DMARC (Domain-based Message Authentication, Reporting and Conformance, Autenticación de Mensajes Basada en Dominios, Informes y Conformidad) es un mecanismo de autenticación de correo electrónico. Ha sido diseñado para otorgar a los propietarios de dominios de correo electrónico la capacidad de proteger su dominio frente a su uso no autorizado, comúnmente conocido como email spoofing. El propósito principal de implementar DMARC es proteger un dominio de ser usado en ataques que comprometan el correo electrónico de las empresas y el envío de correos electrónicos de phishing, scam y otras ciberamenazas.

Una vez publicada la entrada DNS de DMARC, cualquier servidor receptor de correos electrónicos puede autenticar el mensaje entrante de correo electrónico conforme a las instrucciones publicadas por el propietario del dominio dentro de la entrada DNS. Si el correo electrónico pasa el proceso de autenticación, se entregará y se puede confiar en él. Si el mensaje de correo electrónico falla la verificación, dependiendo de las instrucciones contenidas en el registro DMARC, el mensaje de correo electrónico podría ser entregado, puesto en cuarentena o rechazado.

DMARC amplía el funcionamiento de dos mecanismos de autenticación existentes, Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM). Permite al propietario administrativo de un dominio publicar una política en sus registros DNS que indica qué mecanismo (DKIM, SPF o ambos) se emplea durante el envío de los mensajes de correo electrónico desde ese dominio; cómo verificar el campo From: (De:) que se presenta a los usuarios finales; cómo el receptor debe lidiar con las fallos de autenticación y un mecanismo de generación de informes de las acciones realizadas bajo dichas políticas.

Historia

editar

Desde el 30 de enero de 2012 se mantiene un borrador de la especificación DMARC.[1]

En agosto de 2014 se formó un grupo de trabajo del IETF para abordar los problemas de DMARC, empezando por las cuestiones de interoperabilidad y posiblemente continuando con una especificación estándar revisada y documentación. Mientras tanto, la especificación DMARC existente había alcanzado un estado editorial acordado e implementado por muchos. Se publicó en marzo de 2015 en el Independent Submission stream en la categoría "Informational" (no estándar) como RFC 7489.[2]

En marzo de 2017, la Comisión Federal de Comercio publicó un estudio sobre el uso de DMARC por parte de las empresas.[3]​ De 569 empresas, el estudio descubrió que aproximadamente un tercio implementaba cualquier configuración de DMARC, menos del 10 % utilizaba DMARC para indicar a los servidores que rechazaran mensajes no autenticados y la mayoría había implementado SPF.

Notas y referencias

editar

Véase también

editar