Cómo configurar Office 365 DMARC

DMARC es el último paso para proteger su correo de Office 365. Donde SPF solo verifica la dirección 5321.MailFrom, DMARC también verifica la dirección 5322.From. También le dice a los sistemas de correo receptor qué hacer con el correo enviado desde su dominio que no pasó la verificación SPF y DKIM.

Antes de que podamos comenzar con la configuración de DMARC, primero debe configurar SPF y DKIM para Office 365. Estos protocolos se usan para determinar quién puede enviar correo en nombre de su dominio.

En este artículo, veremos cómo configurar DMARC y explicaré las diferentes opciones que tiene cuando se trata de configurar DMARC.

Índice

¿Cómo funciona DMARC?

Antes de configurar DMARC, es bueno entender cómo funciona exactamente. Debido a que DMARC no solo le dice al servidor de correo receptor qué hacer con los correos electrónicos no autorizados (falsificados), también agrega un control de seguridad adicional.

El problema es que el correo electrónico puede tener múltiples encabezados De. tenemos el Correo de (5321.MailFrom), que identifica al remitente del correo. Y tenemos el De (5322.From), que se muestra en el cliente de correo.

SPF solo comprueba la Correo de dirección, lo que puede ser un problema. Tome el siguiente ejemplo de transcripción SMTP:

S: Helo stonegrovebank.com
S: Mail from: [email protected]
S: Rcpt to: [email protected]
S: data
S: To: "LazyAdmin" <[email protected]>
S: From: "Finance Stonegrove bank" <[email protected]>
S: Subject: Stonegrove bank - Important!

SPF solo comprueba la Correo de la dirección. Entonces, en este caso, la dirección IP de envío está autorizada para enviar correo para el dominio phishingdomain.com. Si los atacantes crearon un registro SPF para el dominio phishingdomain.com y enumeraron la dirección IP de envío, se aprobará la verificación SPF.

El problema es que SPF no comprueba la De dirección, ignorará por completo el hecho de que la De la dirección no coincide con la Correo de Dirección.

Cuando haya habilitado DMARC para su dominio (stonegrovebank.com en este ejemplo), el servidor receptor también verifique la dirección de origen. Esta verificación fallará porque la dirección IP de envío no figura en su registro SPF.

Supervisión, cuarentena y rechazo de correo electrónico

Otra función importante de DMARC es que le dice al servidor de correo receptor qué debe hacer con los correos electrónicos no autorizados. Antes de que podamos comenzar a mover el correo no autorizado a la carpeta de spam o rechazar el correo por completo, primero debemos estar seguros de que todos los sistemas legítimos están autorizados.

OpciónPolíticaDescripción
Vigilanciap=noneSimplemente entregue el correo (utilizado para la prueba)
Cuarentenap=quarantineMover el correo a la carpeta de correo no deseado
Rechazarp=rejectDeja el correo electrónico
Opciones de política de DMARC

Lo último que desea es que el servidor receptor elimine sus correos electrónicos legítimos porque olvidó agregar una dirección IP al registro SPF. Entonces, lo que podemos hacer es primero monitorear los resultados de DMARC, usando la configuración de la política de monitoreo.

Solo cuando estemos seguros de que todo está funcionando como se espera, podemos pasar a la cuarentena o al rechazo de correos.

Informes DMARC

La política de seguimiento siempre se utiliza en combinación con una dirección de correo electrónico a la que enviar el informe. Estos informes se generan en formato XML y le brindan información sobre los resultados de DMARC. Ahora tengo que decir que son un poco difíciles de leer:


informe DMARC xml
Informe XML DMARC

Para ayudarlo a analizar estos informes, puede usar un servicio de terceros, como dmarcly (ofrecen una prueba de 14 días para comenzar).

Puede especificar la dirección de correo electrónico para enviar los informes con la siguiente etiqueta en el TXTrecord:

rua=mailto:[email protected]; ruf=mailto:[email protected];

Como puede ver, aquí tenemos dos etiquetas diferentes que debemos proporcionar, RUA se usa para los informes agregados y RUF para los informes forenses. La mayoría de los analizadores DMARC de terceros tendrán una dirección de correo electrónico diferente para cada uno.

