DMARC

Añadir un registro DMARC

Definir la forma en la que el dominio gestiona los correos electrónicos sospechosos

Añade políticas a los registros DNS de tu dominio para configurar la autenticación de mensajes, informes y conformidad basada en dominios (DMARC). Las políticas, que se definen en los registros TXT, establecen la forma en que tu dominio gestiona los correos electrónicos sospechosos.

Hay tres políticas DMARC posibles sobre cómo puede responder tu dominio a correos electrónicos sospechosos:

  • No hacer nada y registrar el mensaje en el informe diario.
  • Marcar el mensaje como spam y mantenerlo en cuarentena a la espera de seguir tratándolo.
  • Cancelar el mensaje para que no llegue al destinatario.

Define la política DMARC con la etiqueta p del registro TXT, tal como se describe más adelante en la tabla de las etiquetas frecuentes que se utilizan en los registros DMARC.

Configurar primero SPF y DKIM

Te recomendamos que configures el marco de políticas del remitente (SPF) y DomainKeys Identified Mail (DKIM) antes de configurar DMARC, ya que este registro los usa para verificar la autenticidad de los mensajes. Los mensajes que no superan las comprobaciones SPF y DKIM activan la política DMARC.

Crear un registro DMARC

Crea un registro TXT con los nombres y los valores de etiquetas que definan las políticas que quieres que se empleen en tu dominio.

El nombre del registro TXT debe estar en este formato, donde [tu_dominio.com] es el nombre de tu dominio:
 _dmarc.[tu_dominio.com] 

Consejos para crear un registro TXT DMARC

Estos artículos incluyen información detallada para crear registros DMARC:

Etiquetas frecuentes que se utilizan en los registros TXT DMARC

Nota: Gmail no admite la etiqueta DMARC ruf, que se usa para enviar informes de errores (forenses).

Nombre de la etiqueta Obligatoria Descripción y valores Ejemplo

v

Obligatoria Versión del protocolo. Este valor debe ser DMARC1. v=DMARC1

p

Obligatoria

Define la forma en la que el dominio gestiona los mensajes sospechosos:

  • none (ninguna): no hace nada, pero registra los mensajes sospechosos en el informe diario.
  • quarantine (cuarentena): marca los mensajes como spam y los mantiene en cuarentena a la espera de seguir tratándolos.
  • reject (rechazar): cancela el mensaje para que no llegue al destinatario.
p=quarantine

pct

Opcional Define el porcentaje de mensajes a los que se aplica la política DMARC. El valor predeterminado es 100. pct=20

rua

Opcional

Indica el identificador uniforme de recursos (URI) de informes agregados. Utiliza esta opción con tu dirección de correo electrónico para generar informes sobre la actividad DMARC de tu dominio.

rua=mailto:inforagreg@example.com

sp

Opcional

Define la política de los mensajes de los subdominios de tu dominio principal. Utiliza esta opción si quieres aplicar una política DMARC diferente en los subdominios. Los valores posibles de esta etiqueta son los mismos que los de la etiqueta p.

 

sp=reject

aspf

Opcional

Define el modo de alineación de SPF (ASPF), que define el grado de coincidencia que debe haber entre la información del mensaje y las firmas de SPF. El valor predeterminado es flexible (r).

r: el modo flexible permite obtener concordancias parciales, lo que incluye, por ejemplo, los subdominios de un dominio.

s: el modo estricto requiere una coincidencia exacta.

aspf=r

 

Implementar DMARC gradualmente

Combina las opciones de política (p) y porcentaje (pct) para implementar lenta y gradualmente DMARC en Gmail.

Cómo implementar gradualmente la política DMARC

Utiliza la opción de política (p). Define y edita la opción de política mediante el valor de etiqueta p del registro TXT. Empieza con una política de cuarentena para que puedas inspeccionar los mensajes sospechosos. A continuación, modifica gradualmente la política según la información de los mensajes en cuarentena y los informes diarios.

