Implementación del protocolo DMARC (y II)
En la primera parte se analizaron los objetivos del protocolo DMARC y cómo el mismo se puede utilizar para asegurar la autenticidad del origen de un correo electrónico. A continuación se analizará la anatomía de un registro DMARC en los DNS y cómo se debe realizar su implementación.
Las políticas DMARC aparecen en el DNS como texto (TXT), registros de recursos (RR) y avisa lo que debe hacer un receptor con los correos no alineados que recibe.
Consideremos un ejemplo DMARC con registros TXT y RR, para el dominio "sender.dmarcdomain.com" con:
En este ejemplo, el remitente solicita que el receptor rechace abiertamente todos los mensajes no alineados y envíe un informe, sobre el rechazo a una dirección concreta. Si el remitente estaba probando su configuración, podría sustituir "reject" por "quarantine" e indicarle al receptor que no necesariamente debe rechazar el mensaje, pero que tenga en cuenta ponerlo en cuarentena.
Este registro se puede observar fácilmente al hacer una consulta DNS por tipo de registro "TXT":
Los registros DMARC siguen la sintaxis "tag-value" para los registros DNS basados en claves definidas en DKIM. La siguiente tabla ilustra algunas de las etiquetas disponibles:
Nota: Los ejemplos de la tabla son sólo ilustrativos y no deben ser considerados en lugar de la especificación. Por favor, consulte la página de especificaciones para información más actualizada y precisa.
Mauro D. Gioino de la Redacción de Segu-Info
Las políticas DMARC aparecen en el DNS como texto (TXT), registros de recursos (RR) y avisa lo que debe hacer un receptor con los correos no alineados que recibe.
Consideremos un ejemplo DMARC con registros TXT y RR, para el dominio "sender.dmarcdomain.com" con:
"v=DMARC1;p=reject;pct=100;rua=mailto:[email protected]" En este ejemplo, el remitente solicita que el receptor rechace abiertamente todos los mensajes no alineados y envíe un informe, sobre el rechazo a una dirección concreta. Si el remitente estaba probando su configuración, podría sustituir "reject" por "quarantine" e indicarle al receptor que no necesariamente debe rechazar el mensaje, pero que tenga en cuenta ponerlo en cuarentena.
Este registro se puede observar fácilmente al hacer una consulta DNS por tipo de registro "TXT":
$ nslookup
> set type=TXT
> _dmarc.dmarc.org
Non-authoritative answer:
_dmarc.dmarc.org text = "v=DMARC1\; p=none\; pct=100\; rua=mailto:[email protected]\; ruf=mailto:[email protected]"
Los registros DMARC siguen la sintaxis "tag-value" para los registros DNS basados en claves definidas en DKIM. La siguiente tabla ilustra algunas de las etiquetas disponibles:
Nota: Los ejemplos de la tabla son sólo ilustrativos y no deben ser considerados en lugar de la especificación. Por favor, consulte la página de especificaciones para información más actualizada y precisa.
Cómo implementar DMARC en 5 pasos
DMARC ha sido diseñado en base a la experiencia real de algunos de los emisores y receptores más grandes del mundo que ya implementan SPF y DKIM. Hay un número de métodos integrados para facilitar el procesamiento de DMARC, de modo que todas las partes pueden facilitar el despliegue en el tiempo. Entonces, los pasos serían los siguientes:- Implementar DKIM y SPF.
- Estar seguros que los anuncios publicitarios se están alineando correctamente con los identificadores apropiados.
- Publicar un registro DMARC con el flag "monitor" establecido por la política, pidiendo informes de datos.
- Analizar los datos y modificar los flujos de e-mails, según corresponda.
- Modificar las banderas de las políticas DMARC de "monitor" para "cuarentena" o para "rechazar" en base a la experiencia que vaya adquiriendo.
- Segment 1: What is DMARC?
- Segment 2: DMARC Identifier Alignment
- Segment 3: DMARC Policy Records
- Segment 4: DMARC Reporting
- Segment 5: DMARC Information for Mailbox Providers
- Segment 6: DMARC Information for Domain Owners and Third Parties
Mauro D. Gioino de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!