DMARC es el último paso para proteger su correo de Office 365. Donde SPF solo verifica la dirección 5321.MailFrom, DMARC también verifica la dirección 5322.From.
También le dice a los sistemas de correo receptor qué hacer con el correo enviado desde su dominio que no pasó la verificación SPF y DKIM.
Antes de que podamos comenzar con la configuración de DMARC, primero debe configurar SPF y DKIM para Office 365.
Estos protocolos se usan para determinar quién puede enviar correo en nombre de su dominio.
En este artículo, veremos cómo configurar DMARC y explicaré las diferentes opciones que tiene cuando se trata de configurar DMARC.
¿Cómo funciona DMARC?
Antes de configurar DMARC, es bueno entender cómo funciona exactamente.
Debido a que DMARC no solo le dice al servidor de correo receptor qué hacer con los correos electrónicos no autorizados (falsificados), también agrega un control de seguridad adicional.
El problema es que el correo electrónico puede tener múltiples encabezados De. tenemos el Correo de (5321.MailFrom), que identifica al remitente del correo. Y tenemos el De (5322.From), que se muestra en el cliente de correo.
SPF solo comprueba la Correo de dirección, lo que puede ser un problema. Tome el siguiente ejemplo de transcripción SMTP:
S: Helo stonegrovebank.com S: Mail from: [email protected] S: Rcpt to: [email protected] S: data S: To: "LazyAdmin" <[email protected]> S: From: "Finance Stonegrove bank" <[email protected]> S: Subject: Stonegrove bank - Important!
SPF solo comprueba la Correo de la dirección. Entonces, en este caso, la dirección IP de envío está autorizada para enviar correo para el dominio phishingdomain.com.
Si los atacantes crearon un registro SPF para el dominio phishingdomain.com y enumeraron la dirección IP de envío, se aprobará la verificación SPF.
El problema es que SPF no comprueba la De dirección, ignorará por completo el hecho de que la De la dirección no coincide con la Correo de Dirección.
Cuando haya habilitado DMARC para su dominio (stonegrovebank.com en este ejemplo), el servidor receptor también verifique la dirección de origen.
Esta verificación fallará porque la dirección IP de envío no figura en su registro SPF.
Supervisión, cuarentena y rechazo de correo electrónico
Otra función importante de DMARC es que le dice al servidor de correo receptor qué debe hacer con los correos electrónicos no autorizados.
Antes de que podamos comenzar a mover el correo no autorizado a la carpeta de spam o rechazar el correo por completo, primero debemos estar seguros de que todos los sistemas legítimos están autorizados.
Opción | Política | Descripción |
---|---|---|
Vigilancia | p=none |
Simplemente entregue el correo (utilizado para la prueba) |
Cuarentena | p=quarantine |
Mover el correo a la carpeta de correo no deseado |
Rechazar | p=reject |
Deja el correo electrónico |
Lo último que desea es que el servidor receptor elimine sus correos electrónicos legítimos porque olvidó agregar una dirección IP al registro SPF.
Entonces, lo que podemos hacer es primero monitorear los resultados de DMARC, usando la configuración de la política de monitoreo.
Solo cuando estemos seguros de que todo está funcionando como se espera, podemos pasar a la cuarentena o al rechazo de correos.
Informes DMARC
La política de seguimiento siempre se utiliza en combinación con una dirección de correo electrónico a la que enviar el informe.
Estos informes se generan en formato XML y le brindan información sobre los resultados de DMARC. Ahora tengo que decir que son un poco difíciles de leer:

