Cómo configurar el protocolo DMARC para poder obtener un certificado VMC para su dominio

En nuestra última publicación, analizamos cómo convertir el logotipo de su marca al formato correcto para el estándar BIMI y los certificados de marca verificada (VMC, por sus siglas en inglés). Esta publicación abordará el paso siguiente: cómo configurar el protocolo DMARC para su empresa.

¿Qué es el protocolo DMARC?

DMARC (autenticación de mensajes, informes y conformidad basada en dominios) es un protocolo de autenticación de correo electrónico, definición de políticas y elaboración de informes que permite a las empresas proteger su dominio de usos no autorizados, como los ataques de phishing y suplantación de identidad. Para poder obtener un certificado VMC, primero debe asegurarse de que su empresa cumpla el protocolo DMARC.

No lo deje para después

Este proceso puede demorar semanas o meses, según el tamaño de su empresa (cuanto más grande sea, más tiempo se necesitará). Por eso, lo más recomendable es que comience cuanto antes.

Este artículo del blog es una guía muy resumida que tiene como objetivo brindarle información sobre el proceso básico. Si desea acceder a un instructivo más detallado, le recomendamos que descargue nuestra guía completa sobre el protocolo DMARC y el estándar BIMI.

Qué necesitará

Antes de comenzar, asegúrese de tener lo siguiente:

  1. Un editor de texto (por ejemplo, Notepad++, Vim, Nano, etc.)
  2. Acceso a los registros de DNS de su dominio
    1. a. Si no es usted quien gestiona los registros de DNS, comuníquese con el administrador del servidor.

    Paso 1: recopile las direcciones IP para el protocolo SPF
    Para cumplir el protocolo DMARC, lo primero que se debe hacer es configurar el convenio de remitentes (SPF, por sus siglas en inglés), ya que esto impedirá que haya direcciones IP no autorizadas que envíen correos electrónicos desde su dominio.

    Pero antes cree una lista de todas las direcciones IP autorizadas que actualmente envíen mensajes desde su dominio.

    Por ejemplo:

    • Servidor web
    • Servidor de correo de la oficina
    • Servidor de correo del proveedor de servicios de Internet
    • Cualquier servidor de correo de terceros

    Si no encuentra todas las direcciones IP, no se preocupe: la función de supervisión del protocolo DMARC (paso 4) lo hará por usted, aunque es recomendable que ahorre tiempo y recopile todas las direcciones que pueda en esta instancia.

    Paso 2: cree un registro SPF para sus dominios

    A continuación, abra el editor de texto y cree un registro SPF para cada dominio.

    Ejemplo 1: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 ip4:x.x.x.x -todos

    Ejemplo 2: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 incluir:terceros.com -todos

    Cuando haya terminado, guarde el archivo y publíquelo en su sistema DNS.

    Use una herramienta de SPF (como la que ofrece nuestro socio Valimail) para asegurarse de haber ingresado correctamente todos los valores.

    Paso 3: configure el protocolo DKIM

    DKIM es un estándar de autenticación de correo electrónico que se sirve de la criptografía de clave pública y privada para firmar los mensajes de correo electrónico y así evitar que se manipulen mientras se transmiten.

    1. Elija un selector DKIM.

    Ejemplo: «estándar._dominio.ejemplo.com» = nombre del host

    2. Genere un par de claves (una privada y otra pública) para su dominio.

    Windows: use PUTTYGen

    Linux o Mac: use ssh-keygen

    3. Elabore y publique un registro TXT nuevo en la consola de gestión de DNS.

    El registro debería verse así: v=DKIM1; p=SuClavePública

    Paso 4: supervise el tráfico de correo electrónico constantemente

    Este es el paso más importante y el que más tiempo le llevará. Deberá configurar el protocolo DMARC de modo que comience a supervisar su tráfico de correo electrónico actual para poder tener una referencia contundente de qué contenidos aprueba DMARC (y qué mensajes terminará poniendo en cuarentena o rechazando).

