Hostsuar

Configurando el registro DMARC en un dominio

DMARC es una tecnología que permite definir una política de actuación de cara a posibles suplantaciones de identidad por parte de terceros. Para ello, se apoya en los registros SPF y DKIM.

DMARC le dice al receptor, por medio de un registro TXT en las zonas DNS, cómo debe actuar cuando se detecta un correo sospechoso: si lo debe rechazar, enviar a cuarentena, etc. De esta forma, se añade una capa de seguridad extra a tu correo electrónico.

Además, DMARC incluso tiene la capacidad de enviar reportes al respecto al responsable del dominio, proporcionando visibilidad y control sobre quién está enviando correo en nombre de tu dominio.

Configuración de registro DMARC

Accedemos a cPanel, sección Zone Editor y hacemos click en Administrar para el dominio que estamos configurando.

En la esquina superior derecha, localizamos el botón Añadir Registro, y seleccionamos Add "DMARC" Record:

add dmarc record

Se abrirá un formulario de asistencia para facilitar la configuración:

  1. Policy: Establece qué hacer con los correos que fallan la verificación DMARC. Las opciones son:
    • Ninguno: Recopila y envía informes sin tomar medidas.
    • Cuarentena: Marca los correos como sospechosos, probablemente a la bandeja de spam.
    • Reject: Rechaza completamente los correos entrantes que no pasan la verificación.
  2. Subdomain Policy: Similar a la opción de Policy, pero específica para los subdominios del dominio principal.
  3. DKIM Mode y SPF Mode: Estas opciones pueden ser 'relaxed' o 'strict', y se refieren a cómo se maneja la alineación de dominios.
    • 'Relaxed' permite una coincidencia parcial del nombre de dominio (por ejemplo, correos de mail.example.com se ven como provenientes de example.com).
    • 'Strict' requiere una coincidencia exacta, es decir correos de mail.example.com no serían válidos para example.com.
  4. Percentage: Especifica el porcentaje de mensajes de correo a los que se le aplicará la política de DMARC.
  5. Generate Failure Reports When: Establece cuándo deberían enviarse informes de fallas. Puede ser cuando 'All Checks Fail' (todos los chequeos fallan) o 'Any Check Fails' (algún chequeo falla).
  6. Report Format: Elige el formato de los informes. Puede ser AFRF o IODEF.
  7. Report Interval: Define la frecuencia, en segundos, con la que se recibirán los informes.
  8. Send Aggregate Mail Reports To y Send Failure Reports To: Aquí se ponen las direcciones de correo a las que se enviarán los informes, deben ser direcciones que existan y sean del mismo dominio para el que se configura la política.

Este formulario no es más que un asistente, el registro DMARC es simplemente un registro de tipo TXT, por ello en la pestaña RAW verás siempre el resultado final de lo que se añadirá a las zonas DNS del dominio.

Ejemplos de configuración

Un ejemplo de configuración que ofrezca seguridad pero no sea demasiado estricta sería:

  • Policy: Cuarentena (Los correos entrantes que no pasen la verificación DMARC van a spam).
  • Subdomain Policy: Ninguno (Para los subdominios, simplemente recopila y envía informes sin tomar medidas).
  • DKIM Mode: Relaxed (Permite una coincidencia parcial del nombre de dominio).
  • SPF Mode: Relaxed (Permite una coincidencia parcial del nombre de dominio).
  • Percentage: 100 (Aplica la política de DMARC al 100% de los mensajes).
  • Generate Failure Reports When: All Checks Fail (Genera informes de fallas solo cuando todos los controles fallan).
  • Report Format: AFRF (Authentication Failure Reporting Format). Es el formato más común y más fácil de interpretar.
  • Report Interval: 604800 (Recibirás informes una vez a la semana; esto puede ajustarse según tus preferencias).
  • Send Aggregate Mail Reports To: miemail@midominio.com
  • Send Failure Reports To: miemail@midominio.com

Si queremos una configuración más laxa podemos definir Policy en Ninguno, lo que se puede usar inicialmente si no estamos seguros de si enviamos correo desde otras aplicaciones o sistemas que no estén definidos en el registro SPF.

Comprobando el registro DMARC

Finalmente, podremos comprobar que el registro DMARC se añadió correctamente desde una herramienta cokmo mxtoolbox, seleccionamos DMARC Lookup, introducimos el dominio a comprobar y revisamos el resultado.

Configuración masiva

Para aquellos clientes que, ya sea por el número de dominios o cuentas alojados, sea difícil hacer esta configuración manualmente, disponemos de una herramienta para hacer los cambios de forma masiva, sin tener que ir uno a uno, la herramienta se ejecutaría en todas las cuentas que nos indiques, realizando los siguientes cambios:

  • Comprueba que el dominio usa nuestras DNS, imprescindible para gestionar este registro de nuestro lado.
  • Crea una cuenta de correo para los reportes llamada: dmarc@dominio.com.
  • Crea un registro DMARC no demasiado restrictivo, similar al mostrado en el ejemplo (aunque se podría personalizar).

Para más información, ponte en contacto con nosotros.