¿Qué es la "Verificación de Destino Externo" de DMARC?
¿Sabías que puedes recibir informes de DMARC fuera de tu propio dominio? Sí, es posible enviar tus informes de DMARC a una dirección de correo electrónico que no esté dentro del alcance de tu propio dominio mediante la Verificación de Destino Externo de DMARC.
Si eres dueño del dominio company.com, puedes enviar tus informes a una dirección (por ejemplo) rua@mailreports.net, donde company.com no tiene autoridad sobre mailreports.net y son dos dominios completamente separados.
Sin embargo, para lograr esto, el dominio receptor de informes (mailreports.net) debe proporcionar la aprobación de que está de acuerdo en recibir informes que contienen los datos de DMARC de tu dominio (company.com).
El método que hace posible esto se denomina "Verificación de Dominio Externo", y hoy estaremos discutiendo qué es y cómo te ayuda en tu trayectoria de autenticación.
Verificación de Dominio Externo de DMARC – Explicación
Imaginemos que eres dueño del dominio company.com y tienes DMARC habilitado para tu dominio. Ahora deseas recibir información sobre las fuentes de envío de tus correos electrónicos a través de informes agregados de DMARC, pero para evitar llenar de informes innecesarios la bandeja de entrada de tus dominios y subdominios internos, quieres redirigir esos informes a un destino externo, por ejemplo, mailreports.net.
Esta es una táctica común utilizada por las empresas que tienen múltiples dominios registrados, terceros y un flujo voluminoso de información hacia y desde sus dominios.
Para lograrlo, tu registro DMARC posterior se vería algo así:
v=DMARC1; p=quarantine; rua=mailto:rua@mailreports.net
El tag rua especifica la dirección de correo electrónico donde recibirás tus informes de DMARC. Pero ten en cuenta que solo porque tengas un registro publicado en tu DNS solicitando que tus datos se envíen a mailreports.net, no significa que así será. No es tan simple.
El dominio receptor del informe debe otorgar consentimiento digital para recibir los informes de company.com; de lo contrario, no se pueden enviar. Esto se conoce como Verificación de Dominio Externo o Verificación de Destino Externo.
¿Por qué se requiere la Verificación de Destino Externo? Amenazas y vulnerabilidades potenciales
Las siguientes razones pueden llevarte a optar por la Verificación de Dominio Externo:
- Eres dueño de un dominio que no opera ningún servidor de correo electrónico.
- Sin verificación de dominio externo, los ciberatacantes pueden crear fácilmente un registro DMARC mencionando un dominio externo (de una víctima) para recibir informes. Los informes de todos los correos electrónicos maliciosos enviados por el atacante ahora inundarán la bandeja de entrada de la víctima.
A través de la Verificación de Destino Externo, se puede evitar que los actores de amenazas logren sus acciones maliciosas, y los propietarios de dominios pueden dirigir informes a un dominio externo que opere servidores de correo electrónico.
¿Cómo funciona la Verificación Externa de Dominios?
Verificación de Destinos de Reporte Externos
Cuando un dominio con un registro DMARC publicado envía un correo electrónico, el servidor receptor del correo verifica si el dominio organizacional en el cual se ha publicado el registro es una coincidencia exacta con el dominio organizacional mencionado en la etiqueta rua (o ruf) del registro DMARC.
Si no coincide, y se ha especificado un dominio externo para recibir informes, se inicia el proceso de verificación.
Para hacerlo, se consulta el DNS del host que recibe el informe para verificar si han consentido recibir los informes. Si se encuentra un registro DMARC que lo certifique en su DNS, la verificación pasa y los informes se envían al dominio externo. Si falla, los informes no se entregan.
A veces, debido a tiempos de espera en DNS y otros problemas menores, puede ocurrir un error temporal que impida a los servidores receptores completar temporalmente el proceso de verificación de destino externo. Sin embargo, se vuelve a intentar más tarde.
Configuraciones de Verificación de Destino Externo para dominios específicos (y subdominios)
Vamos a tomar nuestro ejemplo anterior para determinar cómo asegurar que tu proceso de verificación de destino externo no devuelva un resultado de error para tus dominios específicos y subdominios.
