DMARC: qué es + cómo ayuda a proteger su marca contra el fraude por correo electrónico

Publicado: 2016-10-04

En el mundo del correo electrónico, es sorprendentemente fácil fingir ser alguien que no eres. Casi cualquier persona con un conocimiento básico de cómo funciona el correo electrónico puede hacer que un mensaje parezca que proviene del remitente que elija y, por supuesto, los estafadores se aprovechan de esto.

Hay una cantidad infinita de ejemplos en los que los delincuentes se hacen pasar por una marca y luego usan la reputación confiable de la marca para robar información personal o detalles de tarjetas de crédito de los destinatarios de correo electrónico. Es la pesadilla de un especialista en marketing.

Afortunadamente, existen mecanismos que ayudan a las marcas a evitar este tipo de fraude por correo electrónico: Protocolos de autenticación de correo electrónico.

Autenticación, informes y conformidad de mensajes basados ​​en dominios, o DMARC, es la adición más reciente a la lista de protocolos de autenticación de correo electrónico. Se basa en dos marcos existentes y ampliamente implementados, los protocolos Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM).

¿No distingue su DKIM de su SPF?

¡Sabemos que esto puede resultar confuso! Repase los conceptos básicos de la entrega de correo electrónico antes de entrar en los detalles esenciales de DMARC.

Repasa los conceptos básicos →

Lo que distingue a DMARC de otros protocolos de autenticación de correo electrónico, y lo hace particularmente valioso para cada comercializador, es su función de generación de informes. Con DMARC, puede ver quién envía correo electrónico en nombre de su dominio (su marca) y evitar que los spammers lo utilicen para enviar correos electrónicos fraudulentos.

Comprender la autenticación de correo electrónico no es fácil y, en la mayoría de los casos, no es algo que los especialistas en marketing de correo electrónico puedan manejar por sí mismos. Aún así, como la voz de su marca, todos los especialistas en marketing por correo electrónico deben tener un conocimiento básico del correo electrónico. smj_headshot autenticación y DMARC, y cómo utilizar las herramientas disponibles para ayudar a proteger su marca del fraude por correo electrónico.

Para aportar un poco más de claridad al confuso mundo de la autenticación de correo electrónico, nos sentamos con Steven Jones, director ejecutivo de DMARC.org , y le preguntamos todo lo que siempre quisimos saber sobre la autenticación de correo electrónico y DMARC:

  1. ¿Qué es la autenticación y por qué deberían preocuparse los especialistas en marketing por correo electrónico?
  2. ¿Qué es DMARC, cómo funciona y en qué se diferencia de otros protocolos de autenticación (DKIM y SPF)? Como trabajan juntos?
  3. ¿Cuáles son los beneficios de configurar DMARC? ¿Cómo ayuda a proteger mi marca?
  4. ¿Qué puede pasar si no lo configuro?
  5. ¿Cómo se ven los informes DMARC? ¿Qué tipo de información incluyen?
  6. ¿Por qué DMARC también es importante para los proveedores de bandeja de entrada (ISP)?
  7. ¿Cuántas marcas e ISP ya están usando DMARC?
  8. Si un proveedor de bandeja de entrada verifica el correo electrónico entrante para DMARC pero mi marca aún no lo ha configurado, ¿puede esto afectar mi tasa de entrega?
  9. ¿Los proveedores de la bandeja de entrada adjuntan advertencias de seguridad a los correos electrónicos de marcas que no están autenticadas? ¿Se informa a los destinatarios de correo electrónico de los fallos de autenticación?
  10. ¿Qué pasa con los dominios que no envían correo electrónico? ¿También deberían estar autenticados?
  11. ¿Quién es generalmente responsable de configurar DMARC para una marca: alguien de mi empresa o mi ESP? ¿Quién puede ayudar con la implementación técnica?
  12. ¿Cuánto cuesta configurar DMARC?
  13. Además de DMARC, ¿qué otras prácticas recomienda para protegerse contra el fraude por correo electrónico?

1. ¿Qué es la autenticación y por qué deberían preocuparse los especialistas en marketing por correo electrónico?

La autenticación de correo electrónico se refiere a mecanismos o protocolos que le permiten a usted, oa su servidor de correo, verificar que un mensaje que usa un dominio de Internet en particular en el campo de realmente estaba autorizado para usar ese dominio. En otras palabras, si recibe un mensaje con una dirección de remitente de [email protected], ¿BigBank.com realmente autorizó ese mensaje?

