Amazon Simple Email Service
Guía del desarrollador

Conformidad con DMARC utilizando Amazon SES

Domain-based Message Authentication, Reporting and Conformance (DMARC) es un protocolo de autenticación de correo electrónico que utiliza Sender Policy Framework (SPF) y Correo identificado con claves de dominio (DKIM) para detectar la suplantación de correo electrónico. Para cumplir con DMARC, los mensajes deben autenticarse mediante SPF, DKIM o ambos.

Este tema contiene información que le ayudará a configurar Amazon SES a fin de que los mensajes que envíe cumplan los requisitos de SPF y DKIM. Si cumple los requisitos de estos sistemas de autenticación, sus mensajes de correo electrónico cumplirán los requisitos de DMARC. Para obtener más información sobre la especificación, consulte http://www.dmarc.org.

Configuración de la política de DMARC en un dominio

Para configurar DMARC, es necesario modificar la configuración de DNS del dominio. La configuración de DNS del dominio debe incluir un registro TXT que especifique la configuración de DMARC del dominio. Los procedimientos para añadir registros TXT a la configuración de DNS dependen del proveedor de DNS o de alojamiento que utilice. Si utiliza Route 53, consulte Uso de registros en la Guía para desarrolladores de Amazon Route 53. Si utiliza otro proveedor, consulte la documentación de configuración de DNS correspondiente.

El nombre del registro TXT que cree debe ser _dmarc.example.com, donde example.com es el dominio. El valor del registro TXT contiene la política de DMARC que se aplica al dominio. A continuación, se muestra un ejemplo de un registro TXT que contiene una política de DMARC:

Nombre Tipo Value
_dmarc.example.com TXT "v=DMARC1;p=quarantine;pct=25;rua=mailto:dmarcreports@example.com"

En otras palabras, esta política indica a los proveedores de correo electrónico que deben hacer lo siguiente:

  • Buscar todos los correos electrónicos con un dominio "From" de example.com que no pasan la autenticación SPF o DKIM.

  • Poner en cuarentena el 25 % de los correos electrónicos que no han superado la autenticación enviándolos a la carpeta de correo no deseado (también puede optar por no realizar ninguna acción si utiliza p=none, o rechazar los mensajes inmediatamente con p=reject).

  • Enviar informes sobre todos los correos electrónicos que no han superado la autenticación en un archivo de resumen (es decir, un informe que agrega los datos correspondientes a un determinado periodo de tiempo, en lugar de enviar informes individuales para cada evento). Normalmente, los proveedores de correo electrónico envían estos informes agregados una vez al día, aunque estas políticas difieren de un proveedor a otro.

Para obtener más información sobre la configuración de DMARC en el dominio, consulte la página Overview en el sitio web de DMARC.

Para conocer las especificaciones completas del sistema DMARC, consulte RFC 7489 en el sitio web de IETF. La sección 6.3 de este documento contiene una lista completa de etiquetas que puede utilizar para configurar la política de DMARC del dominio.

Conformidad con DMARC a través de SPF

Para que un correo electrónico cumpla los requisitos de DMARC basado en SPF, se deben cumplir estas dos condiciones:

  • El correo electrónico debe superar una comprobación SPF.

  • El dominio en la dirección de remitente ("From") del encabezado de correo electrónico debe corresponder al dominio MAIL FROM que el servidor de correo de envío especifica al servidor de correo electrónico receptor. Si la política de DMARC para SPF del dominio especifica una conformidad estricta, los dominios From y MAIL FROM deben coincidir exactamente. Si la política de DMARC para SPF del dominio especifica una conformidad laxa, el dominio MAIL FROM puede ser un subdominio del dominio en el encabezado From.

Para cumplir estos requisitos, siga los pasos que se describen a continuación:

  • Configure un dominio MAIL FROM personalizado realizando los procedimientos que se describen en Configuración de un dominio MAIL FROM personalizado.

  • Asegúrese de que el dominio de envío use una política laxa para SPF. Si no ha cambiado el tipo de conformidad de política de su dominio, se utilizará una política laxa de forma predeterminada.

    nota

    Puede determinar la conformidad con DMARC para SPF del dominio escribiendo el siguiente comando en la línea de comandos y reemplazando example.com por su dominio:

    nslookup -type=TXT _dmarc.example.com

    En el resultado de este comando, bajo Non-authoritative answer, busque un registro que empiece por v=DMARC1. Si este registro incluye la cadena aspf=r o si la cadena aspf no aparece, entonces el dominio usa la conformidad laxa para SPF. Si el registro incluye la cadena aspf=s, entonces el dominio usa la conformidad estricta para SPF. El administrador del sistema tendrá que eliminar esta etiqueta del registro TXT DMARC en la configuración de DNS del dominio.

    Otra opción consiste en usar una herramienta de búsqueda de DMARC por Internet, como DMARC Inspector desde el sitio web de dmarcian o la herramienta DMARC Check del sitio web Proofpoint, para determinar la conformidad de la política para SPF del dominio.

Conformidad con DMARC a través de DKIM

Para que un correo electrónico cumpla los requisitos de DMARC basado en DKIM, se deben cumplir estas dos condiciones:

  • El mensaje debe tener una firma DKIM válida.

  • La dirección From del encabezado de correo electrónico debe coincidir con el dominio d= en la firma DKIM. Si la política de DMARC del dominio especifica una conformidad estricta para DKIM, estos dominios deben coincidir exactamente. Si la política de DMARC del dominio especifica una conformidad laxa para DKIM, el dominio d= puede ser un subdominio del dominio From.

Para cumplir estos requisitos, siga los pasos que se describen a continuación:

  • Configure Easy DKIM realizando los procedimientos que se describen en Easy DKIM en Amazon SES. Cuando se utiliza Easy DKIM, Amazon SES firma automáticamente los mensajes de correo electrónico.

    nota

    En lugar de utilizar Easy DKIM, también puede firmar manualmente sus mensajes. Sin embargo, en tal caso, debe prestar especial atención, ya que Amazon SES no valida la firma DKIM que usted crea. Por este motivo, le recomendamos que utilice Easy DKIM.

  • Asegúrese de que el dominio de envío use una política laxa para DKIM. Si no ha cambiado el tipo de conformidad de política de su dominio, se utilizará una política laxa de forma predeterminada.

    nota

    Puede determinar la conformidad con DMARC para DKIM del dominio escribiendo el siguiente comando en la línea de comandos y reemplazando example.com por su dominio:

    nslookup -type=TXT _dmarc.example.com

    En el resultado de este comando, bajo Non-authoritative answer, busque un registro que empiece por v=DMARC1. Si este registro incluye la cadena adkim=r o si la cadena adkim no aparece, entonces el dominio usa la conformidad laxa para DKIM. Si el registro incluye la cadena adkim=s, entonces el dominio usa la conformidad estricta para DKIM. El administrador del sistema tendrá que eliminar esta etiqueta del registro TXT DMARC en la configuración de DNS del dominio.

    Otra opción consiste en usar una herramienta de búsqueda de DMARC por Internet, como DMARC Inspector desde el sitio web de dmarcian o la herramienta DMARC Check del sitio web Proofpoint, para determinar la conformidad de la política para DKIM del dominio.