La guía de Red Sift para lograr la aplicación de DMARC

El correo electrónico es uno de los canales de comunicación más explotados, a menudo objetivo de phishing, suplantación y ciberataques. Domain-based Message Authentication, Reporting, and Conformance (DMARC) es una defensa poderosa contra estas amenazas, pero su verdadero impacto depende de una adopción y aplicación generalizadas.

A pesar de sus beneficios comprobados, la implementación de DMARC sigue siendo inconsistente en todo el mundo. Lograr su aplicación global requiere la colaboración entre gobiernos, empresas y organizaciones internacionales.

Esta guía ofrece una hoja de ruta clara para avanzar en la adopción de DMARC, abordar consideraciones regulatorias y legales, y enfrentar desafíos regionales. Si trabajamos conjuntamente, podemos impulsar su aplicación y crear un internet más seguro para todos.

La aplicación de DMARC impide que los correos electrónicos fraudulentos lleguen a tus empleados, clientes, proveedores y usuarios. Funciona asegurando que solo los correos legítimos estén correctamente autenticados, para que los servidores de correo de todo el mundo puedan rechazar los mensajes no autorizados.

Estos ataques de suplantación van desde campañas altamente dirigidas de whaling y spear-phishing por parte de hackers patrocinados por estados nación y amenazas persistentes avanzadas (APT) hasta estafas de phishing cotidianas que pueden ser igual de dañinas. Aplicar DMARC ayuda a proteger a tu organización de ambas amenazas.

Antes de impulsar la aplicación global de DMARC, es crucial entender cómo llegar ahí. La clave es un enfoque por fases: implementar gradualmente las políticas de DMARC junto con DKIM (DomainKeys Identified Mail) y SPF (Sender Policy Framework). Esta implementación controlada garantiza que solo los correos legítimos se envíen desde tu dominio mientras se bloquean intentos de suplantación y phishing. Al seguir este camino estructurado, las organizaciones pueden fortalecer su seguridad y sentar las bases para una adopción más amplia en la industria.

La configuración de los informes DMARC comienza añadiendo una entrada DNS _dmarc en todos tus dominios. Esto indica a los servidores de correo dónde encontrar tu política DMARC y cómo manejar los fallos de autenticación.

Con Red Sift OnDMARC, solo necesitas actualizar tu DNS una vez por cada uno de tus dominios. Al apuntar tus registros DMARC a los Servicios Dinámicos de OnDMARC, puedes gestionar tu política directamente desde la interfaz de OnDMARC, lo que significa que ya no necesitarás editar manualmente el DNS, evitando errores o retrasos.

Antes de aplicar DMARC, necesitas datos para entender tu panorama actual de correo electrónico y asegurarte de que los cambios no afectarán la entrega. Por eso DMARC inicia en modo "none" (solo informes), permitiendo que todos los correos sean entregados mientras recolectas información.

Una vez que Red Sift OnDMARC está configurado, recibirás informes de servidores de correo detallando cómo se utiliza tu dominio. Hay dos tipos de informes:

• Informes agregados (el estándar): Enviados diariamente por la mayoría de los servidores de correo, ofrecen una visión general de los resultados de autenticación.
• Informes forenses (información mejorada de Red Sift): Enviados cuando un correo electrónico individual falla DMARC, brindan información detallada sobre problemas específicos de autenticación.

Ambos informes son legibles por máquina en formato XML, pero analizarlos manualmente puede ser complejo. Red Sift OnDMARC simplifica este proceso, procesando los informes automáticamente y brindando un panel de control fácil de usar, para que puedas identificar y resolver problemas de seguridad rápidamente.

"v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; ruf=mailto:forensic@example.com; fo=1"

• p=none: Sin aplicación, solo monitoreo. Esto significa que los correos aún serán entregados aunque no pasen las verificaciones.
• rua=mailto:dmarc-reports@example.com: Dirección de correo a la que se enviarán los informes agregados. Aquí radica la función de informes de DMARC.
• ruf=mailto:forensic@example.com: Dirección de correo a la que se enviarán los informes de fallos.
• fo=1: Enviar informes de fallos forenses si los correos no superan SPF o DKIM.