Se han introducido diferentes protocolos de autenticación de correo electrónico durante la última década. Los protocolos más populares son:

  • Marco de políticas del remitente, o SPF
  • Mensaje identificado de DomainKeys, o DKIM
  • Autenticación, informes y conformidad de mensajes basados ​​en dominio, o DMARC.

Muchos proveedores de buzones de correo de todo el mundo utilizan estos protocolos para filtrar los mensajes entrantes. Los especialistas en marketing no necesitan buscar más allá de Google, Yahoo y Microsoft para descubrir que más de la mitad de sus listas promedio están siendo revisadas para los tres protocolos.

Muchos especialistas en marketing por correo electrónico envían mensajes en nombre de los clientes, utilizando los dominios del cliente en la dirección de remitente, pero no envían los mensajes desde la infraestructura del cliente. Esto es esencialmente lo que están haciendo los spammers y phishers, por lo que requiere más trabajo por parte de los proveedores de buzones de correo para distinguir a los malos actores de los vendedores legítimos.

Los protocolos de autenticación de correo electrónico tienen como objetivo facilitar esa tarea, y los especialistas en marketing deben estar muy motivados para garantizar que los mensajes que envían puedan verificarse como legítimos. Esto evita retrasos o el desvío accidental a la carpeta de correo no deseado.

2. ¿Qué es DMARC, cómo funciona y qué lo diferencia de otros protocolos de autenticación (DKIM y SPF)? Como trabajan juntos?

DMARC es esencialmente una capa de informes y políticas sobre DKIM y SPF.

El lado de los informes significa que los receptores habilitados para DMARC le dirán:

  • Cuántos mensajes han recibido utilizando su dominio de Internet en la dirección De:
  • De donde vinieron estos mensajes
  • Si estos mensajes pasaron las comprobaciones DKIM y SPF.

Esto es increíblemente útil para las organizaciones que introducen la autenticación de correo electrónico y les permite ver si algún delincuente se hace pasar por ellos.

El lado de la política de DMARC permite al propietario del dominio solicitar un manejo particular de los mensajes que usan su dominio en la dirección de remitente, pero no pasan ni DKIM ni SPF. En otras palabras: si alguien usa su dominio pero falla la autenticación, ¿qué acción debe tomar el proveedor de la bandeja de entrada? Puedes preguntar eso:

  • No se tomará ninguna acción
  • Los mensajes fallidos se pondrán en cuarentena
  • Los mensajes fallidos se rechazarán.

Obviamente, esto es muy poderoso para combatir el fraude, y un gran avance porque los proveedores de la bandeja de entrada no estaban dispuestos a hacer esto cuando solo se usaba SPF, y para DKIM no ha habido un mecanismo de política ampliamente aceptado.

Hay un factor adicional que introduce DMARC, y se conoce como alineación de direcciones. La autenticación DKIM y SPF utiliza nombres de dominio particulares para cada mensaje. Con SPF, este es el dominio dentro de la "dirección de rebote", más precisamente el RFC5321.MailFrom. Con DKIM, este es un dominio que se incluye en la firma criptográfica que DKIM adjunta al mensaje.

¿Confundido todavía? Este es exactamente el problema. Tanto DKIM como SPF utilizan identificadores de dominio que el usuario final nunca ve. Por lo tanto, un mal actor puede hacer que los mensajes pasen verificaciones DKIM o SPF simples utilizando los dominios que controlan, mientras que colocan lo que quieran en la dirección de remitente. El usuario vería “[email protected]” y confiaba felizmente en el mensaje, cuando no debería.

Bajo DMARC, estos dominios deben coincidir (o estar "alineados" con) la dirección en el encabezado de. Esto es lo que llamamos alineación de direcciones o dominios, y ayuda a prevenir la forma más fácil y efectiva de phishing.

3. ¿Cuáles son los beneficios de configurar DMARC? ¿Cómo ayuda a proteger mi marca?

Nadie quiere estar asociado con el fraude contra sus clientes o sus clientes potenciales. Pero si no protege su dominio (su marca) con la autenticación de correo electrónico, está facilitando que los delincuentes saquen provecho de la buena reputación que usted ha construido al permitirles que se hagan pasar por su dominio.

Para el propietario de la marca, el primer beneficio es que los informes DMARC le brindan una instantánea de la actividad del correo electrónico utilizando su dominio. Puede obtener esto incluso si aún no ha implementado DKIM y SPF para ver si los spammers y phishers se están haciendo pasar por usted. Además, obtendrá una idea de todas las entidades internas que envían correo electrónico utilizando su dominio: por ejemplo, puede descubrir que marketing ha contratado a dos empresas para enviar correos electrónicos a los clientes, RR.HH. ha contratado a una empresa para informar a los empleados sobre los beneficios y Compras tiene un proveedor que maneja los pedidos.

