Guía DMARC: Qué es y cómo implementarlo
3 octubre 2023 / 16 minutos de lectura

Guía completa

Qué es y cómo implementar DMARC

Protege vuestros dominios y comunicaciones

Contenidos:

Hoy en día, el correo electrónico es un canal de comunicación fundamental para cualquier organización, pero también es un vector de amenazas muy importante. Los ataques por correo electrónico causan pérdidas millonarias entre las empresas de todo el mundo: debido a robos, sanciones, pleitos, etc., cada ataque de phishing cuesta de media unos 50 000 dólares a una pequeña empresa y 3,86 millones a una mediana.

Sin embargo, el perjuicio de estos ciberataques va mucho más allá: al margen del impacto económico directo, una suplantación online puede dañar la reputación de la marca y del dominio de una organización, haciendo que este sea bloqueado o señalado como sospechoso.

El protocolo DMARC es uno de los mecanismos más eficaces para prevenir el phishing y la suplantación de identidad por correo electrónico. Por ello, en esta guía introductoria vamos a ver en qué consiste y cómo puedes implementarlo de manera básica para mejorar la seguridad de tu dominio y proteger tu marca en Internet.

¿Qué es DMARC?

El spoofing es un tipo de ciberataque en el que se falsea la dirección De (el remitente) de un mensaje electrónico, de manera que el email fraudulento parece proceder de la organización suplantada. Esto, sumado al uso de un diseño similar al de una marca y un formato de correo familiar, tipo notificación de entrega o newsletter, hace que cada vez sea más difícil diferenciar un mensaje falso de uno verdadero.

Ante esta amenaza, en 2012 un grupo de grandes empresas tecnológicas, entre las cuales Amazon, AOL, Apple, Comcast, Facebook, Fidelity, Google, Groupon, JPMorgan Chase, Microsoft, PayPal, Twitter y Yahoo, se unieron para crear el protocolo de verificación de emails DMARC o Domain-based Message Authentication, Reporting and Conformance (‘autenticación basada en dominios para mensajes, informes y conformidad’).

Se trata de un mecanismo que permite detectar y bloquear las técnicas de spoofing de dominios empleadas para lanzar campañas de spam, phishing, fraudes de email corporativo comprometido (BEC) y otros ataques basados en correo electrónico, al tiempo que ofrece una visibilidad sin precedentes sobre los flujos de correo.

¿Cómo funciona DMARC?

El sistema de nombres de dominio (DNS) no solo sirve para hacer coincidir las direcciones web «comerciales» con las direcciones IP correspondientes. También le permite al titular de un dominio publicar información adicional sobre este, como pueden ser alias (registros CNAME) o direcciones IPv6 (registros AAAA).

DMARC es una de estas «informaciones adicionales»: un registro en el DNS en el que el propietario de un dominio publica su política de autentificación de emails, la cual define cómo se tratan los mensajes que no superan un proceso estándar de verificación.

Este proceso se basa en otros dos estándares de autenticación: SPF y DKIM. Por tanto, para implementar DMARC, es necesario conocer y configurar previamente estos dos protocolos:

  • SPF (Sender Policy Framework). Permite a una organización especificar quién puede enviar correos con su dominio. Para ello, se publica una lista de direcciones IP autorizadas en un registro en el DNS. Si la dirección IP que envía el correo no consta en el registro SPF, el mensaje falla la autenticación SPF y, en consecuencia, no supera DMARC.
  • DKIM (DomainKeys Identified Mail). Utiliza la autentificación criptográfica dentro de la firma de los mensajes electrónicos para evitar que estos puedan ser modificados si son interceptados mientras van del remitente al destinatario. Es decir, impide que un pirata pueda alterar el contenido o introducir virus mientras un email está en tránsito.

Concretamente, en el registro DMARC, el titular del dominio estipula lo que tiene que hacer el servidor de correo si un mensaje no aprueba la autenticación SPF y/o DKIM: rechazar el email, ponerlo en cuarentena o entregarlo de todos modos.

Guía implementación DMARC
Fuente: dmarc.org

Proceso de validación DMARC paso a paso

Veamos de manera esquemática cómo funciona el sistema de autenticación.

