Gestionar registros DMARC

Esta guía explica cómo implementar una política DMARC para su correo electrónico alojado por Infomaniak, lo cual se ha vuelto indispensable para prevenir posibles fallos de entrega.

¿Qué es DMARC?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) es una herramienta esencial para mejorar la seguridad del correo electrónico y proteger su dominio contra el fraude, verificando la autenticidad de los correos electrónicos salientes (a través de mecanismos de autenticación como SPF y DKIM) y permitiendo definir políticas para el manejo de correos electrónicos no autenticados.

DMARC existe para especificar a otros proveedores de correo electrónico qué hacer cuando rechazan un correo electrónico debido a SPF o DKIM incorrectos o ausentes. Para ello, los propietarios de los dominios pueden establecer políticas DMARC, como "rechazar," "cuarentena," o "nada," para especificar cómo deben tratarse estos correos electrónicos "sospechosos."

Ejemplo:

1. Se envía un correo electrónico de anna@domain.xyz a victor@yahoogle.abc
2. El Servicio de Correo de domain.xyz tiene una configuración DMARC de rechazo del 100%
3. El Servicio de Correo de yahoogle.abc está bien asegurado y realiza análisis SPF/DKIM/DMARC del correo electrónico entrante de domain.xyz
4. Si este análisis resulta en un fallo de SPF o DKIM, el Servicio de Correo de yahoogle.abc rechazará (y por lo tanto, eliminará) el mensaje
5. Enviarán un informe* por correo electrónico si hay una dirección de informe especificada en el DMARC de domain.xyz

* Estos informes DMARC generados le ayudan a mantener y mejorar la seguridad de su dominio; de esta manera, puede identificar cualquier error de autenticación y los intentos de phishing que utilizan su dominio.

Política DMARC y porcentaje de aceptación

Para las instrucciones que se pueden dar a los servidores receptores cuando se detecta un mensaje sospechoso, existen 3 políticas (p = política) que pueden ser refinadas con un porcentaje (pct):

ninguna

Con "p=ninguna," no se rechazan ni se ponen en cuarentena los correos electrónicos debido a la verificación DMARC. Sin embargo, el porcentaje de recepción se puede utilizar para recopilar datos sobre los correos electrónicos no autenticados, indicando cuántos de estos correos electrónicos deben estar sujetos a la política DMARC. Por ejemplo, "p=ninguna; pct=10" significa que el 10% de los correos electrónicos no autenticados estarán sujetos a la política DMARC, mientras que el 90% restante será aceptado.

cuarentena

Con "p=cuarentena," los correos electrónicos no autenticados pueden ser puestos en cuarentena, pero el porcentaje de recepción determina la proporción que realmente está sujeta a esta política. Por ejemplo, "p=cuarentena; pct=50" significa que el 50% de los correos electrónicos no autenticados serán puestos en cuarentena, mientras que el 50% restante será aceptado.

rechazar

Con "p=rechazar," los correos electrónicos no autenticados son rechazados. El porcentaje de recepción determina la proporción de correos electrónicos no autenticados que serán efectivamente rechazados. Por ejemplo, "p=rechazar; pct=20" significa que el 20% de los correos electrónicos no autenticados serán rechazados, mientras que el 80% restante será aceptado.

Crear un registro DMARC

Hay 2 formas de gestionar DMARC.

Si tiene un servicio de correo electrónico en Infomaniak, el método más sencillo es ir a la herramienta de Seguridad global para gestionar su política de seguridad DMARC y los informes.

Pero como el registro DMARC es un tipo de registro DNS, normalmente de tipo TXT, también puede gestionarlo desde la zona DNS del nombre de dominio:

1. Inicie sesión en el Gestor de Infomaniak (manager.infomaniak.com) desde un navegador web como Brave o Edge
2. Haga clic en el ícono en la esquina superior derecha de la interfaz (o navegue a través del menú lateral izquierdo, por ejemplo)
3. Seleccione Dominios (universo Web & Dominio)
4. Haga clic en el nombre del objeto correspondiente en la tabla que se muestra
5. Haga clic en Zona DNS en el menú lateral izquierdo
6. Haga clic en el botón para agregar un registro:
   
7. Haga clic en el botón de radio DMARC para agregar un registro 
8. Haga clic en el botón Siguiente
   
9. Deje (o agregue si es necesario) el valor _dmarc en el campo Origen
10. El valor en el campo Destino debe contener los parámetros que desee usar, separados por ; :
    

    Nombre de la etiqueta	Propósito	Ejemplo
    v	Versión del protocolo	v=DMARC1
    pct	Porcentaje de mensajes sometidos a filtrado	pct=20
    ruf	URI para informes forenses	ruf=mailto:authfail@domain.xyz
    rua	URI para informes agregados	rua=mailto:aggrep@domain.xyz
    p	Política para el dominio organizacional	p=cuarentena
    sp	Política para los subdominios del dominio organizacional	sp=rechazar
    adkim	Modo de alineación para DKIM	adkim=s
    aspf	Modo de alineación para SPF	aspf=r

    
    Esto podría dar como resultado, por ejemplo: v=DMARC1;p=rechazar;pct=100;rua=mailto:postmaster@dmarcdomain.com (Fuente)
11. Deje el valor predeterminado para TTL (Tiempo de Vida) sin cambios
12. Haga clic en el botón Guardar