La autenticación de correo electrónico es un componente crítico para protegerse contra el phishing y otros ataques de correo electrónico maliciosos. Una de las técnicas más eficaces para mejorar la autenticación de correo electrónico es DMARC (Domain-based Message Authentication, Reporting, and Conformance). DMARC es un estándar de autenticación de correo electrónico que proporciona un mecanismo para que los propietarios de dominios de correo electrónico especifiquen cómo los servidores de correo deben manejar los mensajes de correo electrónico que no cumplen con sus políticas de autenticación.
Configurar DMARC puede parecer un proceso complicado, pero con algunos conocimientos básicos, puede ser una tarea relativamente sencilla. Aquí hay una guía paso a paso para configurar DMARC para un dominio y algunas de las opciones disponibles en la configuración de DMARC.
Paso 1: Configurar registros DKIM y SPF
Antes de configurar DMARC, es importante que se configuren los registros DKIM (DomainKeys Identified Mail) y SPF (Sender Policy Framework) para el dominio en cuestión. DKIM y SPF son dos técnicas de autenticación de correo electrónico que DMARC utiliza para determinar si un mensaje de correo electrónico es legítimo. Configurar DKIM y SPF es esencial para asegurar que los correos electrónicos de tu dominio sean auténticos.
Paso 2: Crear el registro DMARC
Una vez que se hayan configurado los registros DKIM y SPF, es hora de crear el registro DMARC. El registro DMARC se agrega al archivo de registro DNS del dominio. Aquí hay un ejemplo de un registro DMARC:
v=DMARC1; p=none; sp=none; rua=mailto:admin@ejemplo.com; ruf=mailto:admin@ejemplo.com
En este ejemplo, «v=DMARC1» indica que se está utilizando DMARC versión 1. «p=none» significa que no se toma ninguna acción en los mensajes de correo electrónico que no cumplan con los requisitos de autenticación de DMARC. Esto puede ser útil para obtener informes de los proveedores de correo electrónico sobre los mensajes que no pasan la autenticación DMARC. «sp=none» indica que no se requiere SPF.
La sección «rua» especifica la dirección de correo electrónico a la que se enviarán los informes DMARC, y la sección «ruf» especifica la dirección de correo electrónico a la que se enviarán los informes de fallos de DMARC. Estos informes pueden ser útiles para identificar y resolver problemas de autenticación de correo electrónico.
Paso 3: Selección de políticas de DMARC
DMARC proporciona una variedad de políticas que se pueden utilizar para especificar cómo se deben manejar los mensajes de correo electrónico que no cumplen con los requisitos de autenticación de DMARC. Estas políticas incluyen «none», «quarantine» y «reject».
La política «none» simplemente proporciona informes de los proveedores de correo electrónico sobre los mensajes de correo electrónico que no pasan la autenticación DMARC, pero no toma ninguna otra acción. La política «quarantine» puede ser utilizada para poner los mensajes de correo electrónico que no cumplen con los requisitos de autenticación DMARC en cuarentena o marcarlos como sospechosos. La política «reject se utiliza para rechazar los mensajes de correo electrónico que no cumplen con los requisitos de autenticación DMARC.
La política «quarantine» o «reject» pueden ser políticas más estrictas, pero también pueden causar problemas si no se configuran adecuadamente. Por ejemplo, si la política «quarantine» se configura demasiado estrictamente, puede terminar enviando mensajes de correo electrónico legítimos a la carpeta de correo no deseado. Si la política «reject» se configura demasiado estrictamente, los mensajes legítimos pueden ser rechazados y no entregados.
Paso 4: Opciones de alineación de DKIM y SPF
DMARC utiliza DKIM y SPF para autenticar los mensajes de correo electrónico. La alineación de DKIM y SPF es una característica que ayuda a DMARC a determinar si un mensaje de correo electrónico es legítimo.
La alineación de DKIM se refiere a la relación entre el dominio del remitente en la dirección «De:» del mensaje y el dominio del firmante de DKIM en la cabecera del mensaje. Si la alineación de DKIM es «relajada», entonces el dominio del remitente y el dominio del firmante de DKIM no necesitan ser idénticos. Si la alineación de DKIM es «estricta», entonces los dominios deben ser idénticos.
La alineación de SPF se refiere a la relación entre el dominio del remitente en la dirección «De:» del mensaje y los registros SPF del dominio del remitente. Si la alineación de SPF es «relajada», entonces el dominio del remitente y el dominio que aparece en los registros SPF pueden no ser idénticos. Si la alineación de SPF es «estricta», entonces los dominios deben ser idénticos.
