Introducción de DMARC

Roland Piątkowski
7 grudnia, 2021
Porady

Qué es DMARC

Spis treści

DMARC es una extensión de la seguridad SPF y DKIM, que también funciona sobre la base de una entrada DNS, pero no sólo se basa en ella. El principio básico de DMARC es informar a los administradores de dominios de que alguien está intentando suplantar su dominio y enviar correos electrónicos falsos desde él.

Lo primero que debemos saber sobre DMARC es que requiere la introducción de SPF y DKIM. Sin estas dos extensiones, DMARC puede causarnos un buen lío en el correo e incluso impedir que se envíe a los servidores que lo soportan. Ejemplo de entrada DMARC:

Se puede notar inmediatamente que la entrada DMARC, al igual que el SPF, está siempre en un solo lugar (registro _dmarc.domain.pl txt), no requiere el conocimiento del selector como en el caso de DKIM. El resto se parece a los FPS, pero hay algunas excepciones:

v – versión de DMARC utilizada (obligatorio)
p – política de qué hacer con los mensajes (obligatorio)
pct – porcentaje de mensajes (por ejemplo, 20) que se le debe dar a la política (por defecto 100, no es necesario)
rua – dirección de correo electrónico especificada a la que deben enviarse los informes sobre posibles abusos (no es obligatorio)
sp – política de subdominios, por ejemplo, zlodziej.roan24.pl (no es necesario)
aspf – política sobre DKIM y SPF – véase más abajo (no es necesario)

P y SP – las etiquetas dadas tienen tres opciones

ninguno – no tomar ninguna acción especial sobre la base de DMARC, sólo recoger la información – bueno cuando usted está introduciendo DMARC, puede protegerlo de falsos positivos donde, por ejemplo, se olvidó de añadir algún servidor SPF o firmar los mensajes con DKIM, pero no tienen entrada de DNS, muy buena opción para probar su configuración.
cuarentena – es decir, si el mensaje no supera la prueba DMARC, debería ser entregado pero marcado como spam.
reject – este mensaje debe ser rechazado si no pasa la prueba DMARC.

Aspf – Un elemento importante que pronto se pondrá en s en nuestro puesto – que es estricto donde el mensaje debe pasar la prueba SPF y DKIM perfectamente, en caso. Mientras que la segunda opción es la r por defecto, es decir, relajada, el mensaje puede pasar la prueba SPF o DKIM sólo en parte, por ejemplo una firma DKIM válida pero un dominio no válido.

Recopilando toda la información recomiendo empezar utilizando una entrada como la que se da para nuestro dominio, sólo hay que cambiar la dirección de correo electrónico por la propia y probar. Si las pruebas tienen éxito, cambie lentamente.

Ejemplos de informes

Es decir, los informes que recibimos de hotmail.com, por ejemplo:

[codeblocks name='hotmail']

Donde inmediatamente se puede ver que hotmail tuvo un problema temporal de conexión con uno de nuestros servidores DNS porque la dirección IP era perfectamente válida, y junto a DKIM y SPF podemos ver que se trata de un error temporal. Otro dato importante es el rango de tiempo que se da en forma de sello de tiempo unix. Esto nos ayuda a determinar más tarde la hora en que se envió el mensaje si fue enviado desde nuestro servidor.

En cambio, 163.com nos envió:

[codeblocks name='163']

Después de lo cual está claro que alguien intentó suplantar nuestra dirección de dominio, pero como puede ver el mensaje falló tanto las pruebas DKIM como SPF.

Resumen

DMARC es la guinda del pastel con DKIM y SPF, porque ayuda a determinar claramente qué hacer con qué mensaje y a quién informar sobre un posible intento de suplantación de nuestro dominio, y merece la pena introducirlo para al menos recibir informes sobre el mal funcionamiento del correo.

Para más información, visite el sitio web principal del proyecto: . O pregunta en los comentarios.