos que fallen. Puede utilizar la política "ninguno" para empezar con DMARC y recopilar todos los informes DMARC y empezar a analizar estos datos.
- política de cuarentena: Pone en cuarentena los correos electrónicos que no superan las comprobaciones. La mayoría de estos correos acabarán en la carpeta de correo no deseado del receptor.
- política de rechazo: Puede rechazar todos los correos electrónicos que no superen la comprobación DMARC. Los receptores de correo electrónico deben hacerlo "a nivel SMTP". Los correos electrónicos rebotarán directamente en el proceso de envío.
Elija una de las tres políticas DMARC para definir cómo desea que los receptores de correo electrónico gestionen los mensajes que no superen las comprobaciones DMARC de su registro DMARC.
Para reducir el riesgo de bloquear el correo legítimo, la mejor práctica es progresar a través de estas políticas gradualmente, empezando por ninguna, pasando a la cuarentena y adoptando sólo el rechazo una vez que esté seguro de que todas las fuentes de envío están correctamente autenticadas. Este enfoque gradual le da tiempo para validar los patrones de tráfico y solucionar los problemas antes de que la aplicación de la ley sea más estricta.
El modo de alineación (aspf / adkim) se refiere a la precisión con la que se comparan los registros del remitente con las firmas SPF y DKIM, siendo los dos valores posibles relajado o estricto, representados por "r" y "s" respectivamente. En resumen, relajado permite coincidencias parciales, como subdominios de un dominio determinado, mientras que estricto exige una coincidencia exacta.
Asegúrese de incluir su dirección de correo electrónico con la etiqueta opcional rua para recibir los informes diarios.
4. Añada el registro DMARC a su DNS
La creación de un registro TXT con el nombre y el valor adecuados es diferente para cada host de dominio. Póngase en contacto con nosotros si necesita ayuda para configurarlo con su proveedor.
Debe ser bastante sencillo y puede tener un aspecto parecido al siguiente en el generador:
| Utilice el generador de registros DMARC para crear su propio registro DMARC |
| Utilice el comprobador de registros DMARC para visualizar, probar y verificar si su registro DMARC es válido |
| Utilice las guías de configuración de registros para obtener orientación sobre cómo configurar su registro DMARC para alojamientos web específicos |
| Software de análisis DMARCfácil de usar |
5. Analice sus informes DMARC
Los informes diarios se presentan en formato XML. Léalos para comprender mejor su flujo de correo. Los informes le ayudan a asegurarse de que sus fuentes de correo saliente se autentifican correctamente. Asegúrese de que las distintas IP que envían correo electrónico afirmando proceder de su dominio son realmente legítimas, configúrelas correctamente con DKIM o añádalas a su rango SPF. Los informes también ayudan a los administradores a tomar medidas rápidas cuando tienen una política de bloqueo en vigor si una nueva fuente de correo entra en línea o se rompe la configuración de una fuente de correo existente.
He aquí un extracto de un informe que muestra los resultados de los mensajes enviados desde un par de direcciones IP, una enviada directamente y la otra reenviada. Ambos mensajes fueron aprobados:
<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>yourdomain.com</header_from>
<auth_results>
<dkim>
<domain>sudominio.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>yourdomain.com</domain>
<result>pass</result>
</identities>
/spf>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>207.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment>
</reason>
</policy_evaluated>
</row>
<identities>
<header_from>yourdomain.com</header_from>
<auth_results>
<dkim>
<domain>sudominio.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>yourdomain.com</domain>
<result>pass</result>
< /spf</identities>
</spf>
</auth_results>
</record>
6. Despliegue gradualmente su política DMARC
Recomendamos encarecidamente aumentar el uso de DMARC lentamente empleando estas políticas en este orden. En primer lugar, supervise su tráfico y busque anomalías en los informes, como mensajes que aún no se han firmado o que tal vez estén siendo suplantados. Después, cuando se sienta cómodo con los resultados, cambie la configuración de la política de registros TXT de "ninguna" a "cuarentena". Una vez más, revise los resultados, esta vez tanto en su captura de spam como en los informes DMARC diarios. Por último, una vez que esté absolutamente seguro de que todos sus mensajes están firmados, cambie la configuración de la política a "rechazar" para hacer pleno uso de DMARC. Revise los informes para asegurarse de que sus resultados son aceptables.
Del mismo modo, la etiqueta opcional pct puede utilizarse para escenificar y muestrear su despliegue DMARC. Dado que 100% es el valor predeterminado, pasar "pct=20" en su registro DMARC TXT tiene como resultado que una quinta parte de todos los mensajes afectados por la política reciban realmente la disposición en lugar de todos ellos. Esta configuración es especialmente útil cuando decide poner en cuarentena y rechazar el correo electrónico. Empiece con un porcentaje más bajo al principio y auméntelo cada pocos días.
Así, un ciclo de despliegue conservador se parecería a:
- Supervise todo.
- Cuarentena 1%.
- Cuarentena 5%.
- Cuarentena 10%.
- Cuarentena 25%.
- Cuarentena 50%.
- Ponga todo en cuarentena.
- Rechazar 1%.
- Rechazar 5%.
- Rechazar 10%.
- Rechazar 25%.
- Rechazar 50%.
- Rechace todo.
Intente eliminar los porcentajes para completar el despliegue. Como siempre, revise sus informes diarios.