Guia de Implementación de DMARC
  1. Publicación de la política DMARC. El titular del dominio publica un registro DMARC en el que indica la política de autenticación que quiere seguir. Este registro se almacena en formato TXT en el servidor DNS del dominio.
  2. Análisis de los correos entrantes. Cuando un servidor de correo recibe un email, comprueba si existe una política DMARC tomando como referencia el encabezado De del remitente. Si la hay, compara la dirección IP de envío con las enumeradas en el registro SPF correspondiente, busca una firma DKIM válida e intenta alinear el dominio.
  1. Aplicación de la política DMARC. Conforme al resultado de estas comprobaciones, el servidor aplica la política DMARC escogida, que puede consistir en aceptar el email, rechazarlo o ponerlo en cuarentena.
  1. Generación de informe. El servidor envía un informe con toda la información sobre ese email y otros enviados desde el mismo dominio.

¿Puedo usar DMARC sin DKIM?

Puedes implementar una política DMARC sin haber configurado DKIM siempre que al crear el registro SPF añadas una regla que diga que la autentificación DMARC se da por válida si se aprueba la verificación SPF.

Pero ¿qué sucede si un correo no supera la verificación SPF? Algunos mensajes legítimos pueden fallar SPF cuando son reenviados y la dirección IP intermedia no figura en el registro SPF. Si DMARC solo usa SPF para hacer la autenticación, se rechazarán todos esos mensajes reenviados legítimos.

Por tanto, lo mejor es adoptar una configuración completa con SPF y DKIM para no perder mensajes legítimos.

Cómo implementar DMARC

Tipos de política DMARC

Se pueden aplicar tres tipos de política DMARC, que determinan lo que ocurre cuando un mensaje no pasa las comprobaciones SPF y/o DKIM. Estas políticas se establecen mediante la opción p del registro y los valores admitidos son los siguientes:

p=none (aceptación)

Todos los mensajes se entregan al destinatario, incluidos los que no superan la autenticación DMARC del servidor receptor.

Consejo: Al principio de configurar DMARC, utiliza esta opción y ve revisando los informes para analizar el estado de tu correo (p. ej.: quién reenvía emails en nombre de tu dominio) y decidir la mejor estrategia. Ten en cuenta que, si tu dominio utiliza BIMI, no podrás usar esta opción, ya que solo admite los valores quarantine (poner en cuarentena) o reject (rechazar).

p=quarantine (cuarentena)

Se aceptan los correos que incumplen la autenticación DKIM, pero se señalan como sospechosos. Normalmente, estos emails llegan a la bandeja de correo no deseado o se entregan con una alerta en el asunto.

Consejo: Si se ha configurado en el servidor receptor, se pueden poner los mensajes en cuarentena y no enviarlos directamente a la carpeta de spam.

p=reject (rechazo)

No se aceptan los correos que el servidor de destino no ha podido autenticar. El email no se entrega y el remitente recibe un mensaje de rebote.

Consejo: Elige esta opción una vez que compruebes en los informes DMARC que todos los mensajes legítimos están pasando los controles y se entregan con normalidad.

¿Qué política DMARC elegir?

Aplicar una política de rechazo desde el principio podría parecer lo más seguro; sin embargo, no es lo más recomendable, ya que el sistema bloquea absolutamente todos los mensajes que no reconoce. Por tanto, si te has olvidado de añadir una dirección a la lista de correos válidos, se marcará como falsa y se bloqueará.

Antes de establecer la política p=reject, debes considerar varios elementos:

  • Sistema de correo (ej.: Office 365, Microsoft Exchange, Google Workspace)
  • Plataformas de email marketing (ej.: Mailchimp)
  • Plataformas de marketing automation (ej.: Marketo)
  • Plataformas de ventas/CRM (ej.: Salesforce)
  • Plataformas de atención al cliente (ej.: Outpost)
  • Plataformas de RR. HH. y otras plataformas SaaS (ej.: Workday)

Resumiendo, en vez de aplicar directamente p=reject, lo más seguro es empezar por p=none, pasar a p=quarantine y, finalmente, llegar al bloqueo de emails no autenticados tras haber evaluado exhaustivamente el flujo de correo estudiando los informes DMARC.

Informes DMARC

Tras publicar la política DMARC, independientemente del tipo que elijas, empezarás a recibir informes diariamente con la información siguiente, entre otros datos:

  • Qué servidores o remitentes envían correo a tu dominio.
  • Qué cantidad de mensajes se envían desde una sola dirección IP.
  • Qué porcentaje de los mensajes de tu dominio superan las comprobaciones SPF/DKIM.
  • Qué servidores o servicios envían mensajes que no superan las comprobaciones DMARC.
  • Qué acciones DMARC toma el servidor de destino cuando detecta mensajes no autenticados de tu dominio.

