Cumplir con el protocolo de DMARC autenticación en Amazon SES - Amazon Simple Email Service
Cómo configurar la DMARC política en tu dominioImplementación DMARCCumplir DMARC con SPFCumpliendo con DMARC DKIM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cumplir con el protocolo de DMARC autenticación en Amazon SES

La autenticación, notificación y conformidad de los mensajes basados en dominios (DMARC) es un protocolo de autenticación del correo electrónico que utiliza el Sender Policy Framework (SPF) y el correo DomainKeys identificado (DKIM) para detectar la suplantación de identidad y la suplantación de identidad del correo electrónico. Para cumplir con esta normativaDMARC, los mensajes deben autenticarse mediante una de las dos SPF opcionesDKIM, pero lo ideal es que, si se utilizan ambasDMARC, se garantice el mayor nivel de protección posible para el envío de correos electrónicos.

Repasemos brevemente cuál es la función de cada una de ellas y cómo DMARC las une a todas:

  • SPF— Identifica qué servidores de correo están autorizados a enviar correo en nombre de tu MAIL FROM dominio personalizado mediante un DNS TXT registro utilizado porDNS. Los sistemas de correo de los destinatarios SPF TXT consultan el registro para determinar si un mensaje de su dominio personalizado proviene de un servidor de mensajería autorizado. Básicamente, SPF está diseñado para ayudar a evitar la suplantación de identidad, pero existen técnicas de suplantación de identidad que son susceptibles de ser utilizadas en la práctica y SPF es por eso que también es necesario utilizarlas junto con ellas. DKIM DMARC

  • DKIM— Añade una firma digital a los mensajes salientes en el encabezado del correo electrónico. Los sistemas de recepción de correo electrónico pueden usar esta firma digital para comprobar si el correo entrante está firmado por una clave propiedad del dominio. Sin embargo, cuando un sistema de correo electrónico receptor reenvía un mensaje, el sobre del mensaje se cambia de forma que se invalida SPF la autenticación. Como la firma digital permanece en el mensaje de correo electrónico porque forma parte del encabezado del correo electrónico, DKIM funciona incluso cuando un mensaje se ha reenviado entre servidores de correo (siempre y cuando el contenido del mensaje no se haya modificado).

  • DMARC— Garantiza que el dominio esté alineado con al menos uno de SPF los siguientes valoresDKIM: El uso de SPF y DKIM por sí solo no garantiza que la dirección de origen esté autenticada (es la dirección de correo electrónico que el destinatario ve en su cliente de correo electrónico). SPFsolo comprueba el dominio especificado en la MAIL FROM dirección (que el destinatario no ve). DKIMcomprueba únicamente el dominio especificado en la DKIM firma (además, el destinatario no lo ve). DMARCresuelve estos dos problemas al exigir que la alineación de los dominios sea correcta en una de las DKIM siguientes SPF opciones:

    • SPFPara pasar la DMARC alineación, el dominio de la dirección de origen debe coincidir con el dominio de la MAIL FROM dirección (también denominado ruta de retorno y dirección de origen del paquete). Esto rara vez es posible con el correo reenviado, ya que se elimina, o cuando se envía correo a través de proveedores de correo masivo externos, ya que la ruta de retorno (MAILFROM) se utiliza para rebotes y quejas que el proveedor (SES) rastrea con una dirección de su propiedad.

    • DKIMPara que la DMARC alineación sea correcta, el dominio especificado en la DKIM firma debe coincidir con el dominio de la dirección de origen. Si utilizas remitentes o servicios de terceros que envían correo en tu nombre, asegúrate de que el remitente externo esté correctamente configurado para DKIM firmar y de que hayas agregado los DNS registros correspondientes en tu dominio. Los servidores de correo receptores podrán entonces verificar el correo que les haya enviado un tercero como si lo hubiera enviado una persona autorizada a usar una dirección del dominio.

Poniéndolo todo junto con DMARC

Las comprobaciones de DMARC alineación que mencionamos anteriormente muestran cómo SPFDKIM, y DMARC todas funcionan juntas para aumentar la confianza en tu dominio y la entrega de tu correo electrónico a las bandejas de entrada. DMARCPara ello, se asegura de que la dirección de origen, vista por el destinatario, esté autenticada por una de las siguientes opciones: SPF DKIM

  • Se transmite un mensaje DMARC si se aprueba una o ambas de las DKIM comprobaciones descritas SPF o las dos.

  • Se produce un error en un mensaje DMARC si no se cumplen las dos comprobaciones descritas SPF o DKIM las comprobaciones.

Por lo tanto, ambas SPF DKIM son necesarias DMARC para tener la mejor oportunidad de autenticar el correo electrónico enviado y, si utilizas las tres, te asegurarás de tener un dominio de envío totalmente protegido.

