En artículos anteriores estuvimos hablando sobre los registros SPF y cómo proceder cuando estos son demasiados largos; así como de los registros DKIM. Hoy hablaremos sobre los registros DMARC. Este término viene del inglés “Domain-based Message Authentication, Reporting & Conformance”, es una especificación técnica creada por un grupo de organizaciones que quieren ayudar a reducir el potencial de abuso basado en el correo electrónico mediante la resolución de datos operacionales, el despliegue y las cuestiones de presentación de informes relacionados con los protocolos de autenticación correo electrónico.
Los registros DMARC estandarizan la forma en que los receptores de correo electrónico ejecutan la autenticación mediante los conocidos mecanismos SPF y DKIM. Esto permite que los remitentes experimenten resultados de autenticación consistentes para sus mensajes en AOL, Gmail, Hotmail, Yahoo y cualquier otro receptor de correo que implemente DMARC.
La siguiente figura de la Wiki de Zimbra explica el funcionamiento de DMARC:
Funcionamiento de DKIM
¿Dónde configuro los registros DMARC?
Los registros DMARC son configurados como un registro DNS de tipo TXT en tu DNS público.
¿Cómo configuro DMARC?
Los registros DMARC pueden ser generados con la siguiente herramienta en línea:
Después de generado el registro DMARC agregalo a tu DNS público como una entrada DNS de tipo TXT. Un ejemplo para el caso de Bind sería:
|
1 |
_dmarc.midominio.com IN TXT "v=DMARC1; p=quarantine; rua=mailto:soporte@midominio.com; ruf=mailto:soporte@midominio.com; adkim=r; aspf=r; sp=quarantine" |
El registro anterior consiste en:
- Registro de tipo TXT para midominio.com
- El registro es publicado como _dmarc.midominio.com
- Contenido del registro: «v=DMARC1; p=quarantine; rua=mailto:soporte@midominio.com; ruf=mailto:soporte@midominio.com; sp=quarantine»
Los registros DMARC poseen una serie de etiquetas que merecen la pena explicar:
- v=DMARC1 indica la versión de DMARC empleda en este caso la versión 1.
- p=quarantine política para aplicar al correo electrónico del dominio midominio.com que falla la verificación de DMARC. Puede ser «none», «quarantine» o «reject». «none» se utiliza para recopilar comentarios y obtener visibilidad de flujos de correo electrónico sin afectar los flujos existentes. Esta etiqueta es obligatoria.
- rua=mailto:soporte@midominio.com direcciones en las cuales se quieren recibir reportes de DMARC, pueden especificarse varias direcciones separadas por comas. El valor por defecto es none. Etiqueta opcional.
- ruf=mailto:soporte@midominio.com direcciones, separadas por comas, a las que se debe informar la información forense específica del mensaje. Si está presente, el propietario del dominio está solicitando a los receptores de correo que envíen informes detallados de fallas sobre los mensajes que fallan en la evaluación de DMARC. El valor por defecto es none. Etiqueta opcional.
- adkim=r indica si el propietario del dominio requiere un modo de alineación de identificador DKIM estricto (strict – s) o relajado (relaxed – r), valor predeterminado. Etiqueta opcional.
- aspf=r indica si el propietario del dominio requiere o no una alineación estricta (strict – s) de identificador SPF. Si y solo si el valor de la etiqueta es ‘s‘, el modo estricto está en uso, de lo contrario será relajado (relaxed – r). Etiqueta opcional.
- sp=quarantine política del receptor de correo solicitado para todos los subdominios. Indica la política a ser promulgada por el receptor a petición del dueño del dominio. Se aplica solo a los subdominios del dominio consultado y no al dominio en sí. Su sintaxis es idéntica a la de la etiqueta ‘p’. Si no existe, la política especificada por la etiqueta ‘p’ debe aplicarse a los subdominios. Etiqueta opcional.
Registro DMARC restrictivo
Un ejemplo más restrictivo de registro DMARC y sin notificaciones es el siguiente:
|
1 |
_dmarc.midominio.com IN TXT "v=DMARC1; p=reject; adkim=r; aspf=r; sp=reject" |
Donde el campo p=reject indica que cualquier correo electrónico de nuestro dominio que no supere las comprobaciones SPF y DKIM debe considerarse como spam y rechazado. Los campos adkim=r y aspf=r indican que estamos utilizando la validación relajada para DKIM y SPF respectivamente, que es la predeterminada. Finalmente, el campo sp=reject indica que esta política debería aplicarse a todos los subdominios de midominio.com.
¿Cómo comprobar los registros DMARC?
Uno de los mejores sitios para comprobar tus registros DMARC es:
Una vez que introduces tu dominio, serán listados y explicados cada una de las etiquetas de tu registro DMARC.
También puedes utilizar el analalizador de registros DMARC de MXToolBox.
Punto Final
El hecho de que tu dominio de correo emplee SPF, DKIM y DMARC le proporciona mayor autoridad ante otros servidores de correo y evitas con ello que alguien pueda enviar correos a nombre de tu dominio desde direcciones IPs no autorizadas.