Implementación DMARC 101

En primer lugar me gustaría aclarar, para lo que no lo saben, que ese "101" en el título de las notas es una expresión anglosajona para describir una clase, un libro o una nota en este caso como "para principiantes".

En segundo lugar, esta nota es la continuación a: Seguridad de Dominio 101 1.0. De toda formas les hago un brevisimo resumen.

Para que un dominio sea seguro por completo, debe tener bien configurados 3 protocolos: SPF, DKIM & DMARC. Son todos complementarios, uno no puede existir sin el otro para bloquear aquellos que quieren suplantar nuestra identidad.

¿Que es DMARC¿

Esta sigla, que en español se traduce como "Dominio basado en la autenticación de mensajes", es un elemento disruptivo en las comunicaciones por email. Correctamente configurado, permite determinar políticas de acción contra emails sospechosos. Tales como:

• None: No hacer nada con ese correo. Sirve para confeccionar reportes.
• Quarentine: Enviar el correo a la carpeta de correo no deseado. Nada novedoso.
• Reject: Rechazar el correo que proviene de servidores no autorizados. Los remitentes habilitados están listados en el registro SPF.

Entonces, si configurando 3 protocolos, que implican 3 registros en el DNS de un dominio, muchas empresas se ahorrarían muchos dolores de cabeza ¿Por qué solo unas pocas lo implementan?

En algunos casos es por desconocimiento de este tipo de reglas de seguridad. En otros, es por negligencia, ya que no comprenden los beneficios de un dominio seguro. Pero en otros, donde en el organigrama de la compañía encontramos departamentos dedicados a Sistemas e incluso a Seguridad de la Información, que tienen presente lo importante de ello, la historia es otra.

Resulta que para poder habilitar una política de "rechazar". Primero debo saber cuáles son mis servidores de envío legítimos. Esa es la clave. Dependiendo del tamaño de la empresa, las fuentes de correo pueden ser muchas más de las que imaginamos. Por ejemplo:

• Servidor de correo electrónico corporativo
• Servidor del proveedores de email marketing
• Servidor del sitio web
• Servidor del e-commerce
• Servidor de la App mobile.
• Servidor del Home Banking (en el caso de un banco)
• Servidores puntuales de las distintas sucursales de la empresa alrededor del país.
• Etc. Etc.

Para tener en cuenta. Muchos de estos servidores son de empresas tercerizadas, por lo que es posible que ni se tenga conocimiento de su existencia hasta querer avanzar con DMARC.

Para que quede claro. Si omitimos alguna fuente de correo e implementamos una política de "rechazar", muchos correos van a dejar de llegar a destino. Y, en el mejor de los casos, voy a detectarlo a tiempo, pero ¿qué pasa si no? ¿si dejo afuera varios servidores? Hay muchos escenarios posibles.

Este trabajo de investigación y recopilación de información puede llevar tiempo y recursos para una compañía. Es por esto que muchas empresas desisten. Pero afortunadamente la tecnología avanza y hay novedosas plataformas que automatizan todo el proceso de análisis del dominio y permiten aplicar DMARC con acción de "rechazar" en pocos pasos, sin dolores de cabeza y con monitoreo permanente ante nuevas fuentes de correo que puedan surgir.

Cierro esta nota con dos ejemplos de los reportes que se deberían analizar para implementar DMARC por completo. El primero es uno de los tantos que recibirían al hacer todo de forma manual:

El segundo es un informe automático que podrían ver utilizando la plataforma Sendmarc:

¿Cual de los dos prefieren?

¡Hasta la próxima!