¿Cómo crear un DMARC record?


Un DMARC record es el registro donde se definen los conjuntos de reglas DMARC. Este registro informa a los ISP (como Gmail, Microsoft, Yahoo!, etc.) si un dominio está configurado para usar DMARC. El registro DMARC contiene la política. El registro DMARC debe colocarse en su DNS. El nombre del registro TXT debe ser “_dmarc.sudominio.com”, donde “sudominio.com” se reemplaza con su nombre de dominio real (o subdominio).

DMARC Analyzer le ayuda a realizar fácilmente el trabajo de generación de registros DMARC con nuestro Generador de registros DMARC. La versión gratuita de DMARC Analyzer le permite usar el Generador de registros DMARC (regístrese aquí). Puede usar DMARC Analyzer para generar un ejemplo de registro DMARC.

Una vez que SPF y DKIM están en su lugar, usted configura DMARC agregando políticas a los registros DNS de su dominio en forma de registros TXT (al igual que con SPF o DKIM).

El nombre del registro TXT debe ser “_dmarc.sudominio.com”, donde “sudominio.com” se reemplaza con su nombre de dominio real (o subdominio).

Aquí hay etiquetas comunes utilizadas en los registros de DMARC TXT:

Nombre de Etiqueta Requerido Propósito Muestra
v requerido Versión de protocolo v=DMARC1
p requerido Política de dominio p=quarantine
pct opcional % de mensajes sujetos a filtrado pct=20
rua opcional Informes URI de informes agregados rua=mailto:[email protected]
ruf opcional Direcciones a las que se debe informar la información forense específica del mensaje (lista de URI con texto simple separado por comas). ruf=mailto:[email protected]
rf opcional Formato que se utilizará para informes de información forense específicos del mensaje (lista de valores de texto plano separados por comas). rf=afrf
aspf opcional Modo de alineación para SPF aspf=r
adkim opcional Modo de alineación para DKIM adkim=r

Vea el DMARC Registro de Etiquetas para otras etiquetas disponibles.

Cuando inicie sesión en app.dmarcanalyzer.com vaya a “DNS Records” para generar su DMARC record.

Únicamente las etiquetas v (version) y p (policy) son requeridas. Hay tres configuraciones posibles de políticas o disposiciones de mensajes disponibles:

  • none policy: Supervisa los resultados de DMARC y no realiza ninguna acción específica en todos los correos electrónicos con errores. Puede usar la política “ninguno” para comenzar con DMARC y recopilar todos los informes de DMARC y comenzar a analizar estos datos.
  • quarantine policy: Pone los correos electrónicos que fallan las verificaciones en cuarentena. La mayoría de estos correos electrónicos terminarán en la carpeta basura del receptor.
  • reject policy: Puede rechazar todos los correos electrónicos que fallen la verificación de DMARC. Los receptores de correo electrónico deberían hacer esto ‘en el nivel SMTP’. Los correos electrónicos rebotarán directamente en el proceso de envío.

 
How to create a DMARC record - DMARC Analyzer

El modo de alineación (aspf / adkim) se refiere a la precisión con la que se comparan los registros del remitente con las firmas SPF y DKIM, con los dos valores posibles relajados o estrictos. representado por “r” y “s” respectivamente. En resumen, relaxed permite coincidencias parciales, como subdominios de un dominio dado, mientras que strict requiere una coincidencia exacta.


Asegúrese de incluir su dirección de correo electrónico con la etiqueta rua opcional para recibir los informes diarios. Si desea utilizar el DMARC Analyzer para analizar sus informes, asegúrese de utilizar la herramienta de generación de registros DNS para obtener las direcciones de correo electrónico de comentarios agregados y forenses.


Crear un registro TXT con el nombre y el valor apropiados es diferente para cada host de dominio. Contáctenos si necesita ayuda para configurarlo con su proveedor.

Debería ser bastante simple y puede parecerse a esto en el generador:

Cómo crear un DMARC record - Generate DNS

y así en tu host de dominio:

How to create a DMARC record?

