Para qué sirven los registros DMARC

En este articulo vamos a ver que son y para que sirven los registros DMARC. Herramienta fundamental para evitar phishing y ayudarnos a prevenir que se envíen correos electrónicos suplantando nuestra identidad.

Qué es un registro DMARC

Un registro DMARC es un registro TXT que contiene instrucciones sobre cómo un servidor de correo electrónico debe manejar un correo electrónico que falla en la autenticación. Con los registros DMARC, se puede controlar si los destinatarios de correo electrónico deben rechazar, poner en cuarentena o no hacer nada con un correo electrónico sospechoso.

Es importante crear un registro DMARC porque ayuda a los servidores a distinguir los correos electrónicos legítimos de los falsos. Como resultado, minimiza las amenazas cibernéticas como el phishing y la suplantación de identidad por correo electrónico. Es por eso que recomendamos crear un registro DMARC para garantizar una mejor seguridad del correo electrónico.

Ejemplo de registro DMARC

Un registro DMARC típico contiene al menos tres componentes importantes (o pares de etiqueta-valor). Considera este ejemplo de registro DMARC:

v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain.com

Aquí tenemos tres etiquetas: v, p y rua que tienen los valores DMARC1, reject y mailto:dmarc@yourdomain.com.

La etiqueta v especifica la versión de DMARC, la etiqueta p es la política o acción a realizar si el correo electrónico falla en las comprobaciones de DMARC y la etiqueta rua es la dirección de correo electrónico en la que desea recibir los informes agregados de DMARC.

En el ejemplo anterior, la etiqueta p tiene el valor reject. En otras palabras, la política definida aquí es rechazar un mensaje cuando falla la autenticación. Esto es lo que significan las 3 posibles políticas de DMARC:

  • None: No se toman medidas para los mensajes que fallan en DMARC, pero aún se le enviarán informes agregados para que pueda monitorear lo que sucede con sus correos electrónicos. Es posible que obtenga un error de “DMARC policy not enabled” (Política DMARC no habilitada) si la política está configurada en ninguno.
  • Quarantine: Los mensajes que fallan en las verificaciones de DMARC se colocan en la carpeta de correo no deseado de los receptores.
  • Reject: Todos los mensajes de correo electrónico que fallan en la autenticación se rechazan por completo y nunca llegan a su destinatario.

Hay varias otras etiquetas que podrás usar como pct y ruf. Sin embargo, por motivos de simplicidad, no los incluiremos en nuestros ejemplos. De esta manera podrás configurar tu registro DMARC con solo las 3 etiquetas mencionadas anteriormente.

¿Cómo crear un registro DMARC?

Veamos paso a paso el proceso de configuración de un registro DMARC en tu dominio. Vamos a copiar un registro genérico que funcionará con cualquier host.

Verifica tus DNS con un Analizador de DMARC

Si no estás seguro de tener configurado un registro DMARC en tu sitio, puedes usar un verificador de DMARC como MXToolbox para escanear tus registros DNS.

Ingresa dentro del cuadro de texto Domain Name tu dominio, para este ejemplo utilizaremos midominio.com.ar

Si no tienes configurado DMARC, te mostrará un mensaje de error como el siguiente:

Edita los registros DNS de tu dominio

Ahora vamos a ingresar a los DNS de tu dominio y agregar un registro DMARC.

Los DNS son un conjunto de instrucciones que les dice a los servidores dónde encontrar el contenido de tu sitio, el buzón de correo electrónico entre otras cosas.

Para editar tus DNS, debes poseer el usuario y contraseña de tu cPanel ya que será necesario ingresar al Panel de Control. Para ello y continuando con el ejemplo, deberás ingresar en midominio.com.ar/cpanel (reemplazarás midominio.com.ar por tu verdadero dominio).

Una vez dentro del Panel de Control nos dirigimos a la sección Dominios e ingresamos en Editor de Zonas.

Luego elegimos Administrar para ingresar donde están todos los registros:

Al ingresar veremos todos nuestros registros. SOLICITAMOS EXTREMO CUIDADO, ya que si modificaran alguno pude suceder desde no recibir más correos hasta hacer el sitio inaccesible.

Creamos un nuevo registro TXT haciendo clic en Añadir Registro > Add “TXT” Record.

Ahora completaremos los campos Nombre, TTL y Registro para finalmente Guardar.

Construcción del Registro DMARC

En el campo Nombre, escriba _dmarc. con el punto (punto) al final, al salir del campo se autocompletará.

En el campo TTL dejar 14400.

En Tipo, revisar que diga TXT.

En el campo Registro pegua este ejemplo de registro DMARC.

v=DMARC1; p=none; fo=1; rua=mailto:micorreo@midominio.com.ar

¿Qué hace esta regla?

  • Usamos p=none porque es la configuración menos restrictiva. Seguirás recibiendo informes por correo electrónico si hay un problema con tu DNS, pero es poco probable que afecte la entrega de tus propios correos electrónicos. Si comienzas a recibir informes DMARC sospechosos, puedes cambiar esta parte de la regla a p=quarantine.
  • Asegúrate de cambiar y colocar tu dirección en rua=mailto:micorreo@midominio.com.ar.
  • Si el método de autenticación (DKIM o SPF) no está alineado con tu registro DMARC, la regla fo=1 generará informes forenses que contienen detalles del evento.
  • En términos básicos, la configuración TTL (Tiempo de vida) es como una fecha de vencimiento para tus DNS. Recomendamos dejar la configuración TTL en 14400.
ejemplo de registro DMARC completo

Espera a que propague el cambio realizado con el Registro DMARC

Cada vez que realices cambios en los DNS de tu sitio, deberás esperar hasta 48 horas para que los cambios surtan efecto.

Cuando el cambio se haya propagado, vuelva a realizar la verificación en mxtoolbox .

Tu regla DMARC debería aparecer en una barra verde para que sepas que está funcionando.

Si tienes inquietudes o necesitas asesoramiento no dejes de consultarnos que sin duda podremos ayudarte.

¡Hasta la próxima!

El Equipo de Emprehosting