Optimización de la política DMARC: Proteja su marca y aumente la entregabilidad del correo electrónico

Cómo detener la suplantación de identidad del correo electrónico sin perder el correo legítimo

Si es un experto en marketing que gestiona los correos electrónicos de su marca, es muy probable que haya oído hablar de DMARC, sobre todo si alguien le ha advertido sobre la suplantación de identidad, las quejas por spam o la necesidad de BIMI y una mejor entregabilidad. Pero para muchos, DMARC sigue siendo un misterio. Aparece como un registro TXT de aspecto extraño en la configuración de tu dominio. Si has visto algo como esto...

v=DMARC1; p=none;rua=mailto:dmarc-reports@yourdomain.com

... y no estás seguro de lo que hace, este artículo es para ti.

Vamos a desglosarlo todo - en palabras sencillas - y luego le mostraremos cómo optimizar su política DMARC para la seguridad, la reputación de la marca y el rendimiento del correo electrónico.

DMARC se basa en dos métodos de autenticación de correo electrónico más antiguos:

• SPF (Sender Policy Framework): Define qué servidores pueden enviar correo en nombre de su dominio.
• DKIM (DomainKeys Identified Mail): Añade una firma digital a las cabeceras del correo electrónico para verificar que el mensaje no ha sido alterado.

DMARC añade la capa final: aplicación de políticas e informes.

¿Por qué necesita DMARC?

• Evita la suplantación de identidad: Impide que los malos actores envíen correos electrónicos falsos utilizando su dominio (como phishing o estafas).
• Proteja su marca: Si alguien utiliza su dominio para cometer fraude, puede dañar la reputación de su marca.
• Entregabilidad del correo electrónico: Los proveedores de correo electrónico favorecen los correos electrónicos autenticados: DMARC ayuda a que tus correos electrónicos legítimos lleguen a la bandeja de entrada.
• Active BIMI: ¿Quiere que su logotipo aparezca junto a sus correos electrónicos en Gmail o Yahoo? Debe tener una política DMARC sólida (con aplicación).

Anatomía de un registro DMARC

Un registro DMARC es una única línea de texto que se añade a la configuración DNS de tu dominio (normalmente en el panel de control de tu proveedor de alojamiento o registrador de dominios). Veamos este ejemplo

v=DMARC1; p=reject; rua=mailto:reports@yourdomain.com

Ahora vamos a descifrar todas las opciones que puede utilizar:

Los 3 modos de política DMARC

1. p=ninguno

• Sólo supervisar. Los correos electrónicos no se bloquean.
• Utilícelo para empezar a recopilar datos.
• Lo mejor para las primeras 1-3 semanas.

2. p=cuarentena

• Los correos sospechosos van a la carpeta de spam.
• Un buen término medio. Empiezas a filtrar manteniendo el riesgo bajo.

3. p=reject

• Se aplica plenamente. Los proveedores de correo electrónico bloquean los correos no autorizados.
• Su mejor protección, necesaria para BIMI y plena confianza.
• Utilícelo después de verificar que sus remitentes están alineados (mediante informes).

• RUA: Informes agregados diarios (archivos XML) enviados por los proveedores de bandeja de entrada. Muestra quién envía correo electrónico en su nombre, si ha superado o no el SPF/DKIM y de dónde procede.
• RUF: Informes forenses opcionales para fallos individuales (a menudo no se admiten ampliamente debido a problemas de privacidad).

1. Empezar con Monitorización

• Establezca p=ninguno, añada rua=mailto:yourreports@yourdomain.com

• Espere 1-2 semanas, recoja los informes.

2. Analizar quién envía

• Utilice los informes para identificar todos los remitentes legítimos (Mailchimp, Google Workspace, herramientas CRM, etc.).

• Asegúrate de que cada remitente está configurado con SPF y DKIM adecuados.

3. Solucionar problemas de alineación

• Asegúrese de que los registros DKIM y SPF coinciden con su dominio(d= y Return-Path).

• Configure adkim=s y aspf=s para una alineación estricta una vez que esté seguro.

4. Pase a la aplicación de forma gradual

• Comience con p=quarantine; pct=25, luego aumente a 50%, luego a 100%.

• Por último, establezca p=reject cuando se sienta seguro.

5. Mantener y supervisar

• Mantenga activos los informes. Incluso con p=reject, los atacantes pueden probar nuevos trucos.

• Actualice sus registros SPF y DKIM cuando añada nuevas plataformas.

¿Necesita ayuda? Concierte una reunión con nosotros; le ayudaremos a configurarlo todo.

v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:alerts@yourdomain.com; sp=reject; adkim=s; aspf=s; fo=1

Esto indica a los proveedores de bandeja de entrada:

1. 1. Bloquear todos los correos electrónicos no autenticados(p=reject)

2. Enviarle informes diariamente(rua)

3. Sea estricto con la alineación(adkim=s, aspf=s)

4. Aplicar también en los subdominios(sp=reject)