Mejores prácticas para implementar DMARC sin perder entregabilidad

En este artículo discutiremos cómo hemos aplicado con éxito nuestra metodología paso-a-paso » dmarc – relaxed – to – dmarc – strict» en varios clientes financieros, incluyendo bancos regionales y cooperativas crediticias locales.

La protección contra el phishing y la suplantación de identidad es esencial en cualquier organización. En particular, las empresas que manejan información financiera o personal deben asegurarse de que los correos electrónicos enviados desde sus dominios no sean falsificados por terceros malintencionados.

DMARC (Domain-based Message Authentication, Reporting and Conformance) es un estándar técnico diseñado para ayudar a prevenir la suplantación del correo electrónico. La implementación adecuada puede reducir significativamente el volumen de spam enviado con direcciones fraudulentas al tiempo que aumenta la capacidad del servidor SMTP para identificar y bloquear mensajes sospechosos antes incluso lleguen al destinatario.

Introducción a DMARC

El protocolo DMARC actúa como una suerte de escudo protector adicional sobre otras tecnologías antispam ya existentes (tales como SPF – Sender Policy Framework – o DKIM – DomainKeys Identified Mail). Básicamente establece unas reglas muy claras acerca qué servidores pueden enviar correos utilizando nuestro nombre/dominio/nombre comercial; permitiendo así detectar más fácilmente intentonas maliciosas realizadas por cibercriminales.

Mejores prácticas para implementar DMARC sin perder entregabilidad

Muchas empresas temen adoptarlo porque creen erróneamente dos mitos:

1.- Si lo activan todos mis emails serán marcados como spam y los clientes no podrán recibir correos electrónicos de mi marca.
2.- Su implementación es muy compleja.

En realidad, la adopción correcta de DMARC mejora el envío del correo electrónico y reduce significativamente las posibilidades que un mal actor suplante su identidad en sus comunicaciones enviadas por email. Es decir, una vez adoptado correctamente aumentará la entregabilidad al reducirse el volumen de emails fraudulentos existentes (y así evitar bloqueo o eliminación)

Paso a paso para implementar DMARC progresivamente sin perder entregabilidad

Paso 1: Comprobar sus políticas actuales

Antes que nada debemos revisar nuestra configuración DNS actual para asegurarnos que SPF esté activo junto con DKIM. Si aún no se han implementado estos dos protocolos primero deberá hacerlo antes de continuar con DMARC.

SPF valida quién puede enviar mensajes desde nuestro dominio basándose en registros específicos creados dentro del registro DNS correspondiente a dicho dominio; mientras tanto DKIM utiliza criptografía asimétrica para verificar si los mensajes recibidos son autenticados originalmente por quien dice haberlos enviado (esto permite detectar intentonas phishing). Puede encontrar interesante este otro artículo ¿Por qué es importante el SPF para la seguridad de email?

Una vez comprobada esta información procederemos entonces a crear nuevos registros TXT adicionales necesarios para habilitar DMARC. Este paso incluye añadir reglas simples donde indicaremos acciones acerca qué debe pasar cuando alguien reciba un mensaje fraudulento haciéndose pasar por nuestra empresa o por nosotros.

Paso 2: Implemente dmarc-relaxed

Ahora vamos a empezar lentamente modificando nuestras reglas utilizando «dmarc relajado». Esta primera fase permitirá establecer gradualmente cambios sin afectara negativamente nuestros procesamientos diarios normales

Con este modo estamos diciendo explícitamente al servidor de correo del destinatario que no bloquee ni rechace ningún mensaje fraudulento, sino solo marcarlos como «fallidos». Esto es útil para analizar el volumen de mensajes fallidos y determinar qué direcciones IP son las más usadas por los atacantes.

Paso 3: Verifique sus informes

Es tiempo entonces de verificar si se están generando reportes DMARC. Al habilitar esta opción podemos recibir informes diarios o semanales sobre cuántos correos electrónicos han sido enviados en nuestro nombre desde distintas fuentes; así podremos ver cómo cambia esto con el paso del tiempo. Conozca la herramienta DMARC que puede obtener gratuitamente con la plataforma DANAconnect.