  1. p=none (p=ninguna): supervisa el tráfico de correo electrónico y busca errores en los informes diarios, pero deja que lleguen todos los mensajes. Presta atención a los mensajes falsificados y sin firmar con DKIM o SPF.
  2. p=quarantine (p=cuarentena): cuando te familiarices con los patrones de correo electrónico de los informes diarios, cambia la política a cuarentena. Sigue revisando los informes diarios y consulta los mensajes que se envían a cuarentena como spam.
  3. p=reject (p=rechazar): cuando sepas seguro que todos los mensajes de tu dominio están firmados, cambia a esta política para empezar a filtrar mensajes de spam. Sigue revisando los informes diarios para comprobar que estás filtrando el spam y enviando correos electrónicos válidos a los destinatarios.

Utiliza la opción de porcentaje (pct). La opción de porcentaje predeterminado es 100 % (todos los mensajes). Con la opción de porcentaje, puedes filtrar menos mensajes al principio y aumentar el porcentaje cada pocos días. Por ejemplo, para empezar, puedes poner el valor 20 para filtrar el 20 % de los mensajes rechazados o en cuarentena. La semana siguiente, cambia el valor de 20 a 50 para filtrar el 50 % de los mensajes.

Ejemplo de implementación: aquí tienes un ejemplo de cómo usar las opciones p y pct para implementar gradualmente una política DMARC. Actualiza la política DMARC con estos valores:

  1. p=quarantine pct=5
  2. p=quarantine pct=10
  3. p=quarantine pct=25
  4. p=quarantine pct=50
  5. p=quarantine pct=100
  6. p=reject pct=1
  7. p=reject pct=5
  8. p=reject pct=10
  9. p=reject pct=25
  10. p=reject pct=50
  11. p=reject pct=100
  12. p=none pct=100
  13. p=quarantine pct=1

Ejemplo de registros TXT

A continuación, se muestran algunos registros TXT DMARC de ejemplo que puedes modificar para usarlos según te convenga. Copia estos registros y sustituye "tu_dominio.com" y "postmaster@tu_dominio.com" por tu dominio y tu dirección de correo electrónico reales.

Utiliza los informes diarios para evaluar si necesitas hacer cambios en los valores de la política y en los porcentajes.

Registro TXT de ejemplo: "No hacer nada"

No hagas nada con los mensajes que parezcan venir de tu dominio, pero que no superen las comprobaciones de DMARC. Envía el informe diario a "postmaster@tu_dominio.com".

"v=DMARC1; p=none; rua=mailto:postmaster@tu_dominio.com"

Registro TXT de ejemplo: "Mensaje en cuarentena"

Pon en cuarentena el 5 % de los mensajes que parezcan venir de tu dominio, pero que no superen las comprobaciones de DMARC. Envía el informe diario a "postmaster@tu_dominio.com".

"v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@tu_dominio.com"

Registro TXT de ejemplo: "Rechazar mensaje"

Rechaza todos los mensajes que parezcan venir de tu dominio, pero que no superen las comprobaciones de DMARC. Envía el informe diario a "postmaster@tu_dominio.com" y "dmarc@tu_dominio.com".

"v=DMARC1; p=reject; rua=mailto:postmaster@tu_dominio.com, mailto:dmarc@tu_dominio.com"

Informes diarios de DMARC

Los informes diarios de DMARC están en formato XML y contienen información sobre el flujo de los mensajes de correo electrónico. Con los informes puedes hacer lo siguiente:

  • Verificar que las fuentes de correo electrónico de salida estén autenticadas.
  • Verificar que los servidores de correo electrónico que envían mensajes desde tu dominio sean legítimos.
  • Consultar si un nuevo servidor está online o si un servidor antiguo tiene problemas de configuración.
Informe DMARC de ejemplo

A continuación, se incluye parte de un informe que muestra los resultados de mensajes enviados desde dos direcciones IP. Un mensaje se había enviado directamente y el otro se había reenviado, pero ambos habían superado las comprobaciones de DMARC.


<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>207.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment>
</reason>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>

¿Te ha sido útil este artículo?
¿Cómo podemos mejorar esta página?