Es posible que te lleguen cientos de informes todos los días. La cantidad exacta depende del número de servidores a los que envías mensajes, el número de correos que envías y las opciones que elijas en el registro DMARC (ver apartado 5, «Configuración del registro DMARC»).

Por otra parte, los informes se envían en formato XML a la dirección proporcionada en el registro. Debido a la complejidad técnica, no son fáciles de interpretar. Para facilitar su lectura y comprensión, puede ser conveniente utilizar una herramienta que procese y agregue los datos.

Si estos informes no se analizan debidamente, es fácil establecer políticas demasiado estrictas o demasiado laxas que acaben afectando negativamente al dominio, por ejemplo, perdiendo información.

Configuración en el DNS

Un registro DMARC es una línea de texto sin formato que incluye las etiquetas correspondientes (las cuales definen las reglas que seguirá el servidor de correo), separadas por punto y coma. Por ejemplo:

v=DMARC1; p=none; rua=mailto:informes.dmarc@ubilibet.com; pct=25

Para que el registro se considere válido, debe incluir al menos dos etiquetas obligatorias, la de versión (v=) y la de política (p=), que deben ir al principio. Sin embargo, se pueden añadir muchas más en cualquier orden para crear una política más detallada. A continuación, desglosamos las etiquetas principales.

EtiquetaUsoDescripción y valoresEjemplo
vObligatorioVersión del protocolo DMARC. Es invariable (v=DMARC1) y debe aparecer al principio del registro.v=DMARC1
pObligatorio

Política a seguir en caso de que un correo no supere la autentificación SPF y/o DKIM. Los tres valores posibles son:

·       reject

·       quarentine

·       none

p=none
ruaOpcional

Dirección o direcciones electrónicas a las que se enviarán los informes DMARC. Si se indica más de una, deben ir separadas por una coma. Es necesario añadir el prefijo mailto: antes de cada una.

Dado que el volumen de informes es elevado, se recomienda crear un buzón específico.

rua=mailto: informes.dmarc@ubilibet.com, mailto:tunombre@tudominio.com
pctOpcional

Porcentaje de los mensajes no autenticados que se filtran, donde pct=100 equivale a la totalidad.

Debe ser un número entero del 1 al 100 y se suele implementar gradualmente hasta llegar al 100 %.

pct=25
spOpcional

Permite definir una política DMARC diferente en los subdominios (si no se incluye, estos heredan la política del dominio superior).

Los valores admitidos son los mismos que los de la etiqueta p.

sp=none

Etiquetas opcionales de concordancia

Como hemos visto, DMARC se basa en los registros SPF o DKIM para verificar un mensaje comprobando si el encabezado De coincide con lo marcado en ellos. Este proceso se denomina concordancia.

Como titular de un dominio, también puedes indicar si quieres que DMARC haga una concordancia flexible o estricta. ¿Qué significa esto?

  • Con la concordancia estricta, el dominio que figura en el encabezado De debe ser exactamente el mismo que el dominio autenticado (en SPF o DKIM).
  • Con la concordancia flexible, el encabezado De puede ser el dominio autenticado (en SPF o DKIM) o uno de sus subdominios.

Para definir el modo de concordancia que se quiere aplicar, existen dos etiquetas DMARC específicas: aspf y adkim. Veamos cómo funcionan.

  1. Aspf

Define el grado mínimo de coincidencia entre el encabezado del mensaje y la firma SPF. Los valores aceptables son:

  • s: concordancia estricta. En el encabezado De, tiene que figurar el mismo nombre de dominio que hay en el comando SMTP MAIL FROM.
  • r: concordancia parcial (opción predeterminada). Se permiten las coincidencias parciales y se acepta cualquier subdominio válido del nombre de dominio indicado.

Ejemplo de etiqueta en el registro DMARC: aspf=s

  1. Adkim

Especifica el grado mínimo de coincidencia que debe haber entre la información del mensaje y las firmas de DKIM. Los valores aceptables son:

  • s: concordancia estricta. El nombre de dominio del remitente debe ser igual al valor d=nombrededominio correspondiente de los encabezados de correo de DKIM.
  • r: concordancia parcial (opción predeterminada). Se permiten las coincidencias parciales y se acepta cualquier subdominio válido de d=nombrededominio en los encabezados DKIM.

Ejemplo de etiqueta en el registro DMARC: adkim=r

Implementación en 4 pasos

Veamos ahora el proceso para implementar una política DMARC paso a paso.