Si todo ha ido bien deberíamos empezar a ver un aumento constante en la cantidad de emails auténticos (conforme disminuye la cantidad detectada como fraudulentas). En este punto probablemente ya tengamos una idea clara acerca quienes son nuestros principales remitentes legítimos y aquellos que intentan suplantar nuestra identidad.

Paso 4: Implemente dmarc-strict gradualmente

Finalmente llega momento activemos DMARC estrictamente bloqueando todos los mensajes sospechosos marcándolos automáticamente como «fail» al igual que cualquier email enviado sin autorización explícita será descartado directamente..

Sin embargo debemos hacerlo poco a poco, afinando nuestras reglas antes de volvernos demasiado restrictivos. De lo contrario podríamos afectar negativamente algunos procesamientos críticos u obligatorios pero aún desconocido por nosotros.

Comience estableciendo políticas menos agresivas primero mientras observa cuidadosamente su tráfico entrante/saliente durante unos tiempo hasta estar seguro. Probablemente tenga que iterar varias veces entre el paso 3 y el paso 4.

Conclusión

La implementación de DMARC es una tarea crítica en la protección contra el phishing y suplantación de identidad. Su adopción, sin embargo, debe ser gradual y cuidadosa para evitar afectar negativamente los procesos diarios normales.

Nuestra metodología «dmarc-relaxed-to-dmrac-strict» ha demostrado ser efectiva en clientes financieros al reducir significativamente el volumen de spam enviado con direcciones fraudulentas mientras aumenta nuestra capacidad del servidor SMTP para identificar y bloquear mensajes sospechosos antes incluso lleguen al destinatario (ni siquiera a la bandeja de spam).

Esperamos que este artículo sea un buen punto partida hacia la mejora continua acerca cómo puede mejorar sus prácticas seguridad email mediante DMARC relajado a DMARC estricto progresivo paso-a-paso.

Puede también interesarle:
Configuración DMARC

¡Comparta nuestro contenido!

A menos que se indique lo contrario, se puede re-publicar los artículos de este blog de forma gratuita bajo una licencia Creative Commons. En la parte superior del texto de su historia, incluya una línea que diga: «Esta historia fue publicada originalmente por https://www.danaconnect.com» y debe vincularla a la URL original de la historia.

Sobre DANAconnect

DANAconnect es una plataforma SaaS fundada en 2012 que ayuda al ecosistema financiero a automatizar las comunicaciones diarias con sus clientes y el seguimiento en los procesos de marketing, ventas, cobros, alertas transaccionales y servicio al cliente.

La plataforma, basada completamente en la nube, incluye módulos para la gestión centralizada de datos de clientes, envío de comunicaciones y entrega de documentos a través de canales digitales: email, SMS, llamadas automáticas y push.

Igualmente, incluye varios servicios API, desarrollados bajo estándares de la industria, que permiten la integración con prácticamente cualquier sistema externo que también utilice API, incluidos core de seguros y canales emergentes como WhatsApp, Messenger, Telegram, etc.

Estas API están diseñadas para responder a la omnicanalidad y a los más comunes usos en la industria como son el autoservicio de información y documentos, firma digital, actualización de datos entrantes y salientes, contraseñas de un sólo uso y validaciones de identidad con múltiples factores.

La gestión centralizada de las automatizaciones se realiza a través de un diseñador visual, low code, que permite la creación de flujos lógicos sin necesidad de programación. Estos flujos integran todos los canales digitales con filtros, eventos y temporizadores para reaccionar y tomar la siguiente acción en función de las interacciones con los clientes.

Además de los flujos inteligentes y la tecnología de vanguardia entre canales, DANAconnect agrega funcionalidades diseñadas específicamente para la industria financiera que garantizan la seguridad, la gobernabilidad, el cumplimiento y la auditoría.

Todos los meses DANAconnect envía al menos una comunicación al 9.8% de la población de las Américas.

Más de 90 Instituciones Financieras validan nuestras soluciones