<spf> alignment for dmarc

Alineación de dominios SPF para DMARC

DMARC es un estándar de autenticación de correo electrónico, desarrollado para combatir el correo fraudulento que suplantaba dominios.
Para la alineación de dominios, requiere que:

   cuando un remitente autentica su correo electrónico mediante SPF o DKIM,  
   al menos uno de los dominios debe coincidir con el dominio «De» del mensaje

Para cumplir con el SPF (Sender Policy Framework), hay que tener en cuenta dos dominios:

• la dirección del remitente, que es visible para los destinatarios
• la dirección «Mail-From» (también denominada «remitente del sobre» o «ruta de retorno»), que está oculta

DMARC admite dos tipos de alineación SPF: alineación flexible y alineación estricta.
Si no se especifica la alineación estricta, se asume por defecto la alineación flexible.

alineación flexible

Con la alineación flexible, solo el dominio raíz de la dirección «Mail-From» debe coincidir con el dominio raíz de la dirección «From».
La alineación flexible permite utilizar cualquier subdominio y seguir cumpliendo el requisito de alineación de dominios.

ejemplo:

• Si tu dominio «Mail-From» es mail.abc.com y tu dominio «From» es abc.com,
  tu correo electrónico superará la comprobación de alineación SPF (los dominios raíz «abc.com» coinciden).

• Si tu dominio «Mail-From» es abc.mail.com y tu dominio «From» es abc.com,
  tu correo electrónico NO superará la comprobación de alineación SPF (los dominios raíz «mail.com» y «abc.com» no coinciden)

alineación estricta

En el caso de la coincidencia exacta, el dominio de la dirección «Mail-From» debe coincidir exactamente con el dominio de la dirección «From».

ejemplo:

• Si tu dominio «Mail-From» es mail.abc.com y tu dominio «From» es mail.abc.com,
  tu correo electrónico superará la comprobación de coincidencia SPF (los dominios «mail.abc.com» coinciden).

• Si tu dominio «Mail-From» es «mail.abc.com» y tu dominio «From» es «abc.com»,
  tu correo electrónico NO superará la comprobación de alineación SPF (los dominios «mail.abc.com» y «abc.com» no coinciden).

<dkim> alignment for dmarc

Alineación de dominios DKIM para DMARC

DMARC es un estándar de autenticación del correo electrónico, desarrollado para combatir el correo fraudulento que suplantaba dominios.
En cuanto a la alineación de dominios, exige que:

   cuando un remitente autentica su correo electrónico mediante SPF o DKIM,  
   al menos uno de los dominios debe coincidir con el dominio «De» del mensaje

Para que sea válido según DKIM (DomainKeys Identified Mail),
el dominio de firma DKIM (DKIM-Signature: d=…) debe coincidir con el dominio del remitente.

DMARC admite dos tipos de alineación DKIM: alineación flexible y alineación estricta.
Si no se especifica la alineación estricta, se asume por defecto la alineación flexible.

alineación flexible

Con la alineación flexible, solo la raíz del dominio de firma DKIM debe coincidir con el dominio del campo «De» del remitente.
La alineación flexible permite utilizar cualquier subdominio y seguir cumpliendo el requisito de alineación de dominios.

ejemplo:

• Si tu dominio de firma DKIM es mail.abc.com y tu dominio «De» es abc.com,
  tu correo electrónico superará la comprobación de coincidencia DKIM (los dominios raíz «abc.com» coinciden).

• Si tu firma DKIM es abc.mail.com y tu dominio «De» es abc.com,
  tu correo electrónico NO superará la comprobación de alineación DKIM (los dominios raíz «mail.com» y «abc.com» no coinciden).

alineación estricta

Para que la alineación sea estricta, el dominio de la firma DKIM debe coincidir exactamente con el dominio de la dirección «De» del remitente.

ejemplo:

• Si tu dominio de firma DKIM es mail.abc.com y tu dominio «De» es mail.abc.com,
  tu correo electrónico superará la comprobación de coincidencia DKIM (los dominios «mail.abc.com» coinciden).

