Agregar registro DMARC a DNS
¿Qué es un registro DMARC y cómo puedo añadir DMARC a mi DNS? Un registro DMARC contiene instrucciones importantes sobre cómo los servidores de correo deben manejar los mensajes que fallan en la autenticación del correo electrónico.
En este artículo, utilizaremos ejemplos para explicar qué es un registro DMARC y mostrarle cómo añadir un registro DMARC a su DNS.
¿Estás listo? ¡Entonces comencemos!
¿Qué es un registro DMARC?
Un registro DMARC es un registro TXT que contiene instrucciones sobre cómo un servidor de correo electrónico debe manejar un correo electrónico que no se autentica. DMARC (Domain-based Message Authentication, Reporting and Conformance) está diseñado para reducir el abuso del correo electrónico. Los registros DMARC le permiten controlar si los destinatarios de correo electrónico deben rechazar, poner en cuarentena o no manejar un correo electrónico sospechoso.
¿Cómo funciona DMARC?
DMARC aprovecha dos protocolos de autenticación de correo electrónico existentes (SPF y DKIM) para ayudar a los destinatarios de correo electrónico a determinar la autenticidad de un mensaje y decidir si entregar el mensaje en la bandeja de entrada o moverlo a una carpeta de cuarentena o spam, de acuerdo con las directrices establecidas por el remitente.
Es importante crear un registro DMARC porque ayuda a los servidores a distinguir los correos electrónicos legítimos de los falsos. Esto minimiza las amenazas cibernéticas como el phishing, la suplantación de identidad por correo electrónico y el fraude del CEO. Por eso debe crear un registro DMARC para garantizar una mejor seguridad del correo electrónico.
DMARC – Políticas y Parámetros
Un registro DMARC típico contiene al menos tres componentes importantes (o pares etiqueta-valor). A continuación, se muestra un ejemplo de un registro DMARC:
v=DMARC1; p=reject; rua=mailto:contact@joewp.com
Aquí tenemos tres etiquetas: v, p y rua con los valores DMARC1, reject y mailto: contact@joewp.com.
La etiqueta v indica la versión de DMARC, la etiqueta p es la política (o la acción a tomar si los correos electrónicos no superan las comprobaciones DMARC), y la etiqueta rua es la dirección de correo electrónico en la que desea recibir informes DMARC agregados.
En nuestro ejemplo, la etiqueta p tiene el valor “reject”. La política aquí define un rechazo cuando se produce un error en la autenticación de un mensaje.
DMARC – Directrices
Hay tres políticas DMARC diferentes
Ninguno , sin medidas
Cuarentena : trate el correo electrónico en cuestión como sospechoso y, por ejemplo, márquelo en consecuencia o muévalo a la carpeta de correo no deseado.
Rechazar : rechaza el correo electrónico en cuestión
DMARC – Parámetros opcionales
Parámetros opcionales que puede utilizar:
sp = política para los subdominios
pct = el porcentaje de mensajes de correo electrónico a los que se debe aplicar la política DMARC, el valor predeterminado es 100 por ciento
rua = lista separada por comas de direcciones de correo electrónico a las que se debe enviar el informe general
ri = máx. Intervalo en segundos, que puede existir entre el envío de los informes totales individuales, el valor predeterminado es “86400” segundos = 24 horas
ruf = lista de direcciones de correo electrónico separadas por comas para enviar un informe detallado de los mensajes de correo electrónico que no han superado la evaluación DMARC
RF = Formato para el informe detallado, el formato predeterminado y actualmente solo admitido es “AFRF”
fo = opciones de informe detalladas, las opciones son “0”, “1”, “d” y “s”, varias opciones están separadas por dos puntos,
Por ejemplo, “fo=0:s”, el valor predeterminado es “fo=0”
fo=0 – se genera un informe cuando se violan SPF y DKIM
fo=1 – se genera un informe si se viola SPF o DKIM
fo=d – se genera un informe si se viola DKIM
fo=s – se genera un informe cuando se viola el SPF
adkim = modo de coincidencia DKIM, el valor predeterminado es “r”
s (modo estricto): el dominio de la firma DKIM y el dominio del encabezado del correo electrónico FROM deben coincidir
R (modo relajado): también se puede usar un subdominio
aspf = modo de coincidencia SPF, el valor predeterminado es “r”
s (modo estricto): los dominios del FROM del encabezado del correo electrónico y el llamado sobre SMTP deben coincidir
R (modo relajado): también se puede usar un subdominio
Uso de SMTP de correo
Si utilizas WP Mail SMTP para procesar tus correos electrónicos de WordPress, se te notificará si DMARC no está configurado correctamente en tu dominio. También puede ver un error como “No se encontró ningún registro DMARC”.
Los siguientes pasos te ayudarán a resolver el problema.
Cómo crear un registro DMARC
Vamos a repasar el proceso paso a paso de la configuración de un registro DMARC en su dominio. Le mostraremos cómo crear un conjunto de datos genérico que funcione con cualquier host.
Compruebe su ADN con un analizador DMARC
Si no está seguro de haber configurado un registro TXT DMARC en su sitio web, puede utilizar un comprobador DMARC como MXToolbox. Esto le permite escanear sus registros DNS.
https://mxtoolbox.com/SuperTool.aspx?
Introduzca su nombre de dominio en el campo de entrada y haga clic en el botón Búsqueda DMARC.