DMARCtambién te permite indicar a los servidores de correo electrónico cómo gestionar los correos electrónicos cuando no se DMARC autentican mediante las políticas que tú establezcas. Esto se explicará en la siguiente secciónCómo configurar la DMARC política en tu dominio, que contiene información sobre cómo configurar sus SES dominios para que los correos electrónicos que envíe cumplan con el protocolo de DMARC autenticación a través de ambos métodosSPF. DKIM

Cómo configurar la DMARC política en tu dominio

Para configurarlaDMARC, debes modificar la DNS configuración de tu dominio. La DNS configuración de tu dominio debe incluir un TXT registro que especifique la DMARC configuración del dominio. Los procedimientos para añadir TXT registros a tu DNS configuración dependen del proveedor de alojamiento DNS o del proveedor de alojamiento que utilices. Si utiliza Route 53, consulte Trabajar con registros en la Guía para desarrolladores de Amazon Route 53. Si usa otro proveedor, consulte la documentación DNS de configuración de su proveedor.

El nombre del TXT registro que cree debe ser _dmarc.example.com «Dónde example.com está su dominio». El valor del TXT registro contiene la DMARC política que se aplica a su dominio. El siguiente es un ejemplo de un TXT registro que contiene una DMARC política:

Nombre Tipo Valor
_dmarc.example.com TXT "v=DMARC1;p=quarantine;rua=mailto:my_dmarc_report@example.com"

En el ejemplo DMARC de política anterior, esta política indica a los proveedores de correo electrónico que hagan lo siguiente:

  • En el caso de los mensajes que no se puedan autenticar, envíelos a la carpeta de correo no deseado según lo especificado en el parámetro de política,p=quarantine. Otras opciones incluyen no hacer nada mediante p=none el uso o rechazar el mensaje directamente mediante el uso. p=reject

    • En la siguiente sección se explica cómo y cuándo utilizar estas tres configuraciones de política. Si se utiliza una configuración incorrecta en el momento incorrecto, puede provocar que el correo electrónico no se entregue, consulte. Mejores prácticas de implementación DMARC

  • Envíe informes sobre todos los correos electrónicos que no se hayan autenticado correctamente en un resumen (es decir, un informe que agrupe los datos de un período de tiempo determinado, en lugar de enviar informes individuales para cada evento) según lo especificado en el parámetro de informes rua=mailto:my_dmarc_report@example.com (rua son las siglas de Reporting URI for Aggregate Reports). Normalmente, los proveedores de correo electrónico envían estos informes agregados una vez al día, aunque estas políticas difieren de un proveedor a otro.

Para obtener más información sobre la configuración DMARC de tu dominio, consulta la descripción general del sitio DMARC web.

Para ver las especificaciones completas del DMARC sistema, consulte el DMARCborrador del Grupo de Trabajo de Ingeniería de Internet (IETF).

Mejores prácticas de implementación DMARC

Lo mejor es implementar la aplicación DMARC de sus políticas de forma gradual y gradual para que no interrumpa el resto del flujo de correo. Cree e implemente un plan de implementación que siga estos pasos. Realice cada uno de estos pasos primero con cada uno de sus subdominios y, finalmente, con el dominio de nivel superior de su organización antes de pasar al siguiente paso.

  1. Supervisa el impacto de la implementación DMARC (p=none).

    • Comience con un registro sencillo en modo de supervisión para un subdominio o dominio en el que se solicite que las organizaciones receptoras de correo le envíen estadísticas sobre los mensajes que vean utilizando ese dominio. Un registro en modo de supervisión es un DMARC TXT registro cuya política está establecida como ninguna. p=none

    • Los informes generados mediante este DMARC método indicarán el número y el origen de los mensajes que superen estas comprobaciones, en comparación con los que no. Puedes ver fácilmente qué parte de tu tráfico legítimo está cubierto o no por ellos. Verás señales de reenvío, ya que los mensajes reenviados fallarán SPF y DKIM si se modifica el contenido. También empezarás a ver cuántos mensajes fraudulentos se están enviando y desde dónde se envían.

    • Los objetivos de este paso son saber qué correos electrónicos se verán afectados al implementar uno de los dos pasos siguientes y lograr que cualquier tercero o remitente autorizado armonice sus DKIM políticas SPF o políticas.

    • Lo mejor para los dominios existentes.

  2. Solicita que los sistemas de correo externos pongan en cuarentena el correo que no funcione DMARC (p=quarantine).

    • Si cree que todo o la mayor parte de su tráfico legítimo se envía en función del dominio correspondiente a uno SPF u DKIM otro dominio y comprende el impacto de la implementaciónDMARC, puede implementar una política de cuarentena. Una política de cuarentena es un DMARC TXT registro cuya política está configurada como puesta en cuarentena. p=quarantine De este modo, pides a los DMARC destinatarios que coloquen los mensajes de tu dominio que no lleguen a la carpeta local, equivalente a una carpeta de correo no deseado, DMARC en lugar de en las bandejas de entrada de tus clientes.

    • Ideal para dominios en transición que han analizado los DMARC informes durante el paso 1.