En el registro DMARC, se pueden especificar las opciones de alineación para DKIM y SPF. Las opciones son «s» (estricta) o «r» (relajada).
Paso 5: Configuración de informes DMARC
DMARC proporciona informes de retroalimentación que pueden ayudarte a determinar si tus mensajes de correo electrónico están autenticados correctamente. Puedes configurar la dirección de correo electrónico a la que se enviarán los informes de DMARC en el registro DMARC utilizando la sección «rua». También puedes especificar la dirección de correo electrónico a la que se enviarán los informes de fallos de DMARC utilizando la sección «ruf».
Desactivar SPF y DMARC para dominios que utilizan filtros de correo
Si estás utilizando un filtro de correo electrónico de terceros, como Hornetsecurity, es posible que debas desactivar SPF y DMARC para el dominio donde se está utilizando el filtro. Esto se debe a que el filtro de correo puede agregar su propia firma DKIM al correo electrónico, lo que puede hacer que no pase la autenticación de DKIM.
Para desactivar SPF y DMARC para un dominio en Plesk, sigue estos pasos:
- Accede a tu panel de control de Plesk.
- Haz clic en «Dominios» en el menú principal.
- Selecciona el dominio para el que deseas desactivar SPF y DMARC.
- Haz clic en la pestaña «Correo» en la parte superior de la pantalla.
- Selecciona la cuenta de correo electrónico que utiliza el filtro de correo.
- En la página de configuración de la cuenta de correo electrónico, desplázate hacia abajo hasta la sección «DKIM».
- Desmarca la casilla «Usar DKIM para firmar mensajes salientes».
- Haz clic en «Aplicar» para guardar los cambios.
Una vez que hayas desactivado DKIM para la cuenta de correo electrónico en Plesk, los mensajes salientes de esa cuenta ya no estarán firmados digitalmente con DKIM. Esto debería permitir que el filtro de correo agregue su propia firma DKIM sin que se produzcan conflictos de autenticación.
Para desactivar SPF y DMARC para el dominio, sigue estos pasos:
- Accede al registro DNS del dominio.
- Encuentra el registro SPF y comenta o elimina la entrada.
- Encuentra el registro DMARC y comenta o elimina la entrada.
- Guarda los cambios en el registro DNS.
Desactivar SPF y DMARC para un dominio puede reducir la autenticación de los mensajes de correo electrónico que se envían desde ese dominio. Por lo tanto, se recomienda hacerlo solo si es absolutamente necesario. Siempre es mejor buscar soluciones alternativas para que el filtro de correo funcione correctamente sin tener que desactivar la autenticación de correo electrónico en el dominio.
En conclusión, DMARC es una herramienta poderosa que puede mejorar significativamente la autenticación de correo electrónico. Configurar DMARC requiere un poco de tiempo y esfuerzo, pero los beneficios son significativos. Si estás utilizando un filtro de correo electrónico de terceros, es posible que debas desactivar SPF y DMARC para el dominio donde se está utilizando el filtro, pero se recomienda hacerlo solo si es absolutamente necesario. En última instancia, la autenticación de correo electrónico es fundamental para protegerse contra los ataques de phishing y otros tipos de correo electrónico malicioso, y DMARC es una herramienta valiosa para ayudarte a lograrlo.
Es importante tener en cuenta que DMARC no es una solución completa para la seguridad del correo electrónico. Aunque puede mejorar significativamente la autenticación del correo electrónico, aún existen otros riesgos y amenazas a los que hay que estar atentos. Es importante mantenerse actualizado sobre las últimas técnicas y herramientas de seguridad de correo electrónico y seguir prácticas recomendadas de seguridad para reducir los riesgos.
En resumen, configurar DMARC para un dominio puede mejorar significativamente la autenticación de correo electrónico y reducir el riesgo de ataques de phishing y otros tipos de correo electrónico malicioso. Es importante tener en cuenta las opciones de políticas, alineación y configuración de informes disponibles en DMARC y asegurarse de que se hayan configurado correctamente. Si se utiliza un filtro de correo electrónico de terceros, es posible que deba desactivar SPF y DMARC para el dominio donde se está utilizando el filtro, pero se recomienda hacerlo solo si es absolutamente necesario. La autenticación de correo electrónico es fundamental para la seguridad en línea, y DMARC es una herramienta valiosa para mejorar la autenticación del correo electrónico.