Desmitificando el registro DMARC

Publicado: 2021-08-18

El estándar DMARC (autenticación, informes y conformidad de mensajes basados ​​en dominios) es la mejor herramienta que tienen las marcas para combatir los ataques de phishing que se dirigen a los clientes falsificando sus dominios. Pero implementar DMARC puede resultar confuso muy rápidamente.

En esta publicación, desmitificaremos el registro DMARC definiendo las etiquetas DMARC que lo componen. Cubriremos las etiquetas requeridas y opcionales, además de discutir algunas estrategias y casos de uso donde las etiquetas DMARC menos conocidas pueden brindarle a su organización un mayor nivel de seguridad de correo electrónico.

¿Qué son las etiquetas DMARC?
Las etiquetas DMARC son el idioma del estándar DMARC. Le dicen al receptor del correo electrónico que (1) verifique DMARC y (2) qué hacer con los mensajes que fallan en la autenticación DMARC.

Etiquetas DMARC requeridas
Solo hay dos etiquetas DMARC requeridas: "v:" y "p:"

v: Versión . Esta etiqueta se utiliza para identificar el registro TXT como un registro DMARC, por lo que los receptores de correo electrónico pueden distinguirlo de otros registros TXT. La etiqueta v: debe tener el valor de "DMARC1" y debe aparecer como la primera etiqueta dentro de todo el registro DMARC. Si el valor no coincide exactamente con “DMARC1” o la etiqueta v: no aparece en primer lugar, el receptor ignorará todo el registro DMARC.

Ejemplo: v = DMARC1

p: Política de destinatarios de correo solicitado. Esta etiqueta indica la política que debe promulgar el receptor para los mensajes que no superan la autenticación DMARC y las comprobaciones de alineación, según lo especificado por el propietario del dominio. Esta política se aplicará al dominio consultado y a todos los subdominios a menos que se describa explícitamente una política de subdominio separada (cubriremos esto más adelante en la publicación). Hay tres valores posibles para la etiqueta p:

  1. p = none: el propietario del dominio solicita que no se tomen medidas específicas en el correo que falla en la autenticación y alineación DMARC.
  2. p = cuarentena: el propietario del dominio desea que los destinatarios de correo traten como sospechoso el correo que no cumple con las comprobaciones de autenticación y alineación de DMARC. Esto puede significar que los destinatarios coloquen el correo electrónico en la carpeta de correo no deseado / basura, lo marquen como sospechoso o lo examinen con mayor intensidad.
  3. p = rechazar: el propietario del dominio solicita que los receptores de correo rechacen el correo electrónico que no supera las comprobaciones de autenticación y alineación de DMARC. El rechazo debe ocurrir durante la transacción SMTP. Esta es la política más estricta y ofrece el más alto nivel de protección.

Dada la información anterior, el ejemplo de registro DMARC más básico podría ser: v = DMARC1; p = ninguno.

Etiquetas DMARC opcionales
 Las etiquetas DMARC opcionales a continuación permiten a los remitentes de correo electrónico dar instrucciones más específicas sobre qué hacer con el correo que no se autentica, eliminando las conjeturas para los destinatarios.

  • rua: indica a dónde se deben enviar los informes DMARC agregados. Los remitentes designan la dirección de destino en el siguiente formato: rua = mailto: [email protected]
  • ruf: indica a dónde deben enviarse los informes forenses de DMARC. Los remitentes designan la dirección de destino en el siguiente formato: ruf = mailto: [email protected]

Las siguientes etiquetas opcionales tienen un valor predeterminado que se asumirá si se excluye la etiqueta. La lista de etiquetas con un valor predeterminado asumido es:

  • adkim: indica una alineación de identificador DKIM estricta o relajada. El valor predeterminado es relajado.
  • aspf: indica una alineación de identificador SPF estricta o relajada. El valor predeterminado es relajado.
  • rf: formato para los informes de errores de mensajes. El valor predeterminado es el formato de informe de fallas de autenticación o "AFRF".
  • ri: El número de segundos transcurridos entre el envío de informes agregados al remitente. El valor predeterminado es 86,400 segundos o un día.
  • pct: Porcentaje de mensajes a los que se aplicará la política DMARC. Este parámetro proporciona una forma de implementar y probar gradualmente el impacto de la política.
  • fo : dicta qué tipo de autenticación y / o vulnerabilidades de alineación se informan al propietario del dominio.
  • Hay cuatro valores para el último fo: tag:
  • 0: Genere un informe de falla de DMARC si todos los mecanismos de autenticación subyacentes fallan en producir un resultado "aprobado" alineado. (Defecto)
  • 1: Genere un informe de falla de DMARC si cualquier mecanismo de autenticación subyacente produjo algo diferente a un resultado de "aprobado" alineado.
  • d: Genere un informe de falla DKIM si el mensaje tenía una firma que no pasó la evaluación, independientemente de su alineación.
  • s: Genere un informe de falla de SPF si el mensaje no pasó la evaluación de SPF, independientemente de su alineación.

Si bien el valor predeterminado es "fo = 0", Return Path aconseja a los clientes que utilicen fo: 1 para generar los informes de fallas más completos, proporcionando una visibilidad mucho más granular del canal de correo electrónico.

A continuación se muestra un ejemplo de registro DMARC. Según lo que ha aprendido hasta ahora, intente descifrar cada etiqueta:

v = DMARC1; p = rechazar; fo = 1; rua = mailto: [correo electrónico protegido]; ruf = mailto: [correo electrónico protegido]; rf = afrf; pct = 100

¿Qué pasa con los subdominios?
La etiqueta DMARC final que discutiremos hoy es la etiqueta sp:, que se usa para indicar una política solicitada para todos los subdominios donde el correo no cumple con las comprobaciones de autenticación y alineación DMARC. Esta etiqueta solo se aplica a los dominios de nivel superior (dominios de nivel organizativo). Es más eficaz cuando un propietario de dominio desea especificar una política diferente para el dominio de nivel superior y todos los subdominios.

Para los siguientes escenarios, usaremos el dominio de nivel superior de "dominio.com" y el subdominio de "mail.domain.com" para ilustrar los casos de uso.

  1. El propietario del dominio quiere aplicar una política de rechazo para "dominio.com", pero una política de cuarentena para "mail.domain.com" (y todos los demás subdominios). El registro DMARC para "dominio.com" incluiría entonces "v = DMARC1; p = rechazar; sp = cuarentena ". Esta es una estrategia eficaz si la organización necesita mantener una política DMARC separada para el dominio de nivel superior y todos los subdominios.
  2. El propietario del dominio quiere aplicar una política de rechazo para "mail.domain.com" (y todos los demás subdominios), pero no aplicar una política de rechazo para "dominio.com". El registro DMARC para "dominio.com" incluiría entonces "v = DMARC1; p = ninguno; sp = rechazar ". Esta sería una estrategia eficaz para combatir los ataques de diccionario en caso de que el dominio de nivel superior no esté listo para hacer cumplir la política, pero los estafadores están falsificando subdominios como mail.domain.com, abc.domain.com, 123.domain. com, xyz.domain.com, etc. Establecer la etiqueta sp: como rechazar protegerá a la organización de estos ataques de diccionario dirigidos a subdominios sin afectar el correo enviado desde el dominio de nivel superior, "dominio.com"

Ahora que comprende el ADN del registro DMARC, obtenga más información sobre qué tipos de ataques bloquea y qué tipos de ataques no lo hace en The Email Threat Intelligence Report .