El registro DMARC es una de las herramientas más importantes a la hora de mejorar la seguridad de nuestros emails y proteger la reputación de nuestros dominios. Gracias a él podemos mejorar nuestra autenticación de correos y evitar actividades maliciosas. En esta oportunidad vamos a ver cómo funciona el registro DMARC, sus componentes y cómo nos puede ayudar a mejorar la seguridad de nuestros correos.
Contenido
El registro DMARC
DMARC es una sigla en inglés que viene de “Domain-based Message Authentication Reporting and Conformance”, en español se le denominaría “Autenticación Basada en Dominios para Mensajes, Informes y Conformidad”, un nombre demasiado largo y complejo, así que para simplificarlo todo el mundo lo conoce simplemente como DMARC.
Se trata de un conjunto de instrucciones o políticas que se relaciona con la autenticación del correo electrónico de un dominio. Lo que hace DMARC es establecer una política que le indica al servidor receptor cómo se debe tratar el correo recibido luego de haberse realizado los chequeos de SPF y DKIM, que son otros métodos de autenticación.
Estos tres mecanismos de autenticación (SPF, DKIM y DMARC) trabajan en conjunto para mejorar la autenticación de los emails de un dominio, impidiendo que se cometan fraudes de phishing, spoofing y otras actividades maliciosas similares relacionadas a los emails.
Cuando un servidor recibe un correo, se verifican primero el registro SPF y el registro DKIM del emisor. Si alguno de estos chequeos no se completa exitosamente, se recurre a las instrucciones de DMARC para dar el siguiente paso, que puede ser colocar el email en cuarentena o rechazarlo, lo cual es excelente para evitar usos fraudulentos de un dominio.
Para ilustrar mejor este asunto, imaginemos que un spammer envía un correo desde “webmaster@midominio.com”, aunque no esté autorizado para usar el dominio “midominio.com”. El truco aquí está en que el spammer reemplaza el encabezado “De” (From) del correo con “webmaster@midominio.com”, pero no envía el mensaje desde el servidor real del dominio. Los servidores de email que reciben este mensaje van a revisar los registros DMARC, SPF y DKIM para darse cuenta de que es un correo no autorizado, procediendo entonces a marcarlo como spam o directamente rechazarlo.
Cómo DMARC combate el email spoofing
El email spoofing es una técnica utilizada por criminales para hacerse pasar por alguien más a la hora de enviar un correo. Básicamente consiste en manipular el campo «From» de un mensaje para hacer que parezca que el email viene de otra dirección. Es una técnica muy usada cuando se busca engañar a alguien para hacerle pensar que el correo recibido es auténtico.
DMARC, junto con SPF y DKIM, ayuda a combatir este tipo de situaciones. Si luego de verificarse, gracias a SPF y DKIM, que el mensaje en cuestión proviene de un servidor de correo no autorizado, lo que ocurre a continuación es lo que dicta el registro DMARC, que generalmente se da la instrucción de rechazar el mensaje o bien de colocarlo en cuarentena, de forma que el recipiente pueda revisarlo y evaluarlo por su cuenta.
Dicho de otra forma, con este tipo de sistemas lo que se logra es bloquear envíos no autorizados, protegiendo así la reputación de nuestro dominio.
Componentes
El registro DMARC no se llama “registro” sin razón, se trata en realidad de un registro DNS, uno del tipo TXT para ser más concretos, y tiene varios componentes entre los cuales el más destacado es la llamada “política”. Veamos en qué consisten estos componentes exactamente.
- Política (p): la política del registro DMARC es lo que define como un servidor receptor debe manejar un mensaje cuya autenticación no se completó exitosamente. Existen tres opciones:
- none: básicamente no se toma ninguna acción.
- quarantine: se utiliza para marcar el email como sospechoso y ponerlo en cuarentena, que en general equivale a enviarlo a la bandeja de spam.
- reject: y la tercera opción es directamente rechazar el correo.
- Opciones de reporte/informes: se pueden configurar las opciones “rua” y “ruf” para reportar los casos de correos que no pasaron la autenticación, siendo el “rua” para informes sencillos y el “ruf” para informes más complejos y detallados. En este caso se coloca una dirección de correo para recibir dichos reportes.
- Alineación: se utiliza para verificar la coincidencia del campo From/De del mensaje, verificando si el emisor está autorizado, es decir, si está alineado o coincide con SPF y DKIM, por lo cual se utilizan las etiquetas “aspf” y “adkim” con dos posibles valores: relaxed (relajado, abrevia “r”) o strict (estricto, abreviado “s”).
Ejemplos del registro DMARC
Veamos algunos ejemplos prácticos de cómo se puede ver un registro DMARC.
