Qué es DMARC y cómo Añadirlo en tu Dominio

Si eres un usuario habitual del correo electrónico, habrás comprobado en numerosas ocasiones que no siempre recibes los emails que pueden llamarse ”legítimos” y a veces te llegan emails que no lo son.

Es posible que alguna vez te hayas encontrado con un email en tu bandeja de entrada cuyo contenido no cuadra con el remitente o incluso es tu dirección de correo electrónico el remitente.

Estos son técnicas de spammers para intentar engañar a servidores y usuario y que abran el correo enviado.

Cuando un email llega a un servidor, este debe asegurarse de que el email sea legítimo y no dejar pasar si no es así.

Algunas formas de comprobar esto es usar los registros SPF y DKIM de esta forma el servidor que recibe el email, puede asegurarse que servidor que envía el email es correcto.

Si ere cliente de Hostinet, no tendrás ningún problema en activar SPF y DKIM, ya que puedes hacerlo directamente desde el panel de control cPanel. Aquí indicamos cómo activarlos:

Activar SPF y DKIM desde cPanel

Con DMARC vamos un paso más allá. Sus siglas vienen del inglés -Domain-based Message Authentication, Reporting & Conformance- que se traduce como -Autenticación de Mensajes, Informes y Conformidad Basada en dominios-.

Su uso se basa en los protocolos de seguridad que hemos comentado antes, SPF y DKIM.

Lo que básicamente hace DMARC, es avisar al servidor receptor de qué tiene que hacer con un email que recibe y tiene algún problema con SPF y con DKIM.

Es decir, llega un mensaje a un servidor que no pasa alguna de las dos verificaciones, SPF o DKIM, entonces comprueba la política añadida en DMARC para actuar en consecuencia.

Antes de añadir el registro DMARC, asegúrate que tienes bien configurado el SPF y/o DKIM.

Por lo tanto DMARC por si solo no verifica nada por si solo, necesita de SPF y DKIM para activar su política.

De esta forma, el dueño de un dominio puede protegerlo en el caso de que alguien quiera usarlo para realizar ataques de phising o de suplantación de identidad.

Si necesitáis más información respecto a DMARC, podéis echarle un vistazo a su web oficial, pero está en inglés:

www.dmarc.org

Cómo Añadir DMARC en mi Dominio

Si quieres añadir DMARC en tu dominio, puedes hacerlo creado un registro DNS del tipo TXT.

Antes de nada, debes comprender que una configuración muy estricta de DMARC, puede hacer que muchos emails legítimos acaben perdidos.

Por este motivo hay, es muy conveniente implementar DMARC de manera progresiva y revisar los informes que se envíen para determinar que tipo de estrategia hay que adoptar en DMARC.

El registro TXT que añadiremos podemos configurar con distintos parámetros para determinar el tipo de política que queremos añadir en DMARC y qué queremos hacer con los emails que cumplan con las normas SPG o DMIK.

Para facilitar la creación del registro TXT, tenemos que acceder a nuestro cPanel y dirigirnos a la herramienta Zone Editor y administraremos el domino donde queramos añadir el registro.

Después de esto, añadiremos un registro TXT con las siguiente configuración, muy básica, de un registro DMARC:

_dmarc.midominio.info. 3600 IN TXT v=DMARC1;p=none; 

Recordada cambiar -midominio.info- por vuestro dominio y pulsar en Añadir el Registro.

Con esto hemos añadido un registro DMARC muy básico, pero podemos configurarlo a nuestro gusto desde el propio cPanel.

Para esto, buscamos el registro que acabamos de crear, posiblemente estará al final y pulsamos en Editar, (quizás tengas que volver a buscar el registro)

Esto abrirá un pequeño panel de configuración que podemos usar para configurar DMAR sin tener que buscar generadores externos ni nada por el estilo.

Ahora solo nos queda pulsar sobre Optional Parameters para ver todas las opciones que podemos configurar.

