Configurar un registro DMARC en cPanel

A continuación te explicaremos cómo configurar un registro DMARC en cPanel.

Un registro DMARC sirve para especificar a los servidores de correo remotos cómo deben manejarse los mails de aquellos dominios que no tengan una configuración de registro SPF y DKIM válida.

Es decir, si llega un mensaje a un servidor que no pasa alguna de las dos verificaciones SPF o DKIM, entonces comprueba el tipo de política definida en DMARC para actuar en consecuencia.

Antes de añadir el registro DMARC, asegúrate que tienes bien configurado el SPF y/o DKIM.

Por lo tanto DMARC no verifica nada por si solo, necesita de SPF y DKIM para activar su política.

De esta forma, el administrador del dominio puede protegerlo en el caso de que alguien quiera usarlo para realizar ataques de phising o de spoofing.

Muchos proveedores de email como Gmail, Hotmail o Yahoo utilizan el estándar DMARC ya que incrementa las posibilidades de que el correo electrónico se entregue correctamente.

Te explicaremos paso a paso el procedimiento:

1- Ingresa a tu cPanel con tus datos de acceso.

2- Haz clic en “Zone editor” que se encuentra en la sección “Dominios”:

3- Luego tienes que hacer clic en el botón “administrar” que corresponda al dominio al cual quieres agregarle el DMARC:

4- Ahora haz clic en “Añadir Registro” que se encuentra en la parte superior a la derecha:

En la columna “tipo” haz clic en la lista desplegable y selecciona “DMARC”:

5- Luego aparece el siguiente formulario:

Se autocompletarán los campos con los valores de nombre, TTL y tipo.

Policy / Subdomain policy:

Determina qué hacer con el email si falla su autenticación. Los tres valores admitidos son p=none, p=quarentine y p=reject.

“None” solo informa, no toma ninguna acción. Recibirás notificaciones de los mails que pasan o no pasan la verificación.

“Quarentine” permite a los destinatarios tratar el correo electrónico que no pasa la verificación DMARC como sospechoso. La mayoría de las veces, terminarán en su carpeta de SPAM.

“Reject” solicita a los destinatarios que rechacen el correo electrónico que no pasa la verificación DMARC.

El valor estándar que se recomienda es “quarentine”.

DKIM Mode y SPF Mode: Se refiere a la relación entre el dominio que figura en el return path y el FROM HEADER de un correo electrónico. Dado que el SPF y el DKIM autentican solo el dominio del return path e ignoran el FROM HEADER, DMARC aborda esto con su mecanismo de alineación.

Como sabemos, cualquiera puede falsificar cualquier dominio con mucha facilidad. Sin embargo, la alineación DMARC agrega una capa de seguridad en la que FROM HEADER será referenciada y comparada tanto con el return path del SPF como con el tag domain del DKIM.

  • Comparamos el FROM HEADER con el return path.
  • Verificamos que el FROM HEADER junto los atributos de clave estén incrustados dentro de su firma DKIM.

DMARC viene con modos de alineación (strict y relaxed) tanto para SPF como para DKIM. Cuando se opta por el modo estricto, tanto el dominio de origen como el dominio de encabezado FROM deben ser idénticos. Sin embargo, la alineación relajada es mucho más adecuada si se utilizan subdominios para enviar correos electrónicos, donde solo los dominios de nivel superior deben ser idénticos.

Podemos dejar por defecto a DKIM Mode y a SPF Mode en relaxed.

Percentage:

En cuanto a “percentage” (pct), se usa en combinación con DMARC policy (p) para indicar a los servidores de correo receptores cómo aplicar el valor de la política de DMARC a los mensajes entrantes que fallan en DMARC.

La etiqueta pct le dice al servidor receptor el porcentaje de mensajes de correo electrónico en los que se aplica la política DMARC establecida.

Por ejemplo:

En el ejemplo, el registro DMARC ha indicado al servidor receptor que rechace el 80% del correo electrónico que falla en la autenticación DMARC.

Generate Failure Reports When:

Podemos seleccionar cuándo generar un reporte de fallos.

Si cuando fallan todos los check (All Cheks Fail) o si solo falla uno de ellos (Any Check Fails).

Podemos seleccionar el que está por defecto “ Any Check Fails”.

Report Format:

Corresponde al formato que se utilizará para la generación de informes de errores específicos (lista de valores en texto plano separados por dos puntos; el valor predeterminado es «AFRF»). El valor de esta etiqueta (rf) es una lista de uno o más formatos de informe solicitados por MTA emisor al MTA receptor que se utilizarán cuando un mensaje no supere las pruebas [SPF] y [DKIM] para informar los detalles de la falla individual.

Report Interval:

Este valor define el tiempo en segundos entre los informes solicitados al MTA receptor. Los MTA receptores deben poder enviar informes diarios (86400s) y deben poder enviar informes cada hora (3600s) cuando se soliciten.

Send Aggregate Mail Reports To:

En este campo debemos añadir la cuenta de correo donde queremos recibir los informes diarios que nos enviarán los servidores que reciban nuestros emails, siempre y cuando realicen comprobaciones DMARC (admitan DMARC). Se recomienda no usar una la cuenta de email habitual.

Puede agregar más valores separados con coma.

Recibirás un email como el siguiente:

From: noreply@dmarc.yahoo.com
To: admin@baehost.com
Subject: Report Domain: baehost.com Submitter: yahoo.com Report-ID: <1496110592.916792>
In the attachment you will see an XML file with the same name as the zip archive.
<?xml version="1.0"?>   
<feedback>      
  <report_metadata>     
    <org_name>Yahoo! Inc.</org_name>    
    <email>postmaster@dmarc.yahoo.com</email>   
    <report_id>1496110592.916792</report_id>    
    <date_range>        
      <begin>1496016000</begin> 
      <end>1496102399 </end>    
    </date_range>       
  </report_metadata>    
  <policy_published>    
    <domain>baehost.com</domain>       
    <adkim>r</adkim>    
    <aspf>r</aspf>      
    <p>none</p> 
    <pct>100</pct>      
  </policy_published>   
  <record>      
    <row>       
      <source_ip>d02.baehost.com</source_ip>   
      <count>1</count>  
      <policy_evaluated>        
        <disposition>none</disposition> 
        <dkim>fail</dkim>       
        <spf>fail</spf> 
      </policy_evaluated>       
    </row>      
    <identifiers>       
      <header_from>baehost.com</header_from>   
    </identifiers>      
    <auth_results>      
      <dkim>    
        <domain>web.baehost.com</domain>       
        <result>neutral</result>        
      </dkim>   
      <spf>     
        <domain>web.baehost.com</domain>       
        <result>none</result>   
      </spf>    
    </auth_results>     
  </record>     
</feedback>             

Send Failure Reports To:

Aquí debemos colocar el email donde queremos recibir el informe de los emails que han fallado.

Puede agregar más valores separados con coma.


Además de la configuración manual del registro DMARC, existen muchas herramientas útiles disponibles que te ayudan a crear un registro DMARC en pocos clics. Esta disponible la herramienta DMARC Generator Tool de mxtools y encontrarás variedad de generadores en el sitio oficial de dmac.org.

Deja una respuesta