Introducción
Este documento describe los conceptos generales de la arquitectura de Autenticación de mensajes, informes y conformidad (DMARC) basada en dominio, junto con los requisitos de alineación de Marco de políticas de remitente (SPF) y DomainKeys Identified Mail (DKIM) en relación con DMARC.
Terminology
En esta sección se describen y definen algunos de los términos clave que se utilizan en este documento.
- EHLO/HELO - Los comandos que suministran la identidad de un cliente SMTP durante la inicialización de una sesión SMTP como se define en RFC 5321.
- De encabezado - El campo De: especifica el autor o autores de un mensaje. Por lo general, incluirá el nombre para mostrar (lo que el cliente de correo muestra al usuario final), junto con una dirección de correo electrónico que contiene una parte local y un nombre de dominio (por ejemplo, "Juan Pérez" <johndoe@example.com>) tal como se define en RFC 5322.
- MAIL FROM: deriva del comando MAIL al inicio de una sesión SMTP y proporciona la identificación del remitente según se define en RFC5321. También se le conoce como remitente del sobre, ruta de acceso de retorno o dirección de rebote.
DMARC: alineación de identificadores
DMARC vincula lo que DKIM y SPF autentican con lo que se enumera en el