• – Policy
  Aquí podemos determinar qué hacer con el email si falla su autenticación. Ninguno (solo nos informa y es lo recomendado para empezar a usar DMARC), Cuanrentena para revisarlo o Reject para rechazar el email.
• – Subdomain Policy
  Aquí establecemos los mismos parámetros pero para los subdominios creados. Para empezar también marcaremos Ninguno.
• – DKIM Mode
  Aquí podemos determinar el alineamiento que hará DMARC respecto a la configuración DKIM. Solo podemos elegir entre Relajado -Relaxed- o Estricto -Strict-. Recomendamos tomarse las cosas con calma al principio, por lo que seleccionaremos Relajado.
• – SPF Mode
  Igual que en el apartado anterior, elegiremos Relajado.
• – Percentage
  Cuando cambiemos la cuarentena de Ninguna a cualquiera de las otras dos opciones, podemos determinar el porcentaje de emails que se verificarán. De esta manera podemos implementar DMARC poco a poco para no pasar el día revisando los emails de reportes fallidos.
• – Generate Failure Reports When
  Podemos seleccionar cuándo generar un reporte de fallos. Si cuando fallan todos los check (All Cheks Fail) o si solo falla uno de ellos (Any Check Fails).
• – Report Interval
  Determina el intervalo para la frecuencia con la que desea recibir informes XML.
  – Send Aggregate Mail Reports To
  Debemos añadir la cuenta de correo donde queremos recibir los informes diarios que nos enviarán los servidores que reciban nuestros emails, siempre y cuando realicen comprobaciones DMARC. Se recomienda no usar una la cuenta de email habitual.
• -Send Failure Reports To
  Y por último, el email donde queremos recibir el informe de los emails que han fallado.

Debería de quedar algo así:

Volvemos a guardar los cambios y con esto ya tendríamos configurado nuestro registro DMARC al completo.

Cómo Comprobar que DMARC está Funcionando

Para comprobar si DMARC ya está configurado y funcionando, podéis buscar algún validador de terceras partes, pero yo prefiero enviar un email a una cuenta de Gmail, que sabemos que comprueban las política DMARC.

Cuando recibáis el email en Gmail, hay que ir a la opción de Mostrar Original

Además del código de la cabeceras, donde podemos buscar en el apartado:

ARC-Authentication-Results:

En la parte superior Gmail no indicará cómo ha ido el SPF, DKIM y DMARC:

Si todo está marcado como PASS es que está activado y el email ha pasado lla configuración que se ha añadido en los registros.

Una vez configurado todo, empezarás a recibir los informes por email. Al haber configurado la política como Ninguno o None, no se excluirá ningún email, pero si que podrás ver cuales habrían pasado y cuales no.

Estos informes te servirán de guía para saber que emails se habrían descartado por incumplir alguna de las normas SPF o DKIM.

Cuando establezcas una política que creas que es la correcta, puedes poner la política en Cuanrentena para revisar los emails que se habrían devuelto y si fuese necesaria alguna modificación.

Y el último paso sería el rechazo de los emails (Reject), aunque sería conveniente la revisión periódica para verificar que el DMARC no está rechazando emails legítimos y solo el correo no deseado es filtrado.

Esto es importante… ¡No queremos bloquear nuestros propios emails!

Como puedes ver, organizar una buena política de DMARC no es una acción de un solo día, pero protegerás tu dominio contra ataques de suplantación de identidad.
 

Hosting con cPanel para poder Configurar DMARC, SPF y DKIM

En Hostinet todos los hosting web que ofrecemos, excepto los hosting Windows o VPS, cuentan con cPanel como panel de control.

Desde cPanel, existe una herramienta para poder añadir registros SPF y DKIM sin ninguna complicación, desde la sección Correo Electrónico > Autenticación.

Desde la herramienta Zone Editor, hemos visto que también podemos añadir una configuración DMARC para proteger la reputación de nuestro dominio antes ataques de suplantación de identidad.

De esta forma, podemos fortalecer la seguridad nuestros dominio y cuentas de correo y todo ellos desde el panel de control cPanel que, recordamos, está incluido en todos los hosting web que ofrecemos en Hostinet.