Qué es DMARC y cómo implementarlo AHORA
Publicado el 06 de noviembre de 2015La semana pasada vimos por qué es indispensable tener las validaciones de SPF y DKIM implementadas. Durante mucho tiempo estas validaciones fueron una forma más de mejorar la entrega de tus emails, hasta convertirse en algo esencial y fundamental de cualquier estrategia de email marketing. El tema es que las estrategias de los spammers también se fueron actualizando y encontraron una forma de utilizar estas validaciones para su provecho. A su vez, SPF y DKIM distan bastante de ser universalmente implementados y peor todavía si hablamos de proceso estandarizados. Es por eso que surgió DMARC.
DMARC básicamente es un nuevo estándar que apunta a unificar las validaciones actuales. Ojo, DMARC no viene a reemplazar estas validaciones, simplemente es una forma de unificar cómo se publican y, principalmente, qué deben hacer los ISPs como Gmail o Outlook si reciben un email que falla la validación.
Página oficial de DMARC.org
Al implementarlo, pueden decirle a los ISPs qué deben hacer con los emails que fallen las validaciones o no estén correctamente configurados. Pueden elegir ser estrictos (buscan que todas las validaciones y configuraciones sean correctas para dejarlos pasar) o "relajados" (literalmente del inglés "relaxed", donde se busca que al menos contenga alguna validación solamente para dejarlo pasar). Como beneficio adicional, Gmail y Outlook les enviarán un reporte de los emails que estén generando problemas para que puedan identificar si se trata de casos de phishing o solamente de mala configuración.
Si bien los beneficios son enooormes, deben tener en cuenta que para implementar DMARC es importantísimo tener bien configurados y bajo total control los dominios que se utilizan para hacer email marketing. Después de todo, si implementaran esto y no tuvieran SPF o DKIM, o uno de los dominios que utilizan en sus envíos (por ejemplo: uno que usan solo para las promociones de último momento y nadie tenía en cuenta) no esté en el registro, corren el riesgo de estar diciéndole a los ISPs que bloqueen sus propios emails.
Por eso es importante que sepan bien qué cosas tienen que tener en cuenta antes de implementarlo y luego cómo implementarlo.
Antes de empezar
Debemos chequear e identificar:
- Todos los dominios que utilizamos para hacer nuestros envíos. DMARC chequea que el dominio que figura en el FROM de tus emails sea el mismo que el que está en tus registros de SPF y DKIM, por lo tanto si nos olvidamos de alguno, estos serán bloqueados por sospechosos.
- Una vez identificados debemos asegurarnos que todos estos dominios estén alineados (SPF, DKIM y FROM).
- Tener una o más casillas de emails listas para recibir los reportes que nos comenzarán a enviar los ISPs. Tengan en cuenta que esto puede ser un gran volúmen de emails entrantes, por lo tanto no es recomendable que utilicen su casilla personal. Lo ideal sería tener una casilla específicamente para esto, por ejemplo: dmarc@tudominio.com
Cómo implementarlo
Implementar DMARC es bastante sencillo por suerte y, si tienen SPF o DKIM implementados, quiere decir que tienen los accesos y configuraciones DNS necesarias para hacer esto también (de hecho, háganse un lugar en su agenda de esta semana para hacer esto). A la hora de crear el registro sólo deben tener en cuenta estos valores:
v= es el nombre del registro, por ejemplo "DMARC1"
p= acá es donde decimos qué es lo que queremos que se haga con nuestros emails. Puede ser: reject, quarantine o none.
rua/ruf= es la forma en la que solicitan que les envien los reportes de los fallos detectados. "rua" se utiliza cuando queremos un sumario o reporte más general, "ruf" se utiliza si queremos recibir los mensajes completos que hayan fallado. Para utilizar esto último, asegurense de utilizar una casilla que pueda aguantarse el correo entrante que esto pueda generar.
Por lo tanto, un ejemplo de registro DMARC sería:
"v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com"
Al principio es bueno utilizar "p=none". De esta forma podemos empezar solamente monitoreando y descubrir cualquier error que pueda tener el registro o nuestras validaciones. Una vez que estemos seguros que está todo bien, podemos cambiarlo a "p=quarantine".
En el campo nombre de su gestor de DNS, sólo tienes que escribir "_dmarc.sudominio.com". En algunos casos, sólo es necesario escribir "_dmarc" debido a que el dominio ya está unido a la registro TXT.
Si tienen los conocimientos y accesos necesarios, ingresen a su zona DNS y creen su DMARC. Si no están seguros de por dónde empezar, solo necesitan avisarnos y los guiamos paso a paso!