    NOTA: Si bien puede resultar tentador pasar directamente a la aplicación de DMARC, si se toma el tiempo para realizar la supervisión ahora, evitará que se pierdan o se eliminen de forma definitiva mensajes importantes cuando el protocolo DMARC ya esté completamente habilitado.

    Estos son los pasos que debe seguir para comenzar a supervisar el tráfico con el protocolo DMARC:

    1. Asegúrese de haber configurado correctamente los protocolos SPF y DKIM.

    2. Cree un registro de DNS.

    El nombre del registro DMARC en formato .txt debería ser similar a «_dmarc.su_dominio.com».

    Ejemplo: «v=DMARC1;p=none; rua=mailto:informesdmarc@su_dominio.com»

    Si es usted quien gestiona el sistema DNS, cree un registro DMARC con el valor «p=none» (modo de supervisión) del mismo modo en que elaboró los registros SPF y DKIM.

    Si no gestiona usted el sistema DNS, pídale a su proveedor de DNS que elabore el registro DMARC.

    3. Verifique su registro DMARC con una herramienta de comprobación específica.

    Nota: Normalmente, el proceso lleva entre 24 y 48 horas.

    Ahora, el protocolo DMARC comenzará a generar informes que le brindarán una gran visibilidad de los mensajes que se envían desde su dominio, incluidos aquellos que estén marcados por los protocolos SPF y DKIM.

    Importante: Aquí podrá ver si el informe incluye remitentes legítimos que anteriormente no se habían incluido en el registro SPF (paso 1). Si incluye remitentes legítimos, asegúrese de actualizar el registro para incluirlos.

    Pero hay un problema: estos informes vienen en un archivo XML que no es muy fácil de leer. A su vez, como deberá pasar mucho tiempo analizando los datos, le recomendamos que use un procesador de informes de DMARC (como este de Valimail) para simplificar la tarea.

    Paso 5: aplique DMARC progresivamente

    Una vez que haya supervisado su correo electrónico durante un tiempo prudencial y crea que identificó los mensajes legítimos que se marcan como no autorizados, podrá comenzar a aplicar el protocolo.

    DMARC ofrece dos niveles de aplicación: «poner en cuarentena» y «rechazar». Naturalmente, «rechazar» es la opción más segura y, por ende, la que recomendamos, pero cualquiera de los dos niveles permitirá que su dominio pueda obtener un certificado VMC.

    No obstante, en vez de pasar directamente a la opción de rechazar, es conveniente que, por un tiempo, establezca que los mensajes no autorizados se pongan en cuarentena. Para eso, siga estos pasos:

    1. Inicie sesión en su servidor de DNS y busque el registro DMARC.

    2. Abra el registro DMARC del dominio especificado y actualice la política de «p=none» a «p=quarantine».

    Ejemplo:

    «v=DMARC1;p=quarantine;pct=10;rua=mailto:informesdmarc@su_dominio.com»

    3. Agregue la etiqueta «pct» (porcentaje de correos sometidos a filtrado). Recomendamos empezar con el 10 % y, luego, aumentar el porcentaje paulatinamente hasta llegar al 100 %.

    Una vez que filtre el 100 % de los mensajes, estará oficialmente en condiciones de adquirir un certificado VMC y de comenzar a rechazar los correos no autorizados.

    Por suerte, este es el paso más sencillo:

    1. Abra el registro DMARC y cambie «p=quarantine» por «p=reject».

    ¡Felicitaciones! Ahora tiene una gran visibilidad de los mensajes que se envían desde su dominio, puede ofrecer una mayor seguridad a todos sus usuarios, goza de una mejor protección contra muchos ataques de phishing y está en condiciones de obtener un certificado VMC (cuando estén disponibles).

    Si desea obtener más información acerca de cómo proteger el acceso a los mensajes de su empresa, consulte nuestra publicación de blog sobre cómo proteger el acceso remoto a los correos electrónicos.