• Si tu dominio de firma DKIM es mail.abc.com y tu dominio «De» es abc.com,
  tu correo electrónico NO superará la comprobación de coincidencia de DKIM (los dominios «mail.abc.com» y «abc.com» no coinciden).

<dmarc> detects fake emails

Explicación de DMARC

DMARC son las siglas de: Autenticación, Notificación y Conformidad de Mensajes Basadas en Dominios.
Se trata de un estándar de autenticación de correo electrónico, desarrollado para combatir el correo electrónico que suplantaba dominios.

Remitentes:

• autenticar sus correos electrónicos mediante SPF y DKIM
• publicar una «política DMARC» sobre cómo gestionar el correo no autenticado

Receptores:

• tomar medidas con respecto al correo no autenticado, basándose en la «política DMARC» del remitente
• informar al remitente del resultado

En el caso de algunos proveedores de correo electrónico, esto influye de manera significativa en la capacidad de entrega; véase:
Cómo funciona DMARC con Gmail y Office 365 en 2020 *
«Office 365 suele responder bien a la autenticación SPF y DKIM.
La única forma de obtener resultados consistentes y llegar a la bandeja de entrada es combinarlos con DMARC»

* = enlace a una página web externa; se abrirá en una nueva pestaña

Cómo hacer que DMARC funcione

DMARC utiliza SPF (Sender Policy Framework) y DKIM (Domain Keys Identified Mail)
para gestionar los casos en los que un correo electrónico no supera las pruebas de autenticación.

SPF exige que se especifiquen los servidores que se utilizan para enviar mensajes de correo electrónico.
Consulte cómo configurar SPF para obtener más información y configurarlo correctamente.

Los servidores SMTP de RealSender firman todos los mensajes de correo electrónico salientes con la firma DKIM.
Es necesario realizar una configuración si deseas firmar con el mismo dominio del remitente.
Consulta cómo configurar DKIM para obtener más información.

RealSender te ofrece un buzón que recopila los informes DMARC generados por los destinatarios.

Cómo configurar DMARC

1. Al principio, debes configurar la etiqueta de política en «none» (p=none),
   lo que significa que el proveedor de buzones de correo no tomará ninguna medida con respecto a los correos electrónicos falsificados o de phishing.
   Debes añadir un registro TXT en tu dominio (example.com), que debería tener este aspecto:
   

_dmarc.example.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc.example@rsbox.com"

2. A partir del día siguiente, empezarás a recibir los informes DMARC RUA en línea.
   
   Es posible que te des cuenta de que te has olvidado de autenticar una campaña de correo electrónico enviada por un tercero.
   Si ocurre algo así, solo tienes que autentificarla y comprobar que el siguiente envío supere las pruebas DMARC.

3. Cuando los informes sean correctos durante unas semanas, indica a los proveedores de correo electrónico que rechacen o bloqueen esos correos electrónicos falsificados o de phishing.
   
   El registro TXT _dmarc de tu dominio debe modificarse para que quede así:

«v=DMARC1; p=reject; rua=mailto:dmarc.example@rsbox.com»

Inconvenientes de DMARC

Si su organización utiliza DMARC, deberá consultar detenidamente
antes de implementar cualquier nuevo método de envío de correo electrónico.

Dmarc aplica políticas estrictas sobre cómo se comprueban SPF y DKIM
Esto puede provocar que los proveedores de correo electrónico rechacen mensajes que, de otro modo, superarían esas comprobaciones
.

Aunque todo esté configurado correctamente, es posible que la verificación falle:

• la comprobación SPF, si el correo electrónico ha sido redirigido (reenviado) o enviado a través de una lista de correo
• la comprobación de DKIM, si el mensaje ha sido modificado, lo que invalida la firma DKIM

<dmarc> rua reports online

RealSender recopila y analiza los informes DMARC RUA(*) por ti.

* = Significado de «rua»:
URI de informe para datos agregados. 

En RealSender, la «rua» es la dirección de correo electrónico facilitada a los clientes,
, a la que se envían informes agregados por parte de los dominios
que han recibido correos que afirman proceder de tu dominio.

Los informes se generan todos los días a las 13:00 (CET) y recogen los datos de los últimos siete días.

Este es un informe en línea de DMARC; página de ejemplo: