Informes DMARC: cómo leerlos y usarlos

Este artículo explica cómo interpretar los informes diarios de DMARC enviados por los servidores de correo receptores.

Introducción:

DMARC, que significa Domain-based Message Authentication, Reporting and Conformance, es un protocolo de autenticación de correo electrónico. Agrega una capa extra de seguridad al basarse en mecanismos existentes (SPF y DKIM) para prevenir eficazmente la suplantación de identidad y los intentos de phishing. DMARC también permite a los propietarios de dominios recibir informes sobre correos enviados en su nombre para controlar mejor el uso de su dominio.

Este estándar ayuda a proteger tu dominio del uso fraudulento por parte de spammers, que pueden falsificar la dirección del remitente (“From”) para que parezca que el correo proviene de un usuario legítimo de tu dominio. DMARC evita este tipo de falsificación al asegurar que los correos estén autorizados para ser enviados en nombre de tu dominio.

DMARC se apoya en otros protocolos estándar de autenticación, como SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail), para ayudar a los administradores a identificar correos fraudulentos enviados por atacantes cibernéticos. Al combinar estos mecanismos, DMARC mejora la capacidad de detectar intentos de suplantación y proteger la reputación del dominio.

Nota: Cuando autenticas tu dominio en systeme.io, los registros SPF y DKIM se agregan automáticamente a tu dominio.

El protocolo DMARC permite a los remitentes definir una política que especifica cómo deben manejar los servidores receptores los correos que no pasan las verificaciones SPF o DKIM. Según esta política, los mensajes no conformes pueden marcarse como spam o ser rechazados directamente.

¿Qué son DKIM y SPF?

1. DKIM (DomainKeys Identified Mail)

DKIM es un método de autenticación de correo electrónico que utiliza una firma digital para permitir a los destinatarios verificar que un mensaje fue enviado por un remitente autorizado y no fue alterado en tránsito.

Cuando se envía un correo, este se firma usando una clave privada asociada con el dominio del remitente. Al recibirlo, el servidor de correo del destinatario (como Gmail, Outlook, etc.) utiliza una clave pública publicada en el DNS del dominio para validar la firma. Esto garantiza que el contenido del correo no haya sido manipulado durante el tránsito.

En otras palabras, DKIM impide que un tercero intercepte un correo, modifique su contenido y lo envíe con información potencialmente fraudulenta.

Otra ventaja importante de DKIM es que ayuda a construir la reputación del dominio desde el que envías. Los proveedores de servicios de Internet (ISPs) analizan la calidad del envío (tasas de spam, tasas de rebote, interacción de los destinatarios, etc.) para evaluar la confiabilidad del dominio. Cumplir con estas buenas prácticas mejora directamente la entregabilidad de tus correos.

2. SPF (Sender Policy Framework)

SPF es un protocolo de autenticación de correo que permite a los ISPs, como Gmail, verificar si un servidor de correo está autorizado para enviar mensajes en nombre de un dominio. Esencialmente, es una lista de permitidos declarada en el DNS del dominio que especifica qué servicios o direcciones IP están autorizados a enviar correos en tu nombre.

Cuando se recibe un mensaje, el servidor de destino comprueba si el remitente está en la lista de permitidos definida en el registro SPF. Si no lo está, el mensaje puede marcarse como sospechoso o ser rechazado.

¿Cuáles son los beneficios de DMARC?

Protege la reputación de tu dominio

DMARC protege tu marca y dominio contra intentos de suplantación. Evita que remitentes no autorizados envíen correos en tu nombre. En algunos casos, simplemente publicar un registro DMARC puede mejorar la reputación de tu dominio ante los proveedores de correo.

Mejor visibilidad sobre el uso del dominio

Los informes DMARC proporcionan una visión clara de cómo se está usando tu dominio, de forma legítima o no. Puedes ver quién está enviando correos en tu nombre e identificar rápidamente cualquier actividad sospechosa.

Mejora la entregabilidad del correo

DMARC verifica que tus correos estén correctamente autenticados mediante SPF y DKIM. Al detectar y corregir problemas de autenticación, aumentas las posibilidades de que tus correos lleguen a la bandeja de entrada de los destinatarios y reduces el riesgo de ser marcado como spam.

Reduce el spam y las quejas

Al impedir que correos falsificados lleguen a los usuarios finales, DMARC ayuda a reducir las quejas por spam y a proteger la reputación de tu dominio frente a los ISPs.

Los informes DMARC te permiten analizar los resultados de autenticación del correo y tomar medidas para proteger la reputación de tu dominio o negocio.

Un informe DMARC típicamente incluye la siguiente información:

  • Nombre de la entidad (organización o proveedor) que genera el informe
  • Periodo del informe (fechas de inicio y fin)
  • Estado de autenticación: aprobado o fallido para SPF y DKIM
  • Alineación SPF/DKIM: si los registros se alinean correctamente con el dominio remitente
  • Dirección IP del remitente del mensaje analizado
  • Acción tomada por el servidor receptor (aceptado, puesto en cuarentena o rechazado)

Estos informes proporcionan visibilidad valiosa sobre los flujos de correo que usan tu dominio y ayudan a detectar intentos de suplantación.

