DMARC, protección frente al pishing, scam, spoofing en Cpanel

Proteccion DMARC, frente al phising, spoofing y scam

DMARC es un protocolo de autenticación de correo electrónico, diseñado para conceder una mayor protección a los propietarios de dominios, una mayor protección a su dominio, contra el uso no autorizado del mismo, lo que conocemos como spoofing, el phising, el scam y otras amenazas.

Es un standard pero en estado de información (no obligatorio) pero que a día de hoy es usado por los grandes operadores de correo electrónico, y con una gran penetración de uso.

Editado: 26/Marzo/2023

Cómo funciona DMARC

Cada dominio tiene que tener una entrada DNS tipo TXT (DMARC), que cualquier servidor de correo electrónico puede consultar para autenticar el mensaje según las instrucciones de dicha entrada, si a cierta desconfianza o si la desconfianza es total. Así, el correo puede ser entregado, puesto en cuarentena o rechazado.

En uso conjunto con Sender Policy Framework (SPF) y DKIM (Llaves de identificacions del correo electrónico) permite al propietario indicar que mecanismo emplea durante el envío de los mensajes de correo electrónico. En particular como verificar el campo From: (Desde:) que se presenta a los usuarios finales.

DMARC y Castris

Por defecto, se instalan estos mecanismos, pero puede existir usuarios que por su antigüedad, por la manipulación de algún “experto” contratado que los elimino, o por error en su compresión, pueden haber sido eliminados.

Pero no te preocupes, puedes volver a configurarlos.

Configurar DMARC cuando se usan servidores de correo externos

Recuerda que si tu proveedor de correo es otro (gmail, servidores antispam, servicios externos de correo,…) deberás consultar con el administrador de ese servicio de correo, como deben ser los registros, o de lo contrario tu correo se verá seriamente afectado, ya que estas entradas dependen del servidor de correo que uses.

Configurar DMARC cuando se usan servidores DNS externos.

Si usas servidores de DNS diferentes de los de Castris, deberás añadir los registros creados en Cpanel, a tu servidor de DNS, con el fin de que sean validos, los registros insertados, en el servidor de Castris.

Configurar los registros DMARC en Cpanel

Debemos entrar en el editor de DNS en nuestro panel de control Cpanel > Editor de Zona

Edicion en Cpanel de zona DNS, registro DKIM, DMARC, SPF

Si hacemos click en la zona que queremos editar, y después seleccionamos TXT para ver sólo los registros de la zona de tipo TXT, nos encontraremos con una imagen que nos indicará si el dominio tiene o no tiene el registro DMARC

En el caso de la imagen, vemos que tiene registro DKIM y SPF, pero no DMARC.

Añadimos el registro haciendo click en + Añadir Registro  y seleccionando > Add “TXT” Records

Adición del registro DMARC en cPanel
En Castris usamos un TTL bajo de 3600 al usar DNS de diferentes proveedores, siendo el principal un servidor única y exclusivamente dedicado como DNS Server. Es habitual que se use 14400 (segundos) en otros proveedores.

Campo Configuración
Nombre _dmarc
TTL 3600
Tipo TXT
Registro
En este campo debemos configurar la forma en que los servidores de los destinatarios manejen el correo de su dominio que falla en la validación SPF/DKIM
Nada v=DMARC1; p=none; sp=none; rf=afrf; pct=100; ri=86400
Rechazar v=DMARC1; p=reject; sp=none; rf=afrf; pct=100; ri=86400
Poner en cuarentena v=DMARC1; p=quarantine; sp=none; rf=afrf; pct=100; ri=86400
De forma alternativa, podemos solicitar que el informe del correo no validado seá enviado a una dirección nuestro de control
Nada v=DMARC1; p=none; sp=none; ruf=mailto:user@example.com; rf=afrf; pct=100; ri=86400
Rechazar v=DMARC1; p=reject; sp=none; rf=afrf; pct=100; ruf=mailto:user@example.com; ri=86400
Poner en cuarentena v=DMARC1; p=quarantine; sp=none; ruf=mailto:user@example.com; rf=afrf; pct=100; ri=86400

Una vez añadido el registro, ya habremos añadido la protección DMARC a nuestro correo, pero es importante que los registros SPF y DKIM también estén debidamente configurados.

Puedes comprobar, crear o modificar tus registro DKIM, SPF en tu panel de control cPanel siguiendo los pasos de este otro artículo: Como comprobar, editar o añadir los registros SPF, DKIM en cPanel

 

Sobre el mailto en un dominio externo ruf=mailto:

Añadido el 26/03/2023

Una cuestión que no estaba en la primera versión de este documento es la relativa al uso de una direccion de correo electronico (email)  con un dominio diferente al que estamos configurando.

Esto supone un paso adicional, que de no relizarse, se incumple el RFC que regula el DMARC, al no estar autorizadas esa dirección de correo.

La forma de havcerlo es añadir en el dominio de ese correo de destino, una entrada DMARC que sirve de autorización.

Ejemplo. Queremos enviar el correo a la cuenta dmarc@dominioexterno.com en el dominio midominio.com

Tendremos que crear una entrada TXT en el zona del dominio dominioexterno.com con los siguientes datos

Nombre registro TTL  Clave  Tipo  Destino
midominio.com._report._dmarc 1800 IN TXT «v=DMARC1;»

El TTL 1800 es un ejemplo. Deberás ajustar ese valor al tus valores de zona.

 

Agradecimientos

Gracias a NASA por su foto, obtenida de Unsplash

Comparte este articulo en

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *