Gestionar los registros DMARC

Esta guía explica cómo implementar una política DMARC para su correo electrónico alojado por Infomaniak, un elemento indispensable para prevenir posibles fallos en el envío.

Prólogo

DMARC (Domain-based Message Authentication, Reporting, and Conformance) es una herramienta esencial para reforzar la seguridad de los correos electrónicos y proteger su dominio contra el fraude verificando la autenticidad de los correos electrónicos salientes (a través de mecanismos de autenticación como SPF y DKIM) y permitiendo definir políticas de tratamiento de los correos electrónicos no autenticados.
DMARC existe para especificar a otros proveedores de correo electrónico qué deben hacer cuando rechazan un correo electrónico debido a un SPF o DKIM incorrecto o ausente.
Para ello, los propietarios de dominios pueden definir políticas DMARC, como "rechazar", "cuarentena" o "nada", para especificar cómo deben tratarse estos correos electrónicos "sospechosos". Ejemplo:
1. Se envía un correo electrónico de anna@domain.xyz a victor@yahoogle.abc.
2. El Servicio de Correo de domain.xyz contiene una configuración DMARC de tipo reject al 100%.
3. El Servicio de Correo de yahoogle.abc está bien protegido y realiza el análisis SPF/DKIM/DMARC del correo que llega de domain.xyz.
4. Si este análisis resulta en un fallo de SPF o DKIM, entonces el Servicio de Correo de yahoogle.abc rechazará (es decir, eliminará) el mensaje.
5. Enviará un informe por correo electrónico si se especifica una dirección de informe en el DMARC de domain.xyz.
  - Estos informes DMARC generados le ayudan a mantener y mejorar la seguridad de su dominio; así podrá identificar los posibles errores de autenticación y los intentos de phishing utilizando su dominio.

Política DMARC y porcentaje de aceptación

Para las órdenes que se pueden dar a los servidores destinatarios cuando se detecta un mensaje sospechoso, existen 3 políticas (p = política) que pueden ajustarse con un porcentaje (pct):

ninguna

Con "p=none", ningún correo electrónico es rechazado o puesto en cuarentena en función de la verificación DMARC. Sin embargo, el porcentaje de recepción puede utilizarse para recopilar datos sobre los correos electrónicos no autenticados, indicando cuántos de estos correos deben someterse a la política DMARC. Por ejemplo, "p=none; pct=10" significa que el 10% de los correos electrónicos no autenticados se someterán a la política DMARC, mientras que el 90% restante será aceptado.

cuarentena

Con "p=quarantine", los correos electrónicos no autenticados pueden ser puestos en cuarentena, pero el porcentaje de recepción determina la proporción que realmente se somete a esta política. Por ejemplo, "p=quarantine; pct=50" significa que el 50% de los correos electrónicos no autenticados serán puestos en cuarentena, mientras que el 50% restante será aceptado.

rechazar

Con "p=reject", los correos electrónicos no autenticados son rechazados. El porcentaje de recepción determina la proporción de correos electrónicos no autenticados que serán efectivamente rechazados. Por ejemplo, "p=reject; pct=20" significa que el 20% de los correos electrónicos no autenticados serán rechazados, mientras que el 80% restante será aceptado.

Crear un registro DMARC

Hay 2 formas de gestionar el DMARC.

Si tiene un Servicio de Correo con Infomaniak, lo más sencillo es ir a la herramienta de Seguridad global para gestionar su política de seguridad DMARC y los informes:

Pero, como el registro DMARC es un tipo de registro DNS, generalmente de tipo TXT, también puede gestionarlo desde la zona DNS del nombre de dominio:

Haga clic aquí para acceder a la gestión de su producto en el Manager Infomaniak (¿Necesita ayuda?).
Haga clic directamente en el nombre asignado al producto correspondiente.
Haga clic en Zona DNS en el menú lateral izquierdo.
Haga clic en el botón para agregar un registro:
Haga clic en el botón de opción DMARC para agregar un registro.
Haga clic en el botón Siguiente:
Deje (o agregue si es necesario) el valor _dmarc en el campo Fuente.

El campo Destino debe contener los parámetros que desea utilizar, separados por ;:

Nombre de la etiqueta	Propósito	Ejemplo
v	Versión del protocolo	`v=DMARC1`
pct	Porcentaje de mensajes sometidos a filtrado	`pct=20`
ruf	URI de informe para informes forenses	`ruf=mailto:authfail@domain.xyz`
rua	URI de informe para informes agregados	`rua=mailto:aggrep@domain.xyz`
p	Política para el dominio organizacional	`p=quarantine`
sp	Política para los subdominios del dominio organizacional	`sp=reject`
adkim	Modo de alineación para DKIM	`adkim=s`
aspf	Modo de alineación para SPF	`aspf=r`

lo que puede dar, por ejemplo, v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@dmarcdomain.com (fuente)

Deje el valor predeterminado en cuanto al TTL.
Haga clic en el botón Guardar:

Cualquier adición/modificación DNS puede tardar hasta 48 horas en propagarse.

Enlace a esta FAQ:

Ver todas las FAQ de este producto.