Sin embargo, aún debe implementar tanto DKIM como SPF. Facilitar a los destinatarios la verificación de sus mensajes legítimos significa menos demoras en el análisis del contenido de cada mensaje que envía, porque todos son potencialmente sospechosos. Significa que sus mensajes se manejarán de manera más consistente en cada proveedor de bandeja de entrada, en lugar de que una parte se envíe a la carpeta de correo no deseado, dependiendo de las propiedades únicas de cada campaña.

4. ¿Qué puede pasar si no lo configuro?

Si no configura DMARC, es posible que no suceda nada. O puede ser que alguien envíe un millón de mensajes usando su dominio, intentando que la gente entregue los datos de su cuenta bancaria. Sin los informes de DMARC, es posible que nunca se entere. Con DMARC y los otros protocolos implementados, tiene la oportunidad de evitar que dichos mensajes lleguen a los consumidores, quienes, en caso de fraude, naturalmente tendrán una mala asociación con el dominio o la marca que se utilizó para victimizarlos.

Mientras trabajaba para mi antiguo empleador, implementamos DMARC para un dominio retirado y no pasó nada durante un mes. Luego, un fin de semana, un estafador envió casi dos millones de mensajes usando ese dominio. Afortunadamente, casi todos (99%) fueron bloqueados debido a la política de DMARC que habíamos publicado, pero sin DMARC nunca lo hubiéramos sabido, a menos que apareciera en los periódicos, que no es la forma en que nadie quiere enterarse de esas cosas.

¿Está configurado correctamente su registro DMARC?

Litmus Spam Testing lo ayuda a asegurarse de que su autenticación de correo electrónico, incluidos DMARC, DKIM y SPF, esté configurada para el éxito

Explore las pruebas de spam →

5. ¿Cómo se ven los informes DMARC? ¿Qué tipo de información incluyen?

Hay dos tipos de informes. Los de los que hablamos habitualmente se denominan informes agregados, donde cada proveedor de bandeja de entrada incluye información resumida sobre todos los mensajes que vieron usando su dominio. Esa es la cantidad de mensajes, de qué direcciones IP provienen, si se autenticaron con DKIM o SPF, si hubo un "pase" de DMARC, qué se hizo con el mensaje, etc. Es como las filas de una base de datos o una hoja de cálculo, empaquetadas como texto usando un formato llamado XML. Los informes pueden ser decenas o cientos de kilobytes, todo depende del tamaño del proveedor de la bandeja de entrada y la cantidad de fuentes de tráfico, etc.

El otro tipo de informes son los informes de fallas, que no todos los proveedores de la bandeja de entrada envían. Hotmail de Microsoft es probablemente el proveedor de buzones de correo de EE. UU. Más conocido que los envía. En este caso, si los propietarios del dominio los solicitaron a través de su política DMARC, el proveedor de la bandeja de entrada envía un informe de falla por cada mensaje que reciben que usa su dominio, pero que no se autentica.

Tenga en cuenta que solicitar informes de fallas puede generar muchos mensajes. Pero esos informes pueden contener detalles sobre los sistemas de envío y cualquier URL o enlace en el mensaje, por lo que pueden ser muy útiles tanto para las personas que implementan la autenticación de correo electrónico y la resolución de problemas, como para el personal de seguridad que intenta comprender qué están haciendo los estafadores.

Ambos informes son muy valiosos, pero leerlos, en particular los informes agregados, no es algo que a la mayoría de la gente le guste. Por lo general, el propietario del dominio o el remitente del correo electrónico querrán procesar los informes automáticamente. Los formatos están documentados en los estándares, por lo que tiene la opción de escribir sus propias herramientas. Hay algunos paquetes de código abierto para comenzar, pero la mayoría de las organizaciones tienden a usar uno de varios servicios para obtener ayuda. Agari, dmarcian y Return Path son las que más tiempo llevan, pero más recientemente empresas como 250ok, Easy Solutions, Fraudmarc y ValiMail ofrecen estos servicios y más.

6. Hemos hablado sobre los remitentes y por qué tienen que adoptar y actuar en DMARC. Pero, ¿por qué DMARC también es importante para los proveedores de bandeja de entrada (ISP)?

La implementación de DMARC como proveedor de bandeja de entrada puede resultar costosa. Imagine mantener una base de datos sobre todos los dominios individuales que envían correos electrónicos a su empresa. Ahora imagina que albergas a cien empresas. ¿Aún conmigo? Ahora imagine que aloja todas las empresas que utilizan Google Apps u Office 365. Es una inversión significativa de tiempo, personal y recursos.