Nombre de dominio de ejemplo: company.com
Dominio receptor de informes externos de ejemplo: mailreports.net
Se necesita publicar un registro DMARC en el dominio mailreports.net con la siguiente información:
Campo | Descripcion | Valor |
Host | Este es el lugar donde publicas el registro | company.com._report._dmarc.mailreports.net |
Value | El valor de tu registro TXT | v=DMARC1; |
Nota: Reemplaza los nombres de dominio con tu propio dominio y cualquier dominio externo en el que desees recibir tus informes. Este registro NO debe ser publicado en tu dominio, sino en el dominio externo al cual deseas enviar tus informes.
¡Y listo! Durante la verificación de destino externo, esto informará ahora a los servidores receptores de correo electrónico que el dominio externo preferido mencionado en la etiqueta rua o ruf sí ha consentido recibir informes DMARC en nombre de tu dominio.
Configuraciones Opcionales para la Verificación de Destino Externo
En lugar de publicar el registro mencionado anteriormente para dar permiso a dominios específicos para enviar informes a su dirección, los dominios externos a menudo utilizan un registro comodín (que comienza con un asterisco "*").
Esto es simplemente un atajo para evitar esfuerzo adicional, ya que un registro comodín básicamente indica que el dominio externo está consintiendo recibir informes DMARC de CUALQUIER dominio (y no solo de tu dominio específico).
A continuación se muestra la sintaxis (ejemplo) de un registro comodín utilizado para la verificación de dominio externo:
Campo | Descripcion | Valor del Registro Comodín |
Host | Este es el lugar donde publicas el registro | *._report._dmarc.domain.com |
Value | El valor de tu registro TXT | v=DMARC1; |
Riesgos potenciales asociados con el uso de entradas comodín
El uso de entradas comodín para la verificación de dominio externo no es una práctica recomendada y conlleva riesgos potenciales. Esto se debe a que cuando un dominio consiente en recibir informes de cualquier dominio, los actores malintencionados pueden usar esto para enviar correos no deseados a cuentas de correo electrónico con informes masivos desde dominios maliciosos sin ningún mecanismo para regular o filtrar los informes. Esto puede ser potencialmente perjudicial para el dominio que recibe los informes, y también causar problemas para ti que estás utilizando ese dominio para recibir tus propios informes.
Protocolos estándar de correo electrónico: SMTP, POP3 e IMAP Free4 m- ¿Qué es la seguridad del correo electrónico? Free3 m
- Prácticas de Seguridad del Correo Electrónico Free4 m
- Construyendo un Modelo de Cumplimiento de Seguridad de Correo Electrónico Free7 m
- Lista de verificación de seguridad del correo electrónico corporativo Free4 m
- ¿Cuál es la diferencia entre la seguridad del correo electrónico entrante y la seguridad del correo electrónico saliente? Free4 m
- ¿Qué es la Seguridad de la Información? Free5 m
- Modelo de Seguridad Zero Trust Free4 m
- ¿Qué es la Alineación SPF? Free4 m
- ¿Cómo configurar el registro SPF de Microsoft Office 365? Free4 m
- ¿Cómo configurar el registro SPF de Google Workspace? Free2 m
- ¿Cómo configurar el registro SPF de MailChimp? Free3 m
- ¿Cómo configurar el registro SPF de SendGrid? Free3 m
- ¿Cómo configurar el registro SPF de Salesforce? Free3 m
- ¿Cómo configurar el registro SPF de Zoho Mail? Free3 m
- ¿Qué es la alineación DKIM? Free4 m
- ¿Cómo configurar DKIM para Microsoft Office 365? Free5 m
- ¿Cómo configurar DKIM para Google Workspace? Free4 m
- ¿Cómo configurar DKIM para MailChimp? Free5 m
- ¿Cómo configurar DKIM para SendGrid? Free5 m
- ¿Cómo configurar DKIM para Salesforce? Free4 m
- ¿Cómo configurar DKIM para Zoho Mail? Free4 m
- ¿Qué es el Cumplimiento de DMARC? Free4 m
- Los beneficios de DMARC Free4 m
- Configuración de DMARC Free5 m
- Lograr la Aplicación de DMARC Free5 m
- DMARC frente a Soluciones Antispam Free4 m
- Alineación de Identificadores DMARC Free3 m
- Excepciones y usos del atributo 'sp' en DMARC Free3 m
- Configurando DMARC sin DKIM Free7 m
- Configurar DMARC sin SPF Free4 m