¿Qué es DMARC?

DMARC o Domain-based Message Authentification Reporting and Conformance, es un protocolo de autenticación de correo electrónico de código abierto que suministra protección a nivel de dominio para el canal de correo electrónico. Esta autenticación detecta y evita las técnicas de spoofing o suplantación de correo electrónico que se usan en el phishing, los ataques de compromiso de correo electrónico corporativo (BEC) y otros ataques basados en correo electrónico. Tomando como punto de partida los estándares existentes DKIM, DMARC y SPF, la primera tecnología de amplio espectro de aplicación que puede lograr establecer la fiabilidad del dominio del encabezado del remitente (“De”) es DMARC. El propietario del dominio puede publicar un registro DMARC en el sistema de nombres de dominio (DNS) y crear una política para indicarles a los destinatarios qué hacer con los correos electrónicos que no superen la autenticación.

El Convenio de Remitentes (SPF, del inglés “Sender Policy Framework”) es un protocolo de validación de correo electrónico que le permite a una organización enviar correo electrónico desde su dominio. Las organizaciones pueden autorizar a los remitentes dentro de un registro SPF publicado dentro del Sistema de Nombres de Dominio (DNS, del inglés “Domain Name System”). Este registro incluye a las direcciones IP aprobadas de los remitentes de correo electrónico, incluyendo las direcciones IP de proveedores de servicios que estén autorizados para enviar correos en nombre de la organización. Publicar y verificar registros SPF es una manera fiable de detener el phishing y otras amenazas basadas en correo electrónico que son forjadas desde direcciones y dominios de remitente.

El Correo Identificado por Claves de Dominio (DKIM, del inglés “DomainKeys Identified Mail”) es un protocolo de autenticación de correo electrónico que le permite al destinatario comprobar que un correo electrónico de un dominio específico realmente estuvo autorizado por el propietario de ese dominio. Le permite a una organización hacerse responsable de la transmisión de un mensaje adjuntándole una firma digital. La verificación se realiza mediante autenticación criptográfica usando la clave pública del firmante, publicada en el DNS. La firma garantiza que las partes interesadas del correo electrónico no hayan sido modificadas desde el momento en que se adjuntó la firma digital.

Para que un mensaje pueda aprobar esta autenticación, debe primero superar la autenticación SPF y la alineación SPF, y/o superar la autenticación DKIM y la alineación con DKIM. Si un mensaje no aprueba DMARC, los remitentes pueden indicarles a los destinatarios qué hacer con ese mensaje mediante una política de implantación. Existen tres políticas o DMARC policy options, que el propietario del dominio puede implementar: “ninguno” (el mensaje se entrega al destinatario y el informe se envía al propietario del dominio), “cuarentena” (el mensaje se envía a una carpeta de cuarentena) y “rechazar” (el mensaje no se entrega).

La política de DMARC “ninguno” es un excelente primer paso. Así, el propietario del dominio puede garantizar que todos los correos electrónicos legítimos se estén autenticando adecuadamente. El propietario del dominio recibe informes que les ayudan a garantizar que todos los correos electrónicos legítimos sean identificados y superen la autenticación. Una vez que el propietario del dominio está seguro de que se hayan identificado a todos los remitentes legítimos y de que se hayan resuelto los problemas de autenticación, pueden pasarse a una política de “rechazar” y bloquear al phishing, el compromiso de correo electrónico empresarial y otros ataques de correo electrónico fraudulento. Como destinataria de un correo electrónico, una organización puede garantizar que su puerta de enlace protegida de correo electrónico haga valer la política DMARC implementada al propietario del dominio. Esto protege a los empleados contra amenazas en el correo electrónico entrante.

La autenticación SPF comienza por identificar a todas las direcciones IP legítimas que deberían enviar correo electrónico desde un dominio dado, y después publica esta lista en el DNS. Antes de entregar un mensaje, los proveedores de correo electrónico verifican el registro SPF buscando el dominio incluido en la dirección de “sobre de remitente” dentro del encabezado técnico oculto del correo electrónico. Si la dirección IP que envía un correo electrónico en nombre de este dominio no está listada en el registro SPF del dominio, entonces el mensaje falla la autenticación SPF.

Para la autenticación DKIM, el remitente identifica en primer lugar los campos que desean incluir en su firma DKIM. Estos campos pueden incluir la dirección de remitente, el cuerpo del correo electrónico, el asunto y más. Estos campos deben quedar intactos durante el tránsito, o el mensaje no aprobará la autenticación DKIM. En segundo lugar, la plataforma de correo electrónico del remitente creará un hash de los campos de texto incluidos en la firma DKIM. Una vez generada la cadena hash, se cifra con una clave privada, a la cual solamente el remitente tiene acceso. Después de enviado el correo electrónico, ya depende del proveedor del buzón de email o de la pasarela, validar la firma DKIM. Esto se hace localizando una clave pública que sea exactamente igual a la privada. Después, la firma DKIM se descifra hasta su cadena hash original.