Alineación de Identificadores DMARC

• Para entender la alineación DMARC, necesitamos comprender cómo funciona. Cuando implementas DMARC, vinculas los resultados de SPF y DKIM para autenticar todos los correos electrónicos que provienen de tu dominio. Para cualquier correo electrónico dado, DMARC utiliza lo que se conoce como 'identidad central', que es el dominio encontrado en el encabezado 'From:'. Este se considera el dominio de origen de tu correo electrónico y contendrá el nombre de dominio de tu organización.
• Cuando un correo electrónico de tu dominio llega al servidor receptor, SPF verifica su Ruta de Retorno y DKIM valida la firma cifrada. Ambas verificaciones se realizan por separado en dos dominios diferentes. DMARC toma el resultado de autenticación de cada uno y verifica si el dominio utilizado en SPF o DKIM coincide con el dominio 'From:' (la identidad central). Si cualquiera de los dos es cierto, se logra la alineación DMARC.
• Sin embargo, hay un pequeño problema. Cualquiera, incluidos los criminales, puede comprar un dominio e implementar SPF y DKIM. Entonces, teóricamente, sería posible que alguien envíe un correo electrónico con el dominio de tu organización en la dirección 'From:' (la identidad central) y tenga su propia Ruta de Retorno de dominio para pasar la autenticación SPF. Los usuarios generalmente solo ven la dirección 'From:' y no la Ruta de Retorno, por lo que ni siquiera sabrán que hay una discrepancia entre los dos.

Ahí es donde entra la alineación DMARC. Cuando tu correo electrónico está siendo validado, DMARC verifica 3 identificadores: 

• El encabezado From: 
• La dirección de Ruta de Retorno (Return Path) 
• El nombre de dominio en la firma DKIM 

Si los identificadores de SPF o DKIM están alineados, el correo electrónico logra la alineación DMARC, pasa la autenticación DMARC y se entrega de manera segura en la bandeja de entrada del usuario.

Específicamente, la alineación de SPF y DKIM tiene 2 tipos: 

• Alineación estricta 
• Alineación relajada 

La alineación estricta requiere que los dominios tanto en el encabezado From: como en la Ruta de Retorno (campo "d=" en DKIM) sean una coincidencia del 100%. 

La alineación relajada es más flexible con sus requisitos. Se permiten incluso subdominios, siempre y cuando estén bajo el mismo dominio organizacional (el dominio From:).

La alineación DMARC aborda específicamente las limitaciones de SPF al garantizar que los dominios From: y Return Path coincidan, lo que impide que los atacantes intenten usar dominios diferentes para cada uno.

También resuelve la laguna que puede ser explotada en DKIM al requerir que el encabezado From: coincida también con el dominio proporcionado en la firma DKIM, eliminando la posibilidad de que alguien reenvíe el correo electrónico con campos de encabezado adicionales.