Pero también hay un beneficio para los ISP. La autenticación de correo electrónico es muy programática en comparación con la determinación de si algo es spam o suplantación de identidad, según el contenido del mensaje. El primero es un conjunto rápido de cálculos, mientras que el segundo es muy subjetivo, implica analizar los lenguajes naturales, interpretar el uso de imágenes, analizar dónde van los enlaces en el mensaje, etc.

Cuanto más sofisticado sea el análisis al que debe someter cada mensaje, más caro le resulta al ISP mantener limpias las bandejas de entrada de los usuarios. La autenticación de correo electrónico, y la reputación que los remitentes acumulan más rápidamente cuando la usan, pueden hacer que esas determinaciones iniciales sean mucho más rápidas y, por lo tanto, más económicas. Los ISP todavía tienen que buscar virus y demás, pero saber que el mensaje proviene de un remitente de buena reputación hace una gran diferencia.

Para ayudar a los propietarios y remitentes de dominio a facilitar la autenticación de sus mensajes, los ISP y otros receptores DMARC aceptan la sobrecarga de compilar y enviar esos informes agregados. La idea es que los remitentes utilicen esos informes para asegurarse de que sus mensajes legítimos se autentiquen el 100% del tiempo, lo que ayuda a contener los costos operativos para los receptores. Todos se benefician, especialmente los usuarios finales que tienen menos mensajes fraudulentos en su bandeja de entrada.

7. ¿Cuántas marcas e ISP ya utilizan DMARC?

Sería muy difícil dar una respuesta precisa a esa pregunta. No todas las organizaciones que usan DMARC para filtrar los mensajes entrantes anuncian que lo usan, y algunas pasarelas de correo electrónico comerciales ahora hacen el filtrado, pero aún no admiten los informes. Por el lado del remitente, puedo decir que un conjunto de datos muestra que más de 100,000 dominios han publicado registros DMARC válidos, y ese es un conjunto de datos limitado, no cubre nada remotamente cercano a todo Internet.

Si los lectores están tratando de entender si hay suficiente uso de DMARC que deberían adoptar más temprano que tarde, entonces mi respuesta es sí. En términos de marketing, considere cuántos de los clientes de sus clientes están cubiertos por AOL, Comcast, GMail, Microsoft y Yahoo. Todos usan DMARC, por lo que debes asegurarte de que tú también lo estés. Y si bien todo eso puede parecer muy específico de América del Norte y tal vez de Europa, uno de los proveedores de buzones de correo más grandes de China, NetEase; LaPoste en Francia; Mail.ru y Yandex en Rusia; y muchos otros proveedores de buzones de correo, grandes y pequeños en todo el mundo, utilizan DMARC.

8. Si un proveedor de bandeja de entrada verifica el correo electrónico entrante para DMARC pero mi marca aún no lo ha configurado, ¿puede esto afectar mi tasa de entrega?

Cuanto más fácil sea determinar que los mensajes no son malos, es más probable que se entreguen rápidamente y sin errores. No es tanto que perjudique su tasa de entrega cuando no tiene autenticación de correo electrónico, sino que puede evitar que lo traten incorrectamente cuando la tiene.

Por ejemplo, envía un mensaje que incluye una frase o un enlace que se parece a algo de una reciente campaña de spam a gran escala. Si un proveedor de buzones de correo tiene que depender del filtrado de contenido y la coincidencia de patrones, y no tienen pruebas de que su mensaje provenga de un buen actor conocido, existe una mayor probabilidad de que algunos o todos esos mensajes se envíen a la carpeta de correo no deseado. En el mejor de los casos, los mensajes se someten a más escaneos y controles, lo que retrasa la entrega de sus mensajes.

O, y esto se está volviendo más común, si no pasa las comprobaciones de autenticación, es posible que se eliminen o deshabiliten los enlaces de sus mensajes, o que las imágenes se bloqueen, todo porque no se pudo verificar la fuente del mensaje.

9. ¿Los proveedores de la bandeja de entrada adjuntan advertencias de seguridad a los correos electrónicos de marcas que no están autenticadas? ¿Se informa a los destinatarios de correo electrónico de los fallos de autenticación?

De hecho, algunos de los principales proveedores de buzones de correo están experimentando mostrando a los usuarios diferentes indicadores cuando los mensajes que no se autenticaron aparecen en su buzón de entrada. Gmail en particular ha estado haciendo esto, al igual que lo ha estado haciendo con los mensajes que no se envían a través de una conexión encriptada.