Para ayudarlo a analizar estos informes, puede usar un servicio de terceros, como dmarcly (ofrecen una prueba de 14 días para comenzar).
Puede especificar la dirección de correo electrónico para enviar los informes con la siguiente etiqueta en el TXTrecord:
rua=mailto:[email protected]; ruf=mailto:[email protected];
Como puede ver, aquí tenemos dos etiquetas diferentes que debemos proporcionar, RUA se usa para los informes agregados y RUF para los informes forenses.
La mayoría de los analizadores DMARC de terceros tendrán una dirección de correo electrónico diferente para cada uno.
Después de haber monitoreado los informes de DMARC durante un par de semanas, puede comenzar a mover el correo a la carpeta de correo no deseado.
De esta manera, los correos electrónicos no se perderán cuando olvidó agregar ese nuevo sistema de correo (o aplicación web) al registro SPF.
Al final, es posible que desee rechazar los correos electrónicos por completo, pero tenga en cuenta que si no está utilizando un analizador DMARC, no sabrá cuándo se descartan los correos electrónicos después de una verificación fallida de SPF y DMARC.
Así que tenga cuidado con la política de rechazo.
Configurar DMARC para Office 365
Entonces, ahora que tiene una idea de cómo funciona DMARC, echemos un vistazo a cómo configurar DMARC para Office 365.
Los pasos a continuación no son específicos de Office 365, pero funcionarán para cualquier dominio.
Para configurar DMARC necesitamos crear un registro DNS, al igual que con SPF. Así que asegúrese de tener acceso a los registros DNS.
El primer paso es iniciar sesión en su proveedor de DNS. Estoy usando Cloudflare, si no sabe cómo crear registros DNS, comuníquese con su proveedor de alojamiento.
Vamos a crear un nuevo registro TXT DNS:
- Agrega un nuevo record
- Seleccione TXT como tipo
- Establezca el nombre en _dmarc
- Establezca el contenido en:
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=none; fo=1;

Lo que hace este registro es monitorear p=none
todos los eventos DMARC y enviar un informe cuando falla SPF o DKIM fo=1
. También monitorea todos los subdominios sp=none
. Los informes se envían a la dirección de correo [email protected]
Cuando esté listo para mover el correo no autorizado a las carpetas de spam, puede cambiar el registro a lo siguiente:
v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=quarantine; fo=1;
Etiquetas DMARC
Además de las políticas y la dirección de correo de informes, también tiene un par de otras opciones que puede usar en su registro DMARC.
Etiqueta | Opciones | Descripción |
---|---|---|
sp | ninguno, cuarentena, rechazar | Se utiliza para aplicar el registro DMARC a todos los subdominios. Puede establecer una política personalizada para los subdominios. |
para | 0, 1, d o s | Determine cuándo generar un informe forense: 0: cuando fallan SPF y DKIM 1 – Cuando falla SPF o DKIM d – Solo cuando DKIM falla s – Solo cuando falla el SPF |
pct | 1 – 99 | Porcentaje de correos electrónicos fallidos que deben ponerse en cuarentena o rechazarse. Le permite probar lentamente la política de cuarentena o rechazo. No funciona con p=ninguno |
Opciones de terceros para análisis DMARC
Los informes de DMARC se envían diariamente a la dirección de correo proporcionada.
Los informes están formateados en XML, por lo que no son fáciles de leer o analizar.
Existen diferentes soluciones de monitoreo DMARC en el mercado, como DMARCLY por ejemplo.
Estas soluciones de monitoreo no son gratuitas, pero realmente pueden ayudarlo a analizar los informes de DMARC y acelerar la implementación general.
Una vez que se haya registrado, puede personalizar y generar el registro DMARC, luego de lo cual los informes se enviarán a la herramienta de monitoreo.

Después de un par de días, verá los primeros resultados en los informes agregados.
Siga monitoreando los informes durante un par de semanas hasta que esté seguro de que todos sus sistemas están configurados correctamente en el registro SPF.

Terminando
SPF y DKIM son pasos importantes cuando se trata de proteger su correo electrónico. Pero no te olvides de DMARC.
La mayoría de las personas no implementan DMARC porque temen que no llegue el correo legítimo.
Pero si comienza con la supervisión y utiliza las herramientas de supervisión de DMARC para analizar los informes, puede implementar DMARC de forma segura para su inquilino de Office 365.
Si tiene alguna pregunta, simplemente deje un comentario a continuación.
Otros artículos relacionados

Cómo configurar la retransmisión SMTP en Office 365
Leer Más

Office 365 Hogar vs Personal
Leer Más

Por qué debería hacer una copia de seguridad de SharePoint Online y OneDrive
Leer Más

Migración de inquilino a inquilino de Microsoft 365
Leer Más

Cómo crear y agregar una firma en Outlook y Outlook Online
Leer Más

Política de contraseñas de Azure AD – Guía completa
Leer Más