En menos de 24 horas deberías recibir tu primer informe DMARC, listo para su revisión.

Con Red Sift OnDMARC, analizar tus informes es sencillo. Podrás ver rápidamente qué fuentes de correo electrónico están autorizadas, detectar configuraciones faltantes e identificar remitentes no autorizados. Estos pueden ser servicios legítimos que requieren actualización o actores maliciosos intentando suplantar tu dominio.

• Volumen total de correos electrónicos y tasas de éxito de autenticación.
• Desglose de aprobados/rechazados para DMARC, SPF y DKIM.
• Lista detallada de remitentes, mostrando el desempeño de cada servicio.

Con esta visibilidad podrás identificar y corregir fácilmente los problemas, asegurando que tu dominio esté totalmente protegido.

Así como puedes apuntar tu registro DMARC a Red Sift OnDMARC para gestionarlo fácilmente sin ediciones manuales de DNS, puedes hacer lo mismo para DKIM y SPF usando nuestros servicios de DKIM Dinámico y SPF Dinámico. De esta forma, puedes gestionar todas tus configuraciones de autenticación de correo en un solo sitio, sin la complicación de actualizar constantemente los registros DNS.

Configura DKIM Dinámico

Para configurar DKIM Dinámico deberás copiar todas tus claves DKIM existentes en tu DNS dentro de DKIM Dinámico. Luego deberás apuntar el DKIM “_domainkey” de tu dominio a DKIM Dinámico agregando un solo registro NS en tu DNS.

Después, toda gestión futura de claves DKIM, añadir o eliminar, podrá hacerse desde la plataforma en lugar de modificar registros DNS manualmente.

Para configurar SPF Dinámico debes importar tu registro SPF en SPF Dinámico. Luego reemplazarás todo en tu registro SPF por una sola inclusión (include) apuntando a SPF Dinámico.

Tu registro SPF se verá así: v=spf1 include:_u.example.org._spf.smart.ondmarc.com ~all

Una vez configurado, puedes gestionar tu registro SPF enteramente desde la plataforma, añadiendo o eliminando mecanismos y sin necesidad de modificar el DNS manualmente.

Para remitentes legítimos, deberías apuntar a una tasa de cumplimiento DKIM casi perfecta. Para lograr esto, tu proveedor DMARC debe soportar DKIM y darte instrucciones claras de configuración. Por lo general, esto implica elegir entre:

• Registros CNAME apuntando a claves DKIM públicas alojadas (preferido).
• Registros TXT que contengan las claves públicas DKIM.

Se recomiendan claves DKIM de al menos 1024 bits, pero si es posible solicita claves de 2048 bits para mayor seguridad. Si utilizas DKIM Dinámico de OnDMARC, podrás gestionar las configuraciones DKIM directamente en la plataforma—sin necesidad de editar el DNS manualmente—reduciendo el riesgo y ahorrando tiempo.

*Algunos remitentes, como Microsoft Exchange Online, dificultan la diferenciación entre informes de remitentes originales y correos reenviados, lo que puede afectar el seguimiento del cumplimiento de DKIM.

Para remitentes legítimos que utilicen tu dominio en su dirección de rebote**, deberás configurar SPF para autorizar sus direcciones IP.

Si utilizas SPF Dinámico de OnDMARC, puedes gestionar estos ajustes directamente en la plataforma, sin ediciones manuales de DNS, disminuyendo riesgos y ahorrando tiempo.

**La dirección de rebote también se conoce como MAIL FROM, Return-Path y Envelope From.

Luego de realizar cambios, valídalos siempre enviando correos de prueba desde cada remitente para asegurarte de que todo esté configurado correctamente.

Con Red Sift OnDMARC, puedes usar la herramienta integrada Investigar para revisar rápidamente resultados de autenticación, identificar problemas y obtener información clara, sin descifrar manualmente cabeceras complejas de correo.