 

Reporte de Ejemplo

Los informes diarios vienen en formato XML. Léelos para comprender mejor su flujo de correo. Los informes lo ayudan a garantizar que las fuentes de correo saliente se autentiquen correctamente. Asegúrese de que las distintas direcciones IP que envían correos electrónicos que afirman proceder de su dominio sean realmente legítimas, configúrelas correctamente con DKIM o agréguelas a su rango SPF. Los informes también ayudan a los administradores a tomar medidas rápidamente cuando tienen implementada una política de bloqueo si una nueva fuente de correo entra en línea o se rompe la configuración de una fuente de correo electrónico existente.

Aquí hay un extracto de un informe que muestra los resultados de los mensajes enviados desde un par de direcciones IP, uno enviado directamente y el otro reenviado. Ambos mensajes pasaron:

<record>
    <row>
        <source_ip>207.126.144.129</source_ip>
        <count>1</count>
        <policy_evaluated>
            <disposition>none</disposition>
        </policy_evaluated>
    </row>
    <identities>
        <header_from>yourdomain.com</header_from>
    </identities>
    <auth_results>
        <dkim>
            <domain>yourdomain.com</domain>
            <result>pass</result>
            <human_result></human_result>
        </dkim>
        <spf>
            <domain>yourdomain.com</domain>
            <result>pass</result>
        </spf>
    </auth_results>
</record>
<record>
<row>
    <source_ip>207.126.144.131</source_ip>
    <count>1</count>
    <policy_evaluated>
        <disposition>none</disposition>
        <reason>
            <type>forwarded</type>
            <comment></comment>
        </reason>
    </policy_evaluated>
</row>
<identities>
    <header_from>yourdomain.com</header_from>
</identities>
<auth_results>
    <dkim>
        <domain>yourdomain.com</domain>
        <result>pass</result>
        <human_result></human_result>
    </dkim>
    <spf>
        <domain>yourdomain.com</domain>
        <result>pass</result>
    </spf>
</auth_results>
</record>

Despliegue lentamente

Recomendamos aumentar el uso de DMARC lentamente mediante el empleo de estas políticas en este orden. En primer lugar, controle su tráfico y busque anomalías en los informes, como los mensajes que aún no se han firmado o que tal vez se falsifiquen. Luego, cuando se sienta cómodo con los resultados, cambie la configuración de la política de registros de TXT de “ninguno” a “en cuarentena”. Una vez más, revise los resultados, esta vez tanto en su captura de spam como en los informes diarios de DMARC. Finalmente, una vez que esté absolutamente seguro de que todos sus mensajes están firmados, cambie la configuración de la directiva a “rechazar” para hacer un uso completo de DMARC. Revise los informes para asegurarse de que sus resultados sean aceptables.

Del mismo modo, la etiqueta pct opcional se puede usar para organizar y muestrear su implementación de DMARC. Como el 100% es el valor predeterminado, al pasar “pct = 20” en su registro DMARC TXT, se obtiene una quinta parte de todos los mensajes afectados por la política que realmente recibe la disposición en lugar de todos. Esta configuración es especialmente útil una vez que decide poner en cuarentena y rechazar el correo electrónico. Comience con un porcentaje más bajo para comenzar y aumente cada pocos días.

Entonces, un ciclo de despliegue conservador se asemejaría:

  1. Monitor all.
  2. Quarantine 1%.
  3. Quarantine 5%.
  4. Quarantine 10%.
  5. Quarantine 25%.
  6. Quarantine 50%.
  7. Quarantine all.
  8. Reject 1%.
  9. Reject 5%.
  10. Reject 10%.
  11. Reject 25%.
  12. Reject 50%.
  13. Reject all.

Intente eliminar los porcentajes para completar la implementación. Como siempre, revisa tus informes diarios.

¿Desea crear su propio DMARC record?

Utilice nuestra herramienta DMARC Analyzer para generar un ejemplo de DMARC record.
Pruebe DMARC Analyzer gratis