Combinar la arquitectura segura por diseño de Google Workspace con las protecciones integradas contra spam, phishing y malware de Gmail es una excelente manera de proteger a sus usuarios de amenazas externas. Pero ¿qué pasa con las amenazas de actores maliciosos que secuestran su propio dominio para hacerse pasar por sus usuarios y lanzar ataques basados en correo electrónico contra sus clientes, empleados y marca?
Peor aún, ¿sabías que cualquier persona en Internet puede enviar correo electrónico "desde" tu dominio sin necesidad de acceder a tu cuenta? Ahí es donde entra DMARC.
¿Tiene una póliza DMARC?
DMARC significa autenticación, informes y conformidad de mensajes basados en dominio. Sin una política DMARC, los dominios que envían y reciben correo electrónico son vulnerables a la suplantación de identidad, lo que permite a terceros:
- Lanzar ataques de phishing 🎣
- Distribuir spam, malware o ransomware ☣️
- Realizar estafas de ingeniería social contra clientes o empleados 💸
Una política DMARC sólida permite a los administradores monitorear, poner en cuarentena o rechazar la entrega de mensajes enviados utilizando su dominio por remitentes no autorizados. En otras palabras, toda empresa necesita una política DMARC para proteger su marca y la reputación de su dominio. En Rise Digital, cada cliente de Google Workspace está configurado con una política DMARC desde el primer día.
¿Cómo funciona DMARC?
DMARC realiza dos funciones principales:
- DMARC envía informes que contienen el origen (servidores y dominios) de los mensajes enviados utilizando su dominio y qué porcentaje de ellos pasan o fallan dos importantes protocolos de seguridad de correo:
- Marco de protección del remitente (SPF), que especifica los servidores y dominios autorizados para enviar correo electrónico en nombre de su organización.
- Correo identificado con claves de dominio (DKIM), que agrega una firma digital a cada mensaje saliente, lo que permite a los servidores receptores verificar la autenticidad e integridad del mensaje.
- DMARC recomienda qué acciones deben tomar los servidores de correo de los destinatarios ante los mensajes que no cumplen con los protocolos anteriores:
- Ninguno (entregar el mensaje)
- Cuarentena (entregar el mensaje a spam)
- Rechazar (rebotar el mensaje)
Cómo habilitar DMARC
La implementación de DMARC es un proceso. Rechazar inmediatamente todos los mensajes salientes que no cumplan con DMARC corre el riesgo de interrumpir la entrega de correo crítico para el negocio. Por lo tanto, recomendamos a los administradores de Google Workspace que adopten un enfoque gradual para introducir y fortalecer su política DMARC, analizando los resultados y monitoreando los impactos adversos en cada paso del camino.
1. Implementar SPF y DKIM para remitentes autorizados
Primero, asegúrese de que su organización haya implementado SPF y DKIM para el correo enviado por los usuarios de su dominio y otros remitentes autorizados. DMARC indica a los servidores de correo cómo manejar los mensajes que no pasan SPF o DKIM, por lo que habilitarlos es crucial.
2. Cree una dirección de correo electrónico dedicada para recopilar informes DMARC
Una vez que su política DMARC esté implementada, recibirá informes de los servidores de correo del destinatario. En lugar de inundar tu correo electrónico, crea un repositorio dedicado, como un grupo de Google.
- Inicie sesión en la Consola de administración de Google
- Vaya a Directorio > Grupos > Crear grupo
- Ingrese DMARC en el nombre del grupo, dmarc en el correo electrónico del grupo y agregue una descripción si lo desea. Omita el propietario del grupo y la etiqueta de seguridad. Haga clic en Siguiente.
- Establezca todas las configuraciones de acceso en Propietarios del grupo, excepto Quién puede publicar: Externo. Establezca quién puede unirse al grupo en Solo usuarios invitados. No permita miembros fuera de su organización. Haga clic en Siguiente, Crear grupo, Listo, Ver configuración del grupo y luego configuración avanzada.
- En Políticas de publicación, cambie Quién puede adjuntar archivos a Cualquiera en la web.
3. Implementar una política DMARC inicial (permisiva)
Su política DMARC aconseja a los servidores de correo de los destinatarios cómo manejar los mensajes que fallan en SPF o DKIM y dónde enviar informes. Comience con una política permisiva para evitar interrumpir el flujo de correo:
v=DMARC1; p=none; rua=mailto:[email protected]
A medida que obtenga información de los informes DMARC y garantice SPF y DKIM para todos los remitentes autorizados, ajuste gradualmente su política para poner en cuarentena y, eventualmente, rechazar los mensajes de remitentes no autorizados.
4. Analizar los informes DMARC
Los informes diarios DMARC le ayudarán a comprender:
- Qué servidores y dominios envían correo desde su dominio
- ¿Qué porcentaje de mensajes pasan DMARC (SPF y DKIM)?
- Qué servidores y dominios fallan en DMARC (SPF y DKIM)
Herramientas como la de DMARCian Convertidor de XML a humano puede ayudar a analizar informes. Según su análisis, ajuste la configuración de SPF y DKIM para todos los remitentes autorizados antes de reforzar su política DMARC.
5. Ponga en cuarentena algunos, luego más y, finalmente, todos los mensajes no autorizados
Ajuste gradualmente su política DMARC editando el registro DMARC en la consola DNS de su registrador de dominio:
v=DMARC1; p=quarantine; pct=10; rua=mailto:[email protected]
Supervise los impactos adversos, analice los informes DMARC y ajuste la configuración de SPF y DKIM según sea necesario. Aumenta el porcentaje de mensajes en cuarentena hasta llegar al 100%.
6. Rechazar mensajes de remitentes no autorizados
Finalmente, rechace mensajes de remitentes no autorizados:
v=DMARC1; p=reject; rua=mailto:[email protected]
Los servidores de correo de los destinatarios rara vez anulan las políticas DMARC. Ahora, su organización está protegida contra el abuso por parte de remitentes no autorizados que falsifican su dominio.
¡Felicidades! 🥳 Su dominio ahora está seguro contra la suplantación de correo electrónico y el spam.
