DMARC

Activar DMARC

Gestionar correos electrónicos sospechosos con DMARC

Para activar el protocolo de conformidad, informes y autenticación de mensajes basado en dominios (DMARC), añade una política DMARC a los registros DNS de tu dominio. Esta política tiene el formato de un registro TXT de DNS y define cómo gestiona tu dominio los correos electrónicos sospechosos.

Una política DMARC admite tres maneras de gestionar los correos electrónicos sospechosos:

  • No hacer nada y registrar el mensaje en un informe diario.
  • Marcar el mensaje como spam (Gmail coloca estos mensajes en la carpeta de spam del destinatario).
  • Indicar al servidor que recibe el mensaje que lo rechace (lo cual también provoca que SMTP lo devuelva al remitente).

Ejemplos de políticas DMARC

A continuación se muestran varios ejemplos de políticas y cómo aparecen en el registro TXT de DNS.

Los valores de estos ejemplos se definen más abajo.

Acciones posibles cuando no se supera la comprobación de DMARC Contenido del registro TXT
No hacer nada con los mensajes que no superen la comprobación de DMARC. Enviar un informe diario a dmarc@solarmora.com. v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com

Colocar el 5 % de los mensajes que no superen la comprobación de DMARC en las carpetas de spam de los destinatarios. Enviar un informe diario a dmarc@solarmora.com.

v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com

Rechazar el 100 % de los mensajes que no superen la comprobación de DMARC. Enviar un informe diario a dos direcciones: postmaster@solarmora.com y dmarc@solarmora.com. 

SMTP devuelve al remitente los mensajes que no superan la comprobación.

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com

Añadir un registro TXT para activar DMARC

Para activar DMARC, actualiza la configuración de tu dominio con un registro TXT de DNS.

Acerca de los registros TXT

Los registros TXT son registros DNS con información textual que pueden utilizar fuentes externas a tu dominio. Estos registros se añaden a la configuración del dominio desde el host del dominio, no desde la consola de administración de Google.

Puedes consultar más información sobre cómo utilizar registros TXT en el apartado Consejos para actualizar registros TXT de DNS.

Añadir un registro TXT DMARC

Sigue estos pasos para añadir un registro TXT DMARC a tu dominio:

  • Sustituye el dominio de ejemplo que se usa en estos pasos por el tuyo. 
  • Sustituye los valores de ejemplo por los de tu política DMARC.
  1. Inicia sesión en la consola de administración del proveedor de tu dominio.
  2. Ve a la página en la que actualizas los registros DNS.

    Subdominios: si el host de tu dominio no permite actualizar los registros DNS de subdominios, añade el registro al dominio principal. Consulta cómo actualizar los registros DNS de un subdominio.

  3. Añade un registro DNS en _dmarc.

    Nombre del registro TXT. En el primer campo, debajo del nombre del host DNS, introduce:
    _dmarc.solarmora.com

    Valor del registro TXT: en el segundo campo, introduce los valores que definen tu política DMARC, por ejemplo:
    v=DMARC1; rua=mailto:dmarc-reports@solarmora.com; p=quarantine; pct=90; sp=none
     

  4. Guarda los cambios.

Valores del registro TXT DMARC

Nota: Gmail no admite la etiqueta DMARC ruf, que se usa para enviar informes de errores (forenses).

Nombre de la etiqueta Obligatorio Descripción y valores

v

Obligatorio Versión del protocolo. Debe ser DMARC1.

p

Obligatorio

Define la forma en la que el dominio gestiona los mensajes sospechosos:

  • none (ninguna): no hace nada, pero registra los mensajes sospechosos en el informe diario.
  • quarantine (cuarentena): marca los mensajes como spam y los traslada a la carpeta de spam del destinatario, que podrá utilizar Gmail para verlos.
  • reject (rechazar): indica a los servidores que reciben el mensaje que lo rechacen. Cuando esto ocurre, el servidor que recibe el mensaje debe devolverlo al servidor que lo envía.

pct

Opcional

Define el porcentaje de mensajes sospechosos a los que se aplica la política DMARC. Estos mensajes son los que no superan la comprobación de DMARC.

Debe ser un número entero entre 1 y 100. El valor predeterminado es 100

rua

Opcional

Dirección de correo electrónico donde se reciben los informes de actividad de DMARC de tu dominio. Para recibir estos informes, puedes utilizar tu propia dirección o crear una.

La dirección de correo electrónico debe incluir la etiqueta mailto: (por ejemplo, mailto:dmarc-reports@solarmora.com).

Para enviar el informe a más de un destinatario, separa las direcciones de correo electrónico con comas.

sp

Opcional

Define la política que se aplicará a los mensajes de los subdominios de tu dominio principal. Utiliza esta opción si quieres aplicar una política DMARC diferente en tus subdominios.