  1. Preparativos antes de configurar DMARC

Antes de implementar DMARC, es necesario tener los registros SPF y DKIM activos en el dominio al menos 48 horas. También es recomendable abrir un buzón de correo dedicado solamente a recibir los informes DMARC.

Por otro lado, es preciso acceder al servidor DNS para poder cargar el registro. Por ello, si no tienes cPanel o alguna otra herramienta de control facilitada por el hosting, tendrás que ponerte en contacto con tu proveedor de DNS.

  1. Definición de la política DMARC

Antes de crear el registro DMARC, hace falta tener claro lo siguiente:

  • Qué tipo de política DMARC quieres implementar (consulta el apartado 3, «Tipos de política DMARC»).
  • Qué opción de concordancia prefieres (consulta el apartado anterior).
  • Si quieres recibir informes.
  1. Creación del registro DMARC

Con todo lo anterior en mente, crea el registro DMARC usando las etiquetas adecuadas (consulta el apartado 5, «Configuración del registro DMARC»). Copia el texto.

  1. Publicación del registro en el DNS

Abre el panel de control de tu proveedor de hosting DNS y busca la opción para añadir un registro DNS (DNS record):

  • En el campo «Tipo» (Type), elige el formato TXT.
  • En el campo «Valor host» (Host value), escribe lo siguiente (sin el punto final): _dmarc.
  • En el campo «Valor TXT» (TXT value), pega el registro DMARC que has creado en el paso 3.
  • Guarda los cambios.
  • Comprueba la configuración DMARC.

BIMI, el aliado para incrementar ventas

BIMI es un estándar que nace de la unión de empresas de primera línea como MailChimp, Gmail, Fastmail y Verizon. Se trata de un sistema independiente de autenticación por imagen que hace posible que los sistemas de seguridad de correo electrónico filtren mejor los mensajes y separen los de remitentes legítimos de los de los falsificados.

Con BIMI, vuestro logotipo aparece en el avatar del remitente como marca verificada. Es decir, valida que el remitente es quien dice ser. Y eso lo hace a través del certificado de marca VMC, que certifica que ese logo pertenece a esa organización.

Ubilibet - Certificado VMC para BIMI

Además, algunos clientes de correo como Gmail están implementando adicionalmente un check mark que acompaña al logotipo al estilo de las redes sociales, que nos permite diferencial rápidamente una cuenta oficial de un simple avatar de perfil (como el que podemos usar como individuos con cuenta de Gmail).

Guía DMARC: Qué es y cómo implementarlo

BIMI es relevante por dos aspectos:

  • Los usuarios finales saben de un vistazo que el remitente que les envía ese correo es legítimo, puesto que solo esa organización puede usar ese logotipo.
  • Da más visibilidad a los correos de la organización en la bandeja de entrada, incrementando un 10% el Open Rate de los correos enviados.

Solo las marcas que dispongan de DMARC implementado y VMC pueden generar su BIMI. Y ahora es el momento para hacerlo, pues aún son muchas las empresas que no han dado el paso, por lo que mayor es el impacto, no solo a nivel de resultados, también de reputación.

En definitiva, BIMI es otro aspecto a tener en cuenta entre las ventajas de implementar DMARC, que veremos a continuación.

Ventajas de implementar DMARC

Este mecanismo aporta una serie de beneficios claros a las organizaciones:

Mayor protección para tus clientes y socios

Aplicar una política DMARC te permite atajar posibles actividades fraudulentas procedentes de dominios controlados por tu empresa antes de que lleguen a tus clientes y partners, y, por tanto, te ayuda a protegerlos mejor contra fraudes que pueden dañar la imagen de tu marca y la confianza depositada en ella.

Más seguridad para tu marca

Según el informe Data Breach Investigations de Verizon, el phishing es la segunda vía de entrada más usada por los ciberdelincuentes para acceder a los datos de una organización. DMARC funciona como defensa contra el spear phishing, es decir, los intentos insidiosos de engañar a tus empleados para que revelen información confidencial.

Un must para los equipos de Marketing

Uno de los principales problemas de las campañas de eMailing  para las marcas es la entrega de los correos. Uno de los factores determinantes es la reputación del remitente, y para que ésta esté impoluta es necesario proteger los dominios y qué se hace con ellos.

Cuando ciberdelincuentes usan vuestra marca para realizar ataques de phishing, sus acciones salpican vuestros dominios legítimos, que reputación baja, haciendo que vuestros correos sean incluidos en la lista negra de los clientes de correo. Esto hace que vuestros mensajes no se entreguen («rebotan») o bien se entreguen, pero como correo no deseado.