7. Mantener el cumplimiento y la seguridad continuos
Configurar DMARC es sólo el principio. La gestión continua es esencial para que su dominio permanezca protegido. Con el tiempo, es posible que se añadan nuevos servicios de envío de correo electrónico o que los existentes cambien de comportamiento. Por eso es necesario realizar auditorías periódicas de sus registros DMARC, SPF y DKIM para garantizar que todo se mantiene alineado y que su autenticación DMARC permanece intacta. Mantenga el cumplimiento revisando periódicamente los registros DNS de su dominio y confirmando que todas las fuentes de correo autorizadas siguen pasando las comprobaciones de autenticación.
También es importante actualizar las etiquetas rua y ruf si cambian sus direcciones de notificación o su infraestructura, para evitar que se pierdan datos clave de la notificación DMARC. Esta diligencia continua respalda una configuración DMARC saludable que se adapta al crecimiento de su organización. Mantenerse al día de la evolución de las normas de seguridad del correo electrónico ayuda a protegerse contra las amenazas de suplantación de identidad, mejorar la capacidad de entrega del correo electrónico y reforzar la reputación de remitente de su dominio. Utilice las herramientas de validación DMARC de forma rutinaria para detectar cualquier problema antes de que afecte a la entrega del mensaje.
¿Desea crear su propio registro DMARC?
| Utilice el generador de registros DMARC para crear su propio registro DMARC |
Errores comunes en la configuración de DMARC que debe evitar
1. Ignorar los informes DMARC
Si no se revisan los informes, los problemas de autenticación pasan desapercibidos. Los datos agregados ponen de relieve los remitentes no autorizados, los errores de configuración y las lagunas en la infraestructura del correo electrónico que suelen aparecer durante las primeras fases de adopción. El análisis rutinario de los informes orienta los ajustes de las políticas y reduce los fallos de autenticación, garantizando un camino limpio hacia una configuración DMARC más estricta.
2. Falta SPF o DKIM para un servicio de envío
Si un solo sistema legítimo carece de autenticación, se producen fallos DMARC que pueden desencadenar fallos de autenticación más amplios en todo su entorno. Muchas organizaciones olvidan autenticar sistemas secundarios como plataformas de facturación, herramientas de marketing o correos electrónicos generados por CRM. Cada servicio debe añadirse a SPF o configurarse con su propia clave DKIM como parte de su configuración DMARC para garantizar una cobertura total.
3. Dominios "De" desalineados
La dirección visible De debe alinearse con los dominios de firma SPF y DKIM para evitar eventos de fallo DMARC. La alineación falla cuando los remitentes de terceros utilizan sus propios dominios por defecto o cuando los subdominios conectados a un dominio personalizado no se incluyen en el diseño de la política. Garantizar un uso coherente del dominio en todas las herramientas evita lagunas que, de otro modo, socavarían la configuración y el cumplimiento de DMARC.
4. Aplicación demasiado estricta demasiado pronto
Activar el rechazo demasiado pronto puede romper los correos electrónicos y los flujos de trabajo legítimos de los clientes. La mayoría de las organizaciones necesitan una implantación por fases, empezando por "ninguna" recogida de datos y endureciendo gradualmente su aplicación. Un enfoque por etapas garantiza que todos los remitentes se autentiquen antes de pasar a cuarentena o rechazo, manteniendo su configuración DMARC estable durante toda la transición.
5. Utilización de una política sin informes
Otro error común es publicar un registro DMARC como V=DMARC1, p=none pero no incluir las direcciones de notificación. Aunque los correos electrónicos seguirán entregándose bajo una política de ninguno, las organizaciones no recibirán informes agregados o forenses si no se define ninguna dirección rua o ruf. Sin estos informes de autenticación, los equipos permanecen ciegos ante los intentos de suplantación, los remitentes desalineados y las lagunas de configuración, lo que dificulta la validación o el refuerzo de la aplicación de DMARC a lo largo del tiempo.
¿Mi flujo de correo electrónico está configurado correctamente?
Mientras implanta DMARC, utilizará los datos de DMARC para analizar sus flujos de correo electrónico actuales. Puede hacerlo comprobando los datos y verificando que sus fuentes de envío están configuradas correctamente.
Tenga en cuenta que si está probando un registro DNS actualizado (ya sea DKIM o SPF), podría haber caché DNS implicada que influya en el resultado. Las actualizaciones de su registro SPF deben probarse siempre antes de realizarlas utilizando nuestro comprobador SPF de prevalidación.
Software de análisis DMARC fácil de usar
Mimecast proporciona un software de análisis DMARC fácil de usar y actúa como su guía experto para que avance hacia una política de rechazo lo más rápidamente posible. DMARC Analyzer es una solución SaaS que permite a las organizaciones gestionar fácilmente el complejo despliegue de DMARC. La solución proporciona una visibilidad y gobernanza de 360° en todos los canales de correo electrónico. Todo está diseñado para que sea lo más fácil posible.
| Utilice el generador de registros DMARC para crear su propio registro DMARC |
| Utilice el comprobador de registros DMARC para visualizar, probar y verificar si su registro DMARC es válido |
| Utilice las guías de configuración de registros para obtener orientación sobre cómo configurar su registro DMARC para alojamientos web específicos |
| Software de análisis DMARCfácil de usar |
Mimecast proporciona un software de análisis DMARC fácil de usar y actúa como su guía experto para que avance hacia una política de rechazo lo más rápidamente posible.