Primero vamos con uno sencillo:
v=DMARC1; p=none; rua=mailto:reportes@ejemplo.net
En este caso se utiliza una política nula (p=none), esto quiere decir que los emails que no pasen las pruebas de autenticación quedan a criterio del receptor, ya sea para rechazarlos o ponerlos en cuarentena/spam. Adicionalmente, se indica la cuenta reportes@ejemplo.net para los informes DMARC.
Y ahora vamos con uno más complejo y estricto:
v=DMARC1; p=reject; rua=mailto:reportes@ejemplo.net; ruf=mailto:reportes@ejemplo.net; aspf=s; adkim=s
Este es un registro DMARC en donde se indica que los emails no autenticados deben ser rechazados o bloqueados (p=reject). Además se proporciona la dirección reportes@ejemplo.net para reportes simples (rua) y complejos (ruf). Finalmente, se configura una alineación estricta para SPF (aspf) y DKIM (adkim).
Generalmente, al implementar DMARC se comienza con una política nula, posteriormente se pasa a una de cuarentena, y finalmente a una de bloqueo o rechazo. Esto se cambia de forma gradual para poder ir revisando los distintos reportes y ajustando los registros SPF y DKIM según sea necesario, para tratar de mejorar todo lo posible la autenticación y reducir al máximo el número de fallos en envíos legítimos.
Cómo activar el registro DMARC en cPanel
Lo genial de paneles de control como cPanel, que es el disponible en nuestro hosting, es que permiten hacer muchas cosas de forma super sencilla. Generalmente cuando vamos a configurar un registro DMARC tenemos que analizarlo cuidadosamente para asegurar que todo coincida con lo que buscamos, sin embargo con las herramientas que brinda cPanel solo debemos llenar unos pocos campos.
Comenzamos ingresando en cPanel y haciendo click en la herramienta Zone Editor (o Editor de zona en español), y hacemos click en la opción Administrar del dominio en cuestión.
Lo siguiente es hacer click en el pequeño botón que está junto a “Añadir registro” y seleccionar DMARC.
Ahora debemos seleccionar la política: ninguno, rechazar, o cuarentena. Y al hacer click en Optional parameters se desplegarán un cuadro con opciones adicionales para configurar.
Las opciones son varias y conviene revisarlas con detenimiento. Todas ya están explicadas más arriba, aunque si quieres un ejemplo “todoterreno” podemos usar algo similar a la de la imagen de abajo.
Y así de sencillo es crear un registro DMARC en cPanel.
Consideraciones al utilizar DMARC
La configuración de un registro DMARC a veces puede ser compleja, sobre todo si tenemos varios sistemas de correo, si usamos servicios de terceros y si manejamos correos en subdominios. Por todo esto, hay que tener mucho cuidado al configurar DMARC en nuestro dominio, y revisar varias veces incluso para asegurar que no se escapa ningún detalle.
Si utilizamos algún servicio de terceros para mailing, es importante que los envíos desde dicho servicio estén permitidos. Generalmente podemos consultar a dicho proveedor al respecto para que nos indique qué configuración debemos ajustar o añadir para autorizar los envíos desde sus servidores. Si esto no se realiza nos arriesgamos a que los envíos sean rechazados o marcados como spam.
Otro punto importante es el balance entre la usabilidad y la seguridad. Por ejemplo, si pasamos muy rápido de una política «none» a una política «reject» sin haber analizado suficientes informes, podemos estar generando un problema para nuestro dominio ya que muchos correos podrían ser rechazados sin habernos percatado previamente, por eso es que algunos párrafos más arriba indicamos que las implementaciones de DMARC se deben realizar de forma gradual, comenzando con con una política nula, después pasando a cuarentena, y finalmente a reject.
Finalmente, leer los informes DMARC no es tarea sencilla. De hecho analizarlos manualmente puede ser una tarea larga, compleja y agotadora, por eso es muy común que se utilicen herramientas que sirven para generar una versión más «amigable» o «humanizada» de los informes, de manera que sea más fácil de interpretar. Entre algunas de las herramientas más populares de este tipo se encuentran Mailercheck y PowerDMARC.
Conclusión
Hacer uso del registro DMARC es un paso fundamental para proteger la integridad de nuestros emails y también para mantener la reputación de nuestros dominios. Al combinarlo con SPF y DKIM, se crea un robusto sistema de defensa contra fraudes como el spoofing y el phishing.
No olvidemos que su correcta configuración requiere mucha atención y un despliegue gradual. Comenzar con una política nula permite recopilar información valiosa sin comprometer la entrega de emails legítimos. A medida que se avanza hacia políticas más estrictas, es importante evaluar regularmente los informes de DMARC para ajustar los registros según sea necesario. Con la ayuda de herramientas adecuadas, como las que proveen Mailercheck o PowerDMARC, la interpretación de estos informes se simplifica mucho.