  • none (ninguna): no hace nada, pero registra los mensajes sospechosos en el informe diario.
  • quarantine (cuarentena): marca los mensajes como spam y los mantiene en cuarentena a la espera de seguir procesándolos.
  • reject (rechazar): indica a los servidores que reciben el mensaje que lo rechacen.
adkim Opcional

Define el modo de alineación de DKIM, que determina el grado de coincidencia que debe haber entre la información del mensaje y las firmas de DKIM.

  • s: estricto. El nombre de dominio del remitente debe coincidir exactamente con el valor de d=name correspondiente de los encabezados de correo de DKIM.
  • r: flexible (predeterminado). Se permiten las coincidencias parciales y se acepta cualquier subdominio válido de d=domain de los encabezados de correo de DKIM.

aspf

Opcional

Define el modo de alineación de SPF (ASPF), que a su vez define el grado de coincidencia que debe haber entre la información del mensaje y las firmas de SPF.

  • s: estricto. El encabezado from: del mensaje debe coincidir exactamente con el valor de domain.name del comando SMTP MAIL FROM.
  • r: flexible (predeterminado). Se permiten las coincidencias parciales y se acepta cualquier subdominio válido de domain.name.

 

Consejos para crear un registro TXT

Estos artículos incluyen información detallada para crear registros DMARC:

Implementar DMARC gradualmente

Combina las opciones de política (p) y porcentaje (pct) para implementar lenta y gradualmente DMARC en Gmail.

Utiliza la opción de política (p). Aplica y edita esta opción de política utilizando el valor de etiqueta p del registro TXT. Empieza con una política de cuarentena para poder inspeccionar los mensajes sospechosos. A continuación, modifica gradualmente la política según la información de los mensajes en cuarentena y los informes diarios.

  1. p=none (p=ninguna): supervisa el tráfico de correo electrónico y busca errores en los informes diarios, pero deja que lleguen todos los mensajes. Presta atención a los mensajes falsificados y sin firmar con DKIM o SPF.
  2. p=quarantine (p=cuarentena): cuando te familiarices con los patrones de correo electrónico de los informes diarios, cambia la política a cuarentena. Sigue revisando los informes diarios y consulta los mensajes que se envían a cuarentena como spam.
  3. p=reject (p=rechazar): cuando sepas seguro que todos los mensajes de tu dominio están firmados, cambia a esta política para empezar a filtrar mensajes de spam. Sigue revisando los informes diarios para comprobar que estás filtrando el spam y enviando correos electrónicos válidos a los destinatarios.

Utiliza la opción de porcentaje (pct). Esta opción permite especificar el porcentaje de mensajes sospechosos a los que se aplica la política DMARC. Estos mensajes son los que no superan la comprobación de DMARC. El valor predeterminado es 100 % (todos los mensajes sospechosos). Puedes especificar un porcentaje inferior al principio y luego ir aumentándolo cada pocos días a medida que definas mejor la política DMARC. Por ejemplo, para empezar, puedes introducir el valor 20 como porcentaje para filtrar el 20 % de los mensajes rechazados o en cuarentena. La semana siguiente, puedes cambiar este valor de 20 a 50 para filtrar el 50 % de los mensajes.

Ejemplo de implementación: aquí tienes un ejemplo de cómo usar las opciones p y pct para implementar gradualmente una política DMARC. Actualiza la política DMARC con estos valores:

  1. p=none pct=100
  2. p=quarantine pct=1
  3. p=quarantine pct=5
  4. p=quarantine pct=10
  5. p=quarantine pct=25
  6. p=quarantine pct=50
  7. p=quarantine pct=100
  8. p=reject pct=1
  9. p=reject pct=5
  10. p=reject pct=10
  11. p=reject pct=25
  12. p=reject pct=50
  13. p=reject pct=100

Informes diarios de DMARC

Los informes diarios de DMARC están en formato XML y contienen información sobre el flujo de los mensajes de correo electrónico. Con estos informes puedes hacer lo siguiente:

  • Verificar que las fuentes de correo electrónico de salida estén autenticadas.
  • Verificar que los servidores de correo electrónico que envían mensajes desde tu dominio sean legítimos.
  • Consultar si un nuevo servidor está online o si un servidor antiguo tiene problemas de configuración.
Informe DMARC de ejemplo

A continuación, se incluye parte de un informe que muestra los resultados de dos mensajes enviados desde dos direcciones IP. Uno de los mensajes se ha enviado directamente y el otro se ha reenviado. Ambos mensajes han pasado por las comprobaciones de DMARC.


<record>
<row>
<source_ip>207.126.144.129</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>207.126.144.131</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<reason>
<type>forwarded</type>
<comment></comment>
</reason>
</policy_evaluated>
</row>
<identities>
<header_from>stefanomail.com</header_from>
</identities>
<auth_results>
<dkim>
<domain>stefanomail.com</domain>
<result>pass</result>
<human_result></human_result>
</dkim>
<spf>
<domain>stefanomail.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?