  3. Solicita que los sistemas de correo externos no acepten los mensajes que fallen DMARC (p=rechazar).

    • La implementación de una política de rechazo suele ser el último paso. Una política de rechazo es un DMARC TXT registro que tiene su política configurada para rechazarp=reject. Al hacerlo, estás pidiendo a los DMARC destinatarios que no acepten los mensajes que no pasen las DMARC comprobaciones, lo que significa que ni siquiera se pondrán en cuarentena en una carpeta de correo no deseado o basura, sino que se rechazarán sin rodeos.

    • Cuando utilices una política de rechazo, sabrás exactamente qué mensajes no cumplen con esa DMARC política, ya que el rechazo provocará un rebote. SMTP Con la cuarentena, los datos agregados proporcionan información sobre los porcentajes de correos electrónicos aprobados o rechazados y DMARC las SPF DKIM comprobaciones.

    • Ideal para dominios nuevos o dominios existentes que hayan pasado por los dos pasos anteriores.

Cumplir DMARC con SPF

Para que un correo electrónico cumpla con DMARC las siguientes condicionesSPF, se deben cumplir las dos condiciones siguientes:

  • El mensaje debe pasar una SPF comprobación en función de si dispone de un registro SPF (tipoTXT) válido que deba publicarse en la DNS configuración de su MAIL FROM dominio personalizado.

  • El dominio de la dirección de origen del encabezado del correo electrónico debe alinearse (coincidir) con el dominio o un subdominio del que se especifique en la MAIL FROM dirección. Para lograr la SPF alineación conSES, la DMARC política del dominio no debe especificar una SPF política estricta (aspf=s).

Para cumplir estos requisitos, siga los pasos que se describen a continuación:

  • Configure un MAIL FROM dominio personalizado realizando los procedimientos que se indican en. Uso de un dominio MAIL FROM personalizado

  • Asegúrese de que su dominio de envío utilice una política flexible paraSPF. Si no has cambiado la alineación de las políticas de tu dominio, este también utilizará una política flexible de forma predeterminadaSES.

    nota

    Para determinar la DMARC alineación de su dominio, escriba SPF el siguiente comando en la línea de comandos y example.com reemplácelo por su dominio:

    dig TXT _dmarc.example.com

    En el resultado de este comando, bajo Non-authoritative answer, busque un registro que empiece por v=DMARC1. Si este registro incluye la cadenaaspf=r, o si la aspf cadena no está presente en absoluto, entonces tu dominio utiliza una alineación relajada paraSPF. Si el registro incluye la cadenaaspf=s, tu dominio utiliza una alineación estricta paraSPF. El administrador del sistema tendrá que eliminar esta etiqueta del DMARC TXT registro de la DNS configuración de su dominio.

    Como alternativa, puedes usar una herramienta de DMARC búsqueda basada en la web, como el DMARCInspector del sitio web de dmarcian o la herramienta DMARC Check Tool del MxToolBox sitio web, para determinar la alineación de las políticas de tu dominio. SPF

Cumpliendo con DMARC DKIM

Para que un correo electrónico cumpla con DMARC las siguientes condicionesDKIM, se deben cumplir las dos condiciones siguientes:

  • El mensaje debe tener una DKIM firma válida y pasar el DKIM control.

  • El dominio especificado en la DKIM firma debe alinearse (coincidir) con el dominio de la dirección de origen. Si la DMARC política del dominio especifica una alineación estrictaDKIM, estos dominios deben coincidir exactamente (SESusa una DKIM política estricta de forma predeterminada).

Para cumplir estos requisitos, siga los pasos que se describen a continuación:

  • Para configurar Easy, complete DKIM los procedimientos que se indican enEasy DKIM en Amazon SES. Cuando utilizas EasyDKIM, Amazon firma SES automáticamente tus correos electrónicos.

    nota

    En lugar de usar EasyDKIM, también puedes firmar tus mensajes manualmente. Sin embargo, ten cuidado si decides hacerlo, ya que Amazon SES no valida la DKIM firma que construyes. Por este motivo, te recomendamos encarecidamente que utilices EasyDKIM.

  • Asegúrese de que el dominio especificado en la DKIM firma esté alineado con el dominio de la dirección de origen. O bien, si lo envía desde un subdominio del dominio en la dirección de origen, asegúrese de que su DMARC política esté configurada de manera flexible.

    nota

    Para determinar la DMARC alineación de su dominio, escriba DKIM el siguiente comando en la línea de comandos y example.com reemplácelo por su dominio:

    dig TXT _dmarc.example.com

    En el resultado de este comando, bajo Non-authoritative answer, busque un registro que empiece por v=DMARC1. Si este registro incluye la cadenaadkim=r, o si la adkim cadena no está presente en absoluto, entonces tu dominio utiliza una alineación relajada paraDKIM. Si el registro incluye la cadenaadkim=s, tu dominio utiliza una alineación estricta paraDKIM. El administrador del sistema tendrá que eliminar esta etiqueta del DMARC TXT registro de la DNS configuración de su dominio.

    Como alternativa, puedes usar una herramienta de DMARC búsqueda basada en la web, como el DMARCInspector del sitio web de dmarcian o la herramienta DMARC Check Tool del MxToolBox sitio web, para determinar la alineación de las políticas de tu dominio. DKIM