Si todo pasó correctamente, ¡genial! Si no, revisa los motivos y ajusta la configuración.

Repite los Pasos 1 - 4 y revisa, configura y valida hasta que todos tus dominios y remitentes legítimos estén bien configurados y autorizados, superando DMARC, DKIM y SPF.

Cambiar a cuarentena desde none indica a los servidores de correo que envíen los correos no autorizados a la bandeja de spam, reduciendo el riesgo de ataques de phishing y suplantación y permitiendo el monitoreo.

No hay diferencia entre un ataque de suplantación ilegítimo no autorizado y un remitente legítimo no autorizado con una configuración incompleta. Ambos fallarán la autenticación. Por ello, una correcta configuración de DMARC es fundamental. Garantizar que todos los remitentes legítimos estén bien autorizados previene interrupciones y bloquea amenazas reales.

Después de elevar tu política a cuarentena, es importante monitorear tus informes DMARC al menos durante unos días. Recomendamos revisarlos por lo menos una vez a la semana para seguir cuáles remitentes están siendo puestos en cuarentena y asegurarse de que realmente no están autorizados. Durante este tiempo, presta atención a reportes de usuarios o partes interesadas sobre correos legítimos que llegan a spam inesperadamente.

Si detectas que correos legítimos están en cuarentena, tómate el tiempo para configurar y validar el remitente. Mientras realizas estos ajustes, puedes decidir si deseas volver temporalmente a una política ‘none’ o seguir avanzando hacia la aplicación total.

Luego de pasar suficiente tiempo en cuarentena, es momento de dar el paso final y aplicar una política p=reject. Esto brinda la máxima protección, impidiendo que actores maliciosos suplanten tu dominio y disminuyendo el riesgo para empleados, clientes, proveedores y usuarios.

Al establecer p=reject, tu organización se beneficia de:

• Protección completa contra suplantación y phishing: Los correos no autorizados que no superan la autenticación DMARC son rechazados automáticamente, bloqueando intentos de suplantación y reduciendo el riesgo de ataques de phishing. Combinado con concienciación, MFA y capacitación, esto refuerza las defensas de tu organización.
• Mayor confianza en la marca: Previene ataques de phishing usando tu dominio, resguardando tu reputación y la confianza de tus clientes.
• Mejor entregabilidad del correo: Los Proveedores de Servicios de Internet (ISP) reconocen tus correos autenticados como legítimos, reduciendo la posibilidad de ser marcados como spam.
• Visibilidad total sobre la actividad del correo: Los informes DMARC te ayudan a rastrear el uso autorizado y no autorizado del correo.
• Elegibilidad BIMI: Con DMARC totalmente aplicado, el logotipo de tu marca puede aparecer junto a los correos autenticados, mejorando el reconocimiento y la confianza e impulsando tasas de apertura más altas en un 39%.
• Cumplimiento normativo: Muchos estándares y regulaciones de la industria recomiendan o exigen la aplicación de DMARC como parte de las mejores prácticas de ciberseguridad.

Al alcanzar p=reject, tu dominio queda completamente protegido, asegurando que solo los correos legítimos sean entregados y bloqueando intentos de suplantación.

Tu organización evoluciona constantemente, y tu configuración de correo también. Para mantener la aplicación de DMARC, revisa regularmente los informes para identificar nuevos remitentes legítimos que podrían requerir configuración. Mantenerte proactivo asegura una seguridad fuerte en el correo electrónico.

Recuerda proteger todos tus dominios, incluidos los dominios aparcados que no estén en uso activo. Recomendamos revisar tu lista de dominios al menos trimestralmente para no dejar ninguno sin protección.

Proveedores líderes de DMARC, como Red Sift OnDMARC, hacen este proceso sencillo permitiéndote añadir nuevos remitentes directamente a través de la plataforma en lugar de realizar cambios manuales en el DNS. Esto ahorra tiempo, reduce errores y garantiza protección continua sin complicaciones innecesarias.