10. ¿Qué pasa con los dominios que no envían correo electrónico? ¿También deberían estar autenticados?

Este es un caso especial y debe abordarse con autenticación. Si tiene un dominio que no está enviando correo ahora o en un futuro cercano, digamos que está reservado o "estacionado", puede establecer fácilmente un registro SPF para que nadie que se haga pasar por él pueda llegar a la bandeja de entrada y establecer un registro DMARC para recibir informa cuando alguien lo intenta.

Esto es algo que debería hacerse para cada dominio aparcado, simplemente para preservar el valor de marca potencial del dominio. Si el dominio que ha reservado ha sido objeto de abusos y tiene una mala reputación en el momento en que desea utilizarlo, ha perdido tiempo y dinero. Mejor protegerlo desde el principio.

11. ¿Quién es generalmente responsable de configurar DMARC para una marca: alguien de mi empresa o mi ESP? ¿Quién puede ayudar con la implementación técnica?

Cada empresa parece organizar esta responsabilidad de manera diferente. A veces, el equipo de marketing desarrolla los nombres y los registra, trabajando con un equipo interno o un proveedor para las operaciones. Otras veces, un departamento administra los dominios, un grupo diferente maneja el correo electrónico y el marketing es un cliente interno que se coordina con varios ESP. Cualquiera de esos grupos puede tener la tarea de prevenir el abuso, o puede provenir de un equipo de seguridad de la información o de gestión de riesgos.

Las mejores sugerencias que puedo ofrecer son las siguientes:

  1. La empresa propietaria de la marca debe ser la propietaria del dominio registrado y
  2. Deben determinar quién es responsable de la gestión de dominios en toda la empresa, de forma similar a cómo se organiza la gestión de marca en toda la empresa.

Asegúrese de que sus ejecutivos comprendan los riesgos de no proteger sus dominios y establezca una política clara y una parte o departamento responsable con la autoridad para hacer el trabajo. Luego, determine qué equipos deben participar en el desarrollo de un plan para proteger esos dominios y ejecutarlo.

Cuando se trata de cuestiones de tecnología y operaciones, si una empresa no tiene la experiencia interna, hay proveedores que pueden ayudar. Hemos enumerado algunos proveedores para soporte de implementación y análisis en el sitio web de DMARC.

12. ¿Cuánto cuesta configurar DMARC?

Esto no se presta a una respuesta fácil, porque la escala del proyecto variaría mucho de una empresa a otra. Por ejemplo:

  • ¿Cuántos dominios están involucrados?
  • ¿Cuántos departamentos internos diferentes envían correo electrónico?
  • ¿Cuántos proveedores externos?
  • ¿Habrá cargos si esos proveedores tienen que cambiar aspectos de los mensajes que envían?
  • ¿Quién tiene la responsabilidad del proyecto y pueden obligar a otros departamentos a realizar cambios operativos cuando sea necesario?
  • ¿La experiencia técnica necesaria está disponible internamente o es necesario obtenerla?

Armado con esas preguntas, que apenas son superficiales, alguien que conozca la organización objetivo puede comenzar a analizar el alcance del esfuerzo. Al mismo tiempo, y para tener una idea de lo que podría hacer DMARC, publicar un registro DNS para un dominio y revisar los informes es una manera fácil de comenzar y podría demostrar la necesidad de un proyecto real basado en lo que muestran esos informes.

13. Además de DMARC, ¿qué otras prácticas recomienda para protegerse contra el fraude por correo electrónico?

Haga todo lo posible para que sea más fácil identificar sus mensajes. Use sus dominios de manera constante a lo largo del tiempo, idealmente usando un dominio o subdominio en todo el mensaje para direcciones, imágenes, enlaces, etc. Es fácil y tentador extraer activos de diferentes dominios (sus proveedores y socios, por ejemplo) pero puede parecer el mismo como cuando los phishers extraen activos de dominios no relacionados con la dirección de remitente. Al menos, limite el conjunto de otros dominios con los que está trabajando y manténgalo estable a lo largo del tiempo.

Cuanto más fácil sea saber que sus mensajes provienen de usted, más fácil será saber cuándo los mensajes que usan su identidad provienen de otro lugar y no deben enviarse a la bandeja de entrada.

Llegar a la bandeja de entrada, no a la carpeta de correo no deseado

Identifique los problemas que pueden alejarlo de la bandeja de entrada y obtenga ayuda práctica sobre cómo solucionarlos con Litmus Spam Testing.

Prueba Litmus gratis →