Cree su nuevo registro TXT DMARC
En esta sección, le mostraremos cómo copiar y pegar un registro DMARC que funcione con cualquier host.
Usando nuestro ejemplo, es fácil agregar un registro DMARC manualmente.
Un registro DMARC es un registro TXT que comienza con: “_dmarc.”, por lo que en el tipo Opción TXT.
En el campo Nombre, busque “_dmarc.” con un punto (punto) al final. Sin embargo, algunos anfitriones no necesitan el punto. En ese caso, simplemente puede eliminarlo si ve un error. En este caso, se utiliza: “_dmarces” sin el punto.
Por ejemplo, en el campo grande del registro DNS, introduzca este registro DMARC:
v=DMARC1; p=none; fo=1; rua=mailto:me@example.com
Esto es lo que hace esta regla:
Usamos p = none porque es la configuración menos restrictiva. Seguirás recibiendo informes por correo electrónico si hay un problema con tu DNS, pero es poco probable que la entrega de tu propio correo se vea afectada. Si recibe informes DMARC sospechosos, puede cambiar esta parte de la regla a p=quarantine.
Asegúrese de cambiar la parte “rua=mailto:me@example.com” con su dirección de correo electrónico.
Si el método de autenticación (DKIM o SPF) no está alineado con su registro DMARC, la regla fo=1 se generará con un informe forense con detalles del evento.
Básicamente, la configuración TTL (Time to Live) es como una fecha de vencimiento para su DNS. Recomendamos establecer esta configuración en Auto, que suele ser de 4 horas. El ajuste no es decisivo y se puede ajustar individualmente a otro valor, por ejemplo, 24 horas o 14400.
Es posible que algunos proveedores soliciten una regla de segmentación. Sin embargo, puedes descartarlos sin dudarlo. No es un criterio para que su registro de texto DMARC funcione.
En nuestro sitio web joewp.com, nuestro registro DMARC terminado es el siguiente:
v=DMARC1; p=reject; rua=mailto:contact@joewp.com; ruf=mailto:contact@joewp.com; adkim=s; aspf=r
¿Cuánto tiempo tarda en estar activo el registro DMARC?
Por lo general, su registro DMARC tarda algún tiempo en propagarse
Si realizas cambios en el DNS de tu sitio web, los cambios pueden tardar hasta 48 horas en surtir efecto.
Comprobación del funcionamiento de su registro DMARC
A continuación, puede utilizar un comprobador DMARC basado en la web como MXToolbox para comprobar si los registros se han aplicado correctamente.
La regla DMARC debería aparecer en una barra verde. Esto te demostrará que las reglas funcionan.
Comprobación de SMTP de correo en WordPress
A continuación, puedes comprobar en el panel de control de WordPress en “WP Mail SMTP” (WP Forms) si la configuración es correcta y si el envío de los correos funciona perfectamente. Simplemente envíe un correo electrónico de prueba a una de sus direcciones de correo electrónico. Si todo va bien, recibirás el mensaje “¡Éxito! ¡El correo de prueba se ha enviado con éxito! Por favor, revise su bandeja de entrada para asegurarse de que el correo electrónico se haya entregado correctamente”. como se muestra en la captura de pantalla a continuación.
Registro DMARC y SPF + DKIM con el proveedor all-inkl.com
Si mantienes tu sitio web con el host de dominio “all-inkl.com”, sigue estos pasos:
Para configurar DMARC, necesitará un registro SPF y DKIM de antemano.
Crear registro SPF en all-inkl.com
Aquí tienes una guía sobre cómo crear un registro SPF en all-inkl.com: https://all-inkl.com/wichtig/anleitungen/kas/tools/dns-werkzeuge/spf_482.html
Cree una entrada DKIM para all-inkl.com
Las siguientes instrucciones explican cómo crear un registro DKIM: https://all-inkl.com/wichtig/anleitungen/kas/tools/dns-werkzeuge/dkim-bei-versand-ueber-unsere-mailserver_541.html
Crear un registro DMARC en all-inkl.com
Con DMARC, puede proporcionar recomendaciones sobre cómo debe manejar un servidor de destinatarios un correo electrónico en caso de violaciones de SPF y DKIM. También tiene la opción de ser informado en caso de infracciones.
Paso 1
Todos los correos electrónicos enviados a través de los buzones de correo de su KAS (administración técnica) están firmados digitalmente y pueden ser verificados para su autenticidad por un servidor de correo receptor. Una clave DKIM se almacena en el servidor de nombres en all-inkl.com. La firma DKIM de un correo electrónico solo puede garantizar que un correo electrónico llegue a un destinatario sin cambios. No hay una evaluación con respecto al spam.
Paso 2
Para activar DKIM para su dominio, haga clic en Dominio en el KAS (administración técnica) y edite su dominio allí.
Paso 3
Para la firma DKIM, establezca la selección en “habilitado” y guarde el cambio.
Paso 4
En el KAS (administración técnica) en Herramientas -> Configuración de DNS, encontrará una entrada similar a la de la imagen de arriba.
Resultado
Con DMARC, puede bloquear los ataques de malware y phishing y mejorar la capacidad de entrega de sus correos electrónicos. Una vez que lo haya habilitado, un registro DMARC garantiza que solo los remitentes autorizados estén autorizados a enviar mensajes.
De este modo, los destinatarios pueden reconocer inmediatamente de quién procede realmente el correo electrónico. De esta manera, puede estar seguro de que su dominio no se está utilizando ilegalmente para spam o phishing.