Por qué es importante DMARC en una estrategia de e-mail

DMARC (o Autenticación de mensajes, informes y conformidad basada en dominios, por sus siglas en inglés), es un mecanismo de autenticación de correos electrónicos relativamente joven que permite a los remitentes garantizar a sus destinatarios que los mensajes que han recibido fueron originados por su organización. Fue establecido mediante el RFC 7489 y publicado por primera vez en Marzo de 2012.

Si bien DMARC depende de los mecanismos SPF y DKIM, existen grandes diferencias entre ellos. Mientras que SPF y DKIM están enfocados en lo que conocemos como “SMTP MAIL-FROM” (también llamado envelope-from o 5321.MailFrom, quien especifica la dirección para devolución de mensajes al remitente), DMARC verifica que el dominio del 5321.MailFrom y el de 5322.From (la dirección de correo que vemos en el campo “DE“) se encuentren alineados.

Pongámoslo en un ejemplo:

Mail-From: phishing@dominiofalso.com

From: “Frank” <frank@miempresa.com>

To: “Andrew” <andrew@contoso.com>

Subject: Vencimiento de nombre de dominio – Acción requerida

Si el dominio dominiofalso.com tiene correctamente configurado su registro SPF, el servidor de correo de contoso.com lo tratará como un mensaje “sano” y pasará la prueba de seguridad. Dado que el cliente de correo de Andrew solo le mostrará la dirección en el campo “From“, Andrew creerá que el mensaje proviene de un origen seguro.

Sin embargo, si miempresa.com tuviese configurado el registro _dmarc.miempresa.com con la política de rechazo (p=reject) en su zona DNS, el mensaje enviado a Andrew sería rechazado por la organización de destino.

En resumen, los dominios del Mail-From, “Header” From y DKIM deben estar alineados. De lo contrario, el mensaje no pasará la prueba DMARC.

DMARC tiene como objetivo prevenir la suplantación de identidad (también conocida como “spoofing“). Para que un mensaje sea validado por DMARC, debe haber superado primero las pruebas de SPF y de DKIM respectivamente. Si alguna de estas pruebas falla, el mensaje no podrá ser validado por DMARC.

Si las pruebas SPF y DKIM son superadas y el registro DNS DMARC del dominio de origen está configurado, el servidor de correo de destino evaluará el mensaje y tomará una acción dependiendo de la configuración que el remitente haya elegido. Existen tres acciones/políticas posibles:

  • None: Permite monitorear los mensajes recibidos. Se utiliza habitualmente durante la etapa de implementación de DMARC para recibir informes de los destinatarios y poder evaluar la siguiente etapa sin interferir con la entrega de mensajes que no pasen la prueba.
  • Quarantine: Permite poner los mensajes en cuarentena cuando no pasen la prueba DMARC (la acción final queda en manos del destinatario, pero normalmente estos mensajes son enviados a la carpeta SPAM).
  • Reject: Esta acción le ordena a los servidores de correo de destino que rechacen los mensajes que no hayan superado la prueba DMARC.

Estas políticas deben ser combinadas con otras etiquetas en el registro DNS del dominio de origen, como la dirección de correo electrónico a la que las organizaciones participantes enviarán periódicamente informes en los que indicará cuántos mensajes superaron la prueba DMARC y cuántos no.

Un registro DNS DMARC debe utilizar el prefijo _dmarc seguido del nombre de dominio:

Tipo de registro: TXT

Registro: _dmarc.pablofain.com

Información: v=DMARC1;p=reject;sp=reject;pct=100;rua=mailto:someone@pablofain.com”

Las etiquetas de configuración más utilizadas son las siguientes:

  • v= Indica la versión de DMARC que se está utilizando.
  • p= Indica la acción o política que debe tomar el destinatario con el mensaje. Como explicamos anteriormente, puede ser none, quarantine reject.
  • sp= Indica la acción o política que debe tomar el destinatario con el mensaje cuando provenga de un subdominio del dominio principal. En caso de no estar presente, se tomará la misma acción que tenga especificada el parámetro “p“.
  • pct= Indica el porcentaje de mensajes sobre los que se aplicará la acción o política. En caso de no estar presente, se aplicará la acción al 100% de los mensajes.
  • rua= Especifica a qué dirección se enviarán los reportes de las pruebas DMARC.

Una recomendación importante para quienes deseen implementar este mecanismo es que comiencen utilizando una política de monitoreo (p=none), lo que les permitirá recibir feedback y evaluar las acciones a tomar sin afectar el flujo de correo electrónico. Luego podrían continuar con una política de cuarentena (p=quarantine), definir un porcentaje de aplicabilidad menor al 100% (pct=50) y seguir incrementando la rigurosidad hasta llegar a configurar una política de 100% de rechazo (p=reject;pct=100).

Antes de implementar DMARC les recomiendo también que se hagan las siguientes preguntas:

  • Las direcciones IP de mis servidores de mail están en el/los registros SPF de mi dominio?
  • Las firmas DKIM se corresponden con el dominio del Mail-From de mis mensajes?
  • El dominio del Mail-From coincide con el dominio del “Header” From?

Si la respuesta a alguna de ellas es no, será indispensable volver a evaluar toda la estrategia de correo electrónico.

El sitio dmarcian.com ofrece una herramienta gratuita que permite inspeccionar la implementación de DMARC.

Las estadísticas están de nuestro lado. La falsificación de correos electrónicos está en aumento y DMARC parece ser el primer paso para una solución definitiva.

PayPal fue pionero en su implementación en el año 2007, en un trabajo conjunto con Yahoo! y Gmail. El resultado fue increiblemente efectivo, y permitió a PayPal reducir la cantidad de mensajes fraudulentos que recibían sus clientes.

Los detalles del proyecto están disponibles en su sitio web oficial, dmarc.org.

Comentarios, sugerencias y preguntas serán bienvenidos! :)

Deja un comentario