Fallas en DMARC

Identificar por qué está fallando DMARC puede ser complicado. Repasaremos algunas razones típicas y los factores que contribuyen a ellas, para que puedas trabajar hacia la corrección del problema de manera más rápida.

Fallos de Alineación DMARC

DMARC utiliza la alineación de dominios para autenticar tus correos electrónicos. Esto significa que DMARC verifica si el dominio mencionado en el campo De (en el encabezado visible) es auténtico al compararlo con el dominio mencionado en el encabezado oculto Return-path (para SPF) y en el encabezado de firma DKIM (para DKIM). Si coincide con alguno, el correo electrónico pasa DMARC; de lo contrario, DMARC falla.

Por lo tanto, si tus correos electrónicos están fallando en DMARC, puede deberse a un caso de desalineación de dominios. Esto significa que ni los identificadores SPF ni DKIM están alineados y el correo electrónico parece ser enviado desde una fuente no autorizada. Sin embargo, esta es solo una de las razones por las que DMARC está fallando. 

Modo de Alineación DMARC

Tu modo de alineación de protocolo también juega un papel crucial en la aprobación o falla de DMARC de tus mensajes. 

Puedes elegir entre los siguientes modos de alineación para la autenticación SPF: 

• Relajado: Esto significa que si el dominio en el encabezado Return-path y el dominio en el encabezado From es simplemente una coincidencia organizacional, entonces SPF pasará. 
• Estricto: Esto significa que solo si el dominio en el encabezado Return-path y el dominio en el encabezado From es una coincidencia exacta, entonces SPF pasará.

Puedes elegir entre los siguientes modos de alineación para la autenticación DKIM: 

• Relajado: Esto significa que si el dominio en la firma DKIM y el dominio en el encabezado From es simplemente una coincidencia organizacional, entonces DKIM pasará. 
• Estricto: Esto significa que solo si el dominio en la firma DKIM y el dominio en el encabezado From es una coincidencia exacta, entonces DKIM pasará.

Ten en cuenta que para que los correos electrónicos pasen la autenticación DMARC, ya sea SPF o DKIM deben estar alineados

No Configurar Tu Firma DKIM

Un caso muy común en el que tu DMARC puede estar fallando es que no has especificado una firma DKIM para tu dominio. En tales casos, tu proveedor de servicio de intercambio de correos asigna una firma DKIM predeterminada a tus correos electrónicos salientes que no se alinea con el dominio en el encabezado From. El MTA receptor no logra alinear los dos dominios, por lo tanto, DKIM y DMARC fallan para tu mensaje (si tus mensajes están alineados con ambos, SPF y DKIM).

No Añadir Fuentes de Envío a Tu DNS

Es importante tener en cuenta que cuando configuras DMARC para tu dominio, los MTAs receptores realizan consultas DNS para autorizar tus fuentes de envío. Esto significa que, a menos que tengas todas tus fuentes de envío autorizadas listadas en el DNS de tu dominio, tus correos electrónicos fallarán en DMARC para aquellas fuentes que no estén listadas, ya que el receptor no podrá encontrarlas en tu DNS. Por lo tanto, para asegurar que tus correos electrónicos legítimos siempre se entreguen, asegúrate de hacer entradas en tu DNS de todos los proveedores de correo electrónico de terceros autorizados que están autorizados para enviar correos electrónicos en nombre de tu dominio.

En Caso de Reenvío de Correo Electrónico

Durante el reenvío de correo electrónico, el correo pasa por un servidor intermediario antes de ser entregado finalmente al servidor receptor. Durante el reenvío de correo electrónico, la verificación SPF falla ya que la dirección IP del servidor intermediario no coincide con la del servidor de envío, y esta nueva dirección IP generalmente no está incluida en el registro SPF del servidor original. Por el contrario, el reenvío de correos electrónicos generalmente no impacta la autenticación de correo electrónico DKIM, a menos que el servidor intermediario o la entidad que reenvía realice ciertas alteraciones en el contenido del mensaje.

Como sabemos que SPF inevitablemente falla durante el reenvío de correos electrónicos, en el caso de que la fuente de envío sea neutral en DKIM y dependa únicamente de SPF para la validación, el correo electrónico reenviado será considerado ilegítimo durante la autenticación DMARC. Para resolver este problema, deberías optar de inmediato por el cumplimiento total de DMARC en tu organización, alineando y autenticando todos los mensajes salientes tanto con SPF como con DKIM, ya que para que un correo electrónico pase la autenticación DMARC, se requiere que pase la autenticación y alineación de SPF o DKIM.

Tu Dominio Está Siendo Suplantado

Si tienes correctamente configurados los protocolos DMARC, SPF y DKIM para tu dominio, con tus políticas en aplicación y registros válidos sin errores, y el problema no es ninguno de los casos mencionados anteriormente, entonces la razón más probable por la que tus correos electrónicos están fallando en DMARC es que tu dominio está siendo suplantado o falsificado. Esto ocurre cuando impostores y actores malintencionados intentan enviar correos electrónicos que parecen provenir de tu dominio utilizando una dirección IP maliciosa.

Si tienes DMARC implementado con una política de rechazo, fallará y el correo electrónico suplantado no se entregará en la bandeja de entrada de tu destinatario. Por lo tanto, la suplantación de dominio puede ser la respuesta a por qué DMARC está fallando en la mayoría de los casos.

¿Por qué falla DMARC para los proveedores de buzones de terceros? (Gmail, Mailchimp, Sendgrid, etc.)

Si estás utilizando proveedores de buzones externos para enviar correos electrónicos en tu nombre, necesitas habilitar DMARC, SPF y/o DKIM para ellos. Puedes hacerlo contactándolos y pidiéndoles que manejen la implementación por ti, o puedes tomar el asunto en tus propias manos y activar los protocolos manualmente. Para hacerlo, necesitas tener acceso a tu portal de cuenta alojado en cada una de estas plataformas (como administrador).

Si tus mensajes de Gmail están fallando en DMARC, revisa el registro SPF de tu dominio y verifica si has incluido _spf.google.com en él. Si no es así, esta puede ser una razón por la cual los servidores receptores están fallando en identificar a Gmail como tu fuente autorizada de envío. Lo mismo aplica a tus correos enviados desde Mailchimp, Sendgrid y otros.

¿Cómo solucionar el fallo de DMARC?

#Paso 1: Con una política de "none", puedes comenzar a monitorear tu dominio con Informes Agregados DMARC (RUA) y mantener un ojo atento en tus correos electrónicos entrantes y salientes, esto te ayudará a responder a cualquier problema de entrega no deseado.
 

#Paso 2: Después de eso, te ayudamos a cambiar a una política aplicada que te ayudará a obtener inmunidad contra la suplantación de dominio y los ataques de phishing. 

#Paso 3: Elimina direcciones IP maliciosas e infórmalas directamente desde la plataforma PowerDMARC para evitar futuros ataques de suplantación, con la ayuda de nuestro motor de Inteligencia de Amenazas. 
 

#Paso 4: Habilita los informes Forenses DMARC (RUF) para obtener información detallada sobre los casos en los que tus correos electrónicos han fallado en DMARC para que puedas llegar a la raíz del problema y solucionarlo más rápido.