Cómo funciona DMARC - Actualizado
¿Cómo funciona DMARC con Gmail y Office 365? (actualizado)
Hemos vuelto a comprobar cómo afecta la autenticación del correo electrónico a la entrega
en las cuentas de Google Mail y Office 365, los proveedores de correo electrónico empresarial más populares.
Los resultados se pueden dividir en dos grupos:
entrega de correos electrónicos
(cómo afectan SPF, DKIM y DMARC a la entrega de los mensajes enviados)
# Gmail: los correos electrónicos siempre se aceptan; parece que la autenticación SPF no se tiene en cuenta en absoluto
La firma DKIM solo se evalúa si coincide con la dirección de correo electrónico del remitente y DMARC está configurado con la política «cuarentena» o «rechazo».
# Office 365: responde plenamente a SPF; cuando un mensaje supera la comprobación SPF, llega a la bandeja de entrada.
La firma DKIM solo se tiene en cuenta si coincide con la dirección de correo electrónico del remitente; de lo contrario, no importa.
Notas: en la última semana de agosto, Office 365 tuvo un comportamiento extraño:
solo los mensajes firmados con DKIM (dominio de firma alineado con la dirección del remitente)
y con el registro DMARC configurado (con cualquier política), se entregaron en la bandeja de entrada
protección contra la suplantación de identidad
(cómo SPF, DKIM y DMARC protegen la dirección de correo electrónico del remitente contra la suplantación de identidad*)
* = hacer que el mensaje parezca provenir de alguien distinto del remitente real
# Gmail: al activar DMARC, los remitentes suplantados se filtran a la carpeta de spam (con p=quarantine) o se rechazan (con p=reject).
No ocurre nada si la política se establece en «none» (p=none); en este caso, todos los mensajes llegan a la bandeja de entrada.
# Office 365: los resultados «spf fail» o «spf softfail» son suficientes para enviar los remitentes falsos a la carpeta de correo no deseado.
requisitos de autenticación
Los requisitos de autenticación del correo electrónico propuestos se resumen a continuación:
| entrega de correos electrónicos | protección contra la suplantación de identidad | |
|---|---|---|
| Gmail | Contraseña DKIM (alineada con el dominio) | Configuración de DMARC con p=quarantine o p=reject |
| Office 365 | SPF válido y DKIM válido (alineado con el dominio) | spf activado y dmarc activado (para mayor seguridad) |
Resultados de la prueba de entrega de correos electrónicos
A continuación se muestra la lista completa de las pruebas que se han realizado
| Gmail | Google Mail (configuración de DMARC) |
Office 365 | Office 365: Configuración de DMARC ( ) |
||
|---|---|---|---|---|---|
| spf Pass | dkim none | bandeja de entrada | bandeja de entrada | bandeja de entrada | bandeja de entrada |
| Error de SPF | dkim none | bandeja de entrada | correo basura | basura | basura |
| spf SoftFail | dkim none | bandeja de entrada | correo basura | basura | basura |
| sin protección solar | dkim none | bandeja de entrada | correo basura | basura | basura |
| spf Pass | Diferencias en DKIM | bandeja de entrada | bandeja de entrada | bandeja de entrada | bandeja de entrada |
| Error de SPF | Diferencias en DKIM | bandeja de entrada | correo basura | basura | basura |
| spf SoftFail | Diferencias en DKIM | bandeja de entrada | correo basura | basura | basura |
| sin protección solar | Diferencias en DKIM | bandeja de entrada | correo basura | basura | basura |
| spf Pass | contraseña de DKIM | bandeja de entrada | bandeja de entrada | bandeja de entrada | bandeja de entrada |
| Error de SPF | contraseña de DKIM | bandeja de entrada | bandeja de entrada | bandeja de entrada | bandeja de entrada |
| spf SoftFail | contraseña de DKIM | bandeja de entrada | bandeja de entrada | bandeja de entrada | bandeja de entrada |
| sin protección solar | contraseña de DKIM | bandeja de entrada | bandeja de entrada | bandeja de entrada | bandeja de entrada |
| spf Pass | DKIM no válido | bandeja de entrada | bandeja de entrada | bandeja de entrada | bandeja de entrada |
| Error de SPF | DKIM no válido | bandeja de entrada | correo basura | basura | basura |
| spf SoftFail | DKIM no válido | bandeja de entrada | correo basura | basura | basura |
| sin protección solar | DKIM no válido | bandeja de entrada | correo basura | basura | basura |
Notas:
- Si la dirección «De» (remitente visible) y el campo «Mail-from» (también denominado «envelope from» o «return-path») coinciden, se refieren al mismo dominio
- «dkim pass»: el dominio de firma DKIM coincide con el de la dirección del remitente (los dominios coinciden)
- «dkim diff»: el dominio de firma DKIM es diferente al de la dirección del remitente (los dominios NO coinciden)