A este respecto, ya en 2015 el entonces jefe de productos de Gmail y Google Play Services, John Rae-Grant, era muy claro:

“Si tu dominio no está protegido con DMARC, cada vez será más probable que tus mensajes se envíen directamente a la carpeta de spam o incluso que se rechacen.”

Además de proteger vuestra reputación, DMARC os permite detectar correos legítimos que han sido catalogados como SPAM y ponerle remedio. Todo ello os permite mejorar los resultados de vuestras campañas.

Reducción de costes de resarcimiento

Gracias a que bloquea los ataques de phishing, DMARC reduce enormemente los costes asociados a investigar y subsanar fraudes, robos e infiltraciones, incluidas las multas por protección de datos.

Conclusión: un enfoque combinado

DMARC es útil en múltiples planos, ya que permite a las organizaciones:

  • Reducir la cantidad de spam que reciben.
  • Evitar la suplantación de su dominio.
  • Evitar que sus correos electrónicos sean manipulados en tránsito (cuando se utiliza DKIM).
  • Saber quién envía mensajes desde un dominio concreto.
  • Evitar que los ataques de phishing lleguen a la bandeja de entrada de sus usuarios.
  • Utilizar los informes DMARC para saber cómo intentan utilizar su dominio los piratas.

Sin embargo, DMARC no impide la suplantación del nombre mostrado (display name) ni los dominios parecidos o lookalike domains. Por tanto, para luchar contra el fraude por correo electrónico, es necesario aplicar un enfoque combinado que incluya todos los flancos:

Registro de marca

Cuando nos encontramos disputando un dominio que está perjudicando nuestra marca, la fecha de registro de una marca es un factor clave. Un ejemplo es el caso de Apple contra Xintong Tiandi, que vendía bolsos IPHONE y al que el tribunal dio la razón porque hizo efectivo el registro de la marca antes que el gigante tecnológico en el país, que tampoco pudo demostrar que sus emblemáticos móviles fueran ya ultraconocidos antes de ser registrada como marca por la otra parte.

Registrar una marca, por lo tanto, no es baladí: requiere de un análisis a medio plazo mínimo para que cubra nuestros objetivos de negocio y no nos encontremos con sorpresas, como pasó a Apple.

Registro y bloqueo de dominios

Otro flanco es el de los dominios. Definir una estrategia es esencial: qué vamos a registrar, qué vamos a bloquear y qué vamos a monitorizar, con el objetivo de garantizar la seguridad de nuestros clientes y usuarios, así como nuestra reputación. Si no sabes cuándo registrar y cuando bloquear, te recomendamos nuestro artículo sobre este tema.

Registro de dominios prioritarios

Uno de los mecanismos para tener acceso al registro anticipado de dominios es el registro en TMCH. De este modo, cuando se lanza al mercado una nueva extensión de dominio, las marcas registradas disponen de un periodo previo de acceso al registro de sus dominios con esa extensión. De este modo, quedan temporalmente blindados ante cibercriminales.

Monitorización de dominios

Los nombres de dominios son ilimitados, por lo que nuestra capacidad para registrar y bloquear las amenazas también lo es. Por ello, debemos usar soluciones de monitorización de dominios que nos permiten detectar un registro de un nombre de dominio que contiene nuestra/s marca/s. De este modo, podemos actuar nada más se registra, anticipándonos a actividades ilegítimas.

Vigilancia de dominios sospechosos

No siempre podemos tomar medidas al detectar dominio que contiene nuestra marca, por ejemplo, si no se percibe ninguna actividad ilícita. En estos casos, una vigilancia avisa cuando en el dominio se realiza algún cambio, ya sea a nivel de contenidos como de Whois o DNS, y así prevenir un abuso o ciberataque que involucre nuestra marca.

Compra de dominios

Lamentablemente, el mercado de dominios está plagado de especuladores y malhechores. En algunas ocasiones, no podemos recuperar un dominio porque fue registrado legítimamente por un tercero. En estos casos, solo se puede recurrir a su compra de forma negociada con el titular. Si sospechamos que un dominio puede ser usado con fines malintencionados, podemos recurrir a esta práctica para retirarlo del mercado.

Todas estas acciones y soluciones se enmarcan en una estrategia de Protección de Marca Online. Suscríbete a nuestra newsletter y síguenos en redes sociales para saber más acerca de cómo definir la estrategia para tu marca.

Ir arriba