Beneficios de rastrear los informes DMARC

La supervisión regular de los informes DMARC ofrece varios beneficios clave para los administradores de dominio:

  • Identificar y corregir problemas de autenticación

    Los informes revelan fallos de SPF y DKIM que podrían hacer que tus correos terminen en spam. Corregir estos errores mejora tanto la reputación del dominio como la entregabilidad del correo

  • Mayor control sobre las fuentes de envío

    Usando los datos de los informes, puedes asegurarte de que todos los correos enviados desde tu dominio provengan de fuentes legítimas, detectando rápidamente intentos de suplantación o envíos no autorizados

  • Cumplimiento de requisitos regulatorios

    Con el creciente volumen de comunicaciones por correo electrónico, muchas autoridades, incluidos proveedores de correo como Google, requieren la implementación de protocolos de autenticación como DMARC. Por ejemplo, a partir de febrero de 2024, Google exige que ciertos remitentes cumplan con estos estándares para mantener la seguridad de la plataforma

  • Prueba de cumplimiento

    Copias archivadas de tus informes DMARC pueden servir como evidencia tangible de cumplimiento con estándares de seguridad y regulaciones sobre comunicaciones por correo electrónico

Ejemplo de un informe DMARC

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>emailsrvr.com</org_name>
<email>dmarc_reports@emailsrvr.com</email>
<extra_contact_info>http://emailsrvr.com</extra_contact_info>
<report_id>ff2d7a69-d5a4-4caa-a69b-04814ac885e9</report_id>
<date_range>
<begin>1705795200</begin>
<end>1705881600</end>
</date_range>
</report_metadata>
<policy_published>
<domain>yourdomain.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
<source_ip>XXX.XXX.XXX.XXX</source_ip>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
<header_from>yourdomain.com</header_from>
<spf>
<domain>yourdomain.com</domain>
<result>pass</result>
</spf>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>

Cómo leer un informe DMARC:

Tienes dos opciones: análisis manual o uso de asistencia de IA.

A) Desglosar y analizar manualmente un informe DMARC

El desglose se basa en el ejemplo anterior:

  1. Tu ISP, el nombre de tu proveedor de servicios de correo electrónico:
<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>emailsrvr.com</org_name>
<email>dmarc_reports@emailsrvr.com</email>
<extra_contact_info>http://emailsrvr.com</extra_contact_info>
  1. Número de identificación del informe:
<report_id>ff2d7a69-d5a4-4caa-a69b-04814ac885e9</report_id>
  1. Intervalo de fechas (inicio y fin en segundos):
<date_range>
<begin>1705795200</begin>
<end>1705881600</end>
</date_range>
  1. Especificaciones del registro DMARC tal como se publican en el DNS de tu dominio:
<policy_published>
<domain>yourdomain.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
  1. Dirección IP de la fuente de envío:
<source_ip>XXX.XXX.XXX.XXX</source_ip>
  1. Resumen de resultados de autenticación (SPF/DKIM aprobado/fallido):
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
  1. Dominio del campo From:
<header_from> yourdomain.com</header_from>
  1. Resultados de autenticación SPF:
<spf>
<domain>si116382.yourdomain.com</domain>
<result>pass</result>
</spf>
  1. Resultados de autenticación DKIM:
<dkim>
<domain>inbound.systeme.io</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>domain.com</domain>
<result>pass</result>
</dkim>

B) Usar IA como ChatGPT para analizar un informe DMARC

Puedes usar herramientas de IA, como ChatGPT, para analizar e interpretar un informe DMARC. Esta sección muestra instrucciones paso a paso.

  1. Localiza el informe DMARC

Abre el correo electrónico que contiene el archivo adjunto XML (estos suelen enviarse automáticamente por los servidores de correo receptores).

  1. Abre el archivo XML

Después de descargarlo, ábrelo con un editor de texto simple como Block de notas (Windows) o Editor de texto (Mac).

  1. Copia el contenido

Selecciona todo el contenido XML y cópialo.

  1. Pégalo en ChatGPT

Ve a ChatGPT y pega el contenido XML en la ventana de chat. Puedes preguntar, por ejemplo:

“¿Analiza este informe DMARC y dime si algún correo tuvo un error en las verificaciones SPF o DKIM?”

  1. Interpreta los resultados

ChatGPT analizará las etiquetas del informe y proporcionará una explicación clara y estructurada de los datos: remitente, resultados SPF/DKIM, dirección IP utilizada, acción tomada (aceptado, en cuarentena, rechazado), etc.

Nuestras recomendaciones para avanzar

Ahora que entiendes cómo implementar DMARC, sus beneficios y cómo interpretar los informes, has completado un primer paso crítico para proteger la reputación de tu dominio.

Sin embargo, como propietario del dominio, tu responsabilidad no termina ahí: este es un proceso continuo que requiere supervisión y ajustes regulares.

A continuación, algunas buenas prácticas continuas:

  • Supervisa regularmente tus informes DMARC

    Revisa los informes con frecuencia para detectar cualquier intento de envío no autorizado.

  • Analiza los datos y toma medidas correctivas

    Corrige rápidamente cualquier problema de autenticación (SPF/DKIM) y ajusta tu política según sea necesario para reforzar la seguridad de envío.

  • Usa tu dominio de forma responsable

    Sigue buenas prácticas de envío (listas de contactos cualificadas, bajas tasas de spam, contenido relevante) para mantener tu reputación de dominio y la entregabilidad del correo.