Continuando con las entradas anteriores de SPF y DKIM, dentro de esta serie de artículos sobre la seguridad en el correo electrónico, hoy vamos a hablar del DMARC.
¿Qué es DMARC?
DMARC son las siglas de «Domain-based Message Authentication, Reporting and Conformance«. Este protocolo se ha desarrollado a partir de los ya existentes SPF y DKIM.
Al igual que los anteriores, este protocolo garantiza la protección necesaria a nivel de dominio del correo electrónico.
¿Cómo funciona el DMARC?
El DMARC basa su funcionamiento en los dos estándares anteriores mencionados. En primer lugar, el correo debe de validar el SPF, verificando que el servidor origen del correo es el que está registrado dentro de la entrada DNS correspondiente.
En segundo lugar, se realiza la verificación de DKIM, comprobando como ya comentamos la validación del certificado incluido en las cabeceras del correo.
No sólo debe de pasar las validaciones de los registros SPF y DKIM, sino que además el dominio del correo del remitente debe coincidir con al resultado de dicha validación.
Una vez realizadas ambas comprobaciones, el DMARC se encarga de aplicar una serie de políticas definidas para ver qué se hace con un mensaje dependiendo de si supera las validaciones anteriores o no.
Reglas de validación de DMARC
Las reglas de validación de DMARC se especifican en un registro DNS en el dominio que envía el correo. El registro DMARC correspondiente está identificado como «_dmarc.midominio.com» que es un registro TXT y tiene un formato como el que se ve a continuación:
v=DMARC1; p=reject; rua=mailto:dmarcreports@midominio.com; fo=1; adkim=r; aspf=r;
Vamos a analizar cada uno de los valores, para definir que significan. Aunque a priori es bastante literatura y parece engorroso, si usas nuestro panel, no tendrás que preocuparte por nada de esto, ya que el panel de forma automática se encarga de todo esto.
Si pulsamos en nuestro dominio en DMARC, nos aparece la opción de crear el registro, la cuenta de correo para los informes, y todo lo relacionado con el DMARC.
Informes DMARC
Con la configuración anterior, la cuenta dmarcreports@midominio.com, recibirá los informes generados por los servidores destino de correo que tengan habilitado DMARC.
Estos informes se envían en un formato estándar, que ha de ser procesado, para esto hay herramientas en el mercado, y utilidades opensource que puedes instalar.
Para facilitar esta labor, desde Tecnocrática (en el panel) se facilita la información de forma fácil de ver para el usuario, eliminado el engorro de usar aplicaciones de terceros, o de instalar herramientas adicionales.
A continuación podemos ver el resultado del primer informe:
Detalle del registro DMARC
- v (requerido): Indica la versión del protocolo DMARC (en nuestro caso DMARC1).
- p (requerido): Es la política por defecto del DMARC (en nuestro caso es reject). Puede tener los valores siguientes:
- Reject: Rechaza el correo si no cumple con la política DMARC. El rechazo se efectúa a nivel de SMTP, por lo que estos correos rebotan directamente y no son entregados.
- Quarantine: Pone los correos electrónicos que no superan las comprobaciones DMARC en cuarentena. La mayoría de estos correos electrónicos terminarán en la carpeta de correo no deseado del receptor.
- None: Sólo monitoriza los estados de DMARC, y no se toman medidas específicas con los correos que fallan las verificación. A veces se usa esta política al principio, para analizar los informes, y a continuación usar una política más restrictiva.
- pct (opcional): Es el porcentaje de los mensajes que se filtrarán. No se suele usar.
- rua (opcional): Es la dirección a la que se enviarán los informes ‘sumarizados’ del resultado del DMARC.
- ruf (opcional): Direcciones a las que se debe enviar información forense específica del mensaje (lista de URI en texto sin formato separados por comas).
- fo (opcional): Formato que se utilizará para los informes de información forense específicos del mensaje
- aspf (opcional): La etiqueta «aspf«, representa que hacer con el cumplimiento de la validación SPF. Los valores pueden ser:
- r (relaxed): En este modo, el dominio en el campo MAILFROM y el encabezado del dominio deben de tener coincidencia exacta o ser un subdominio (midominio.com, france.midominio.com). Ambos darán un resultado de PASS.
- s (strict): En este caso la validación es estricta, es decir en el caso anterior si el correo es midominio.com, el correo de france.midominio.com, será tratado como inválido.
- adkim (opcional): La etiqueta adkim, representa que hacer con el cumplimiento de la validación DKIM. Los valores pueden ser iguales. releed o strict, y al igual que en anterior, realiza la validación del dominio o subdominio.
Deja una respuesta