Desafíos y Mejores prácticas para implementar DMARC sin perder entregabilidad

En este artículo discutiremos cómo aplicamos con éxito nuestra metodología paso-a-paso » dmarc – relaxed – to – dmarc – strict» en varios clientes financieros, incluyendo bancos regionales y cooperativas crediticias locales.

La protección contra el phishing y la suplantación de identidad es esencial en cualquier organización. En particular, las empresas que manejan información financiera o personal deben asegurarse de que los correos electrónicos enviados desde sus dominios no sean falsificados por terceros malintencionados.

DMARC (Domain-based Message Authentication, Reporting and Conformance) es un estándar técnico diseñado para ayudar a prevenir la suplantación del correo electrónico. La implementación adecuada puede reducir significativamente el volumen de spam enviado con direcciones fraudulentas al tiempo que aumenta la capacidad del servidor SMTP para identificar y bloquear mensajes sospechosos antes incluso lleguen al destinatario.

Actualización a Enero de 2024:
Este artículo es de abril de 2023, sin embargo desde febrero de 2024, la implementación de DMARC es un requisito de Google y Yahoo para poder hacer envíos hacia sus servidores de email sin problemas.

Introducción a DMARC

El protocolo DMARC actúa como una suerte de escudo protector adicional sobre otras tecnologías antispam ya existentes (tales como SPF – Sender Policy Framework – o DKIM – DomainKeys Identified Mail). Básicamente establece unas reglas muy claras acerca qué servidores pueden enviar correos utilizando nuestro nombre/dominio/nombre comercial; permitiendo así detectar más fácilmente intentonas maliciosas realizadas por cibercriminales.

Mejores prácticas para implementar DMARC sin perder entregabilidad

Muchas empresas temen adoptar DMARC porque creen erróneamente dos mitos:

1.- Si lo activan todos mis emails serán marcados como spam y los clientes no podrán recibir correos electrónicos de mi marca.
2.- Su implementación es muy compleja.

En realidad, la adopción correcta de DMARC mejora el envío del correo electrónico y reduce significativamente las posibilidades que un mal actor suplante su identidad en sus comunicaciones enviadas por email. Es decir, una vez adoptado correctamente aumentará la entregabilidad al reducirse el volumen de emails fraudulentos existentes (y así evitar bloqueo o eliminación)

Otras empresas implementan DMARC y consiguen problemas graves por:

No tener un inventario exhaustivo de servidores que hacen envíos de email. Esto puede incluir todo tipo de fuentes, que pueden manejar en muchos casos procesos críticos. Desde servidores de envío A2P, escáneres con envío de email, proveedores externos como quienes envían facturas o documentos a nombre de su compañía, proveedores externos de puntos de venta, SaaS que algún departamento ha configurado desde la sombra… la lista puede ser infinita.

Paso a paso para implementar DMARC progresivamente sin perder entregabilidad

Paso 1: Comprobar sus políticas actuales

Antes que nada debemos revisar nuestra configuración DNS actual para asegurarnos que SPF esté activo junto con DKIM. Si aún no se han implementado estos dos protocolos primero deberá hacerlo antes de continuar con DMARC.

SPF valida quién puede enviar mensajes desde nuestro dominio basándose en registros específicos creados dentro del registro DNS correspondiente a dicho dominio; mientras tanto DKIM utiliza criptografía asimétrica para verificar si los mensajes recibidos son autenticados originalmente por quien dice haberlos enviado (esto permite detectar intentonas phishing). Puede encontrar interesante este otro artículo ¿Por qué es importante el SPF para la seguridad de email?

Una vez comprobada esta información procederemos entonces a crear nuevos registros TXT adicionales necesarios para habilitar DMARC. Este paso incluye añadir reglas simples donde indicaremos acciones acerca qué debe pasar cuando alguien reciba un mensaje fraudulento haciéndose pasar por nuestra empresa o por nosotros.

Paso 2: Implemente dmarc-relaxed

Ahora vamos a empezar lentamente modificando nuestras reglas utilizando «dmarc relajado». Esta primera fase permitirá establecer gradualmente cambios sin afectara negativamente nuestros procesamientos diarios normales

Con este modo estamos diciendo explícitamente al servidor de correo del destinatario que no bloquee ni rechace ningún mensaje fraudulento, sino solo marcarlos como «fallidos». Esto es útil para analizar el volumen de mensajes fallidos y determinar qué direcciones IP son las más usadas por los atacantes.

Paso 3: Verifique sus informes

Es tiempo entonces de verificar si se están generando reportes DMARC. Al habilitar esta opción podemos recibir informes diarios o semanales sobre cuántos correos electrónicos han sido enviados en nuestro nombre desde distintas fuentes; así podremos ver cómo cambia esto con el paso del tiempo. Conozca la herramienta DMARC que puede obtener gratuitamente con la plataforma DANAconnect.

Si todo ha ido bien deberíamos empezar a ver un aumento constante en la cantidad de emails auténticos (conforme disminuye la cantidad detectada como fraudulentas). En este punto probablemente ya tengamos una idea clara acerca quienes son nuestros principales remitentes legítimos y aquellos que intentan suplantar nuestra identidad.

Paso 4: Implemente dmarc-strict gradualmente

Finalmente llega momento activemos DMARC estrictamente bloqueando todos los mensajes sospechosos marcándolos automáticamente como «fail» al igual que cualquier email enviado sin autorización explícita será descartado directamente..

Sin embargo debemos hacerlo poco a poco, afinando nuestras reglas antes de volvernos demasiado restrictivos. De lo contrario podríamos afectar negativamente algunos procesamientos críticos u obligatorios pero aún desconocido por nosotros.

Comience estableciendo políticas menos agresivas primero mientras observa cuidadosamente su tráfico entrante/saliente durante unos tiempo hasta estar seguro. Probablemente tenga que iterar varias veces entre el paso 3 y el paso 4.

Conclusión

La implementación de DMARC es una tarea crítica en la protección contra el phishing y suplantación de identidad. Su adopción, sin embargo, debe ser gradual y cuidadosa para evitar afectar negativamente los procesos diarios normales.

Nuestra metodología «dmarc-relaxed-to-dmrac-strict» ha demostrado ser efectiva en clientes financieros al reducir significativamente el volumen de spam enviado con direcciones fraudulentas mientras aumenta nuestra capacidad del servidor SMTP para identificar y bloquear mensajes sospechosos antes incluso lleguen al destinatario (ni siquiera a la bandeja de spam).

Esperamos que este artículo sea un buen punto partida hacia la mejora continua acerca cómo puede mejorar sus prácticas seguridad email mediante DMARC relajado a DMARC estricto progresivo paso-a-paso.

Puede también interesarle:
Configuración DMARC

Acerca del autor del artículo

El contenido de este artículo se puede compartir y re-publicar, siempre que se reconozca su origen. Incluya el URL original y una referencia clara a que fue originalmente publicado en el Blog de DANAconnect.