Después de haber monitoreado los informes de DMARC durante un par de semanas, puede comenzar a mover el correo a la carpeta de correo no deseado. De esta manera, los correos electrónicos no se perderán cuando olvidó agregar ese nuevo sistema de correo (o aplicación web) al registro SPF.

Al final, es posible que desee rechazar los correos electrónicos por completo, pero tenga en cuenta que si no está utilizando un analizador DMARC, no sabrá cuándo se descartan los correos electrónicos después de una verificación fallida de SPF y DMARC. Así que tenga cuidado con la política de rechazo.

Configurar DMARC para Office 365

Entonces, ahora que tiene una idea de cómo funciona DMARC, echemos un vistazo a cómo configurar DMARC para Office 365. Los pasos a continuación no son específicos de Office 365, pero funcionarán para cualquier dominio. Para configurar DMARC necesitamos crear un registro DNS, al igual que con SPF. Así que asegúrese de tener acceso a los registros DNS.

El primer paso es iniciar sesión en su proveedor de DNS. Estoy usando Cloudflare, si no sabe cómo crear registros DNS, comuníquese con su proveedor de alojamiento.

Vamos a crear un nuevo registro TXT DNS:

  1. Agrega un nuevo record
  2. Seleccione TXT como tipo
  3. Establezca el nombre en _dmarc
  4. Establezca el contenido en:
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=none; fo=1;

oficina 365 dmarc
oficina 365 DMARC

Lo que hace este registro es monitorear p=none todos los eventos DMARC y enviar un informe cuando falla SPF o DKIM fo=1. También monitorea todos los subdominios sp=none. Los informes se envían a la dirección de correo [email protected]

Cuando esté listo para mover el correo no autorizado a las carpetas de spam, puede cambiar el registro a lo siguiente:

v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=quarantine; fo=1;

Etiquetas DMARC

Además de las políticas y la dirección de correo de informes, también tiene un par de otras opciones que puede usar en su registro DMARC.

EtiquetaOpcionesDescripción
spninguno, cuarentena, rechazarSe utiliza para aplicar el registro DMARC a todos los subdominios. Puede establecer una política personalizada para los subdominios.
para0, 1, d o sDetermine cuándo generar un informe forense:
0: cuando fallan SPF y DKIM
1 – Cuando falla SPF o DKIM
d – Solo cuando DKIM falla
s – Solo cuando falla el SPF
pct1 – 99Porcentaje de correos electrónicos fallidos que deben ponerse en cuarentena o rechazarse. Le permite probar lentamente la política de cuarentena o rechazo. No funciona con p=ninguno
Etiquetas DMARC

Opciones de terceros para análisis DMARC

Los informes de DMARC se envían diariamente a la dirección de correo proporcionada. Los informes están formateados en XML, por lo que no son fáciles de leer o analizar. Existen diferentes soluciones de monitoreo DMARC en el mercado, como DMARCLY por ejemplo.

Estas soluciones de monitoreo no son gratuitas, pero realmente pueden ayudarlo a analizar los informes de DMARC y acelerar la implementación general.

Una vez que se haya registrado, puede personalizar y generar el registro DMARC, luego de lo cual los informes se enviarán a la herramienta de monitoreo.


Analizador DMARC

Después de un par de días, verá los primeros resultados en los informes agregados. Siga monitoreando los informes durante un par de semanas hasta que esté seguro de que todos sus sistemas están configurados correctamente en el registro SPF.


informe de office 365 dmarc
Analizador DMARC

Terminando

SPF y DKIM son pasos importantes cuando se trata de proteger su correo electrónico. Pero no te olvides de DMARC. La mayoría de las personas no implementan DMARC porque temen que no llegue el correo legítimo. Pero si comienza con la supervisión y utiliza las herramientas de supervisión de DMARC para analizar los informes, puede implementar DMARC de forma segura para su inquilino de Office 365.

Si tiene alguna pregunta, simplemente deje un comentario a continuación.


Si quieres conocer otros artículos similares a Cómo configurar Office 365 DMARC puedes visitar la categoría Office 365.

Artículos de interés

Subir

Si continuas utilizando este sitio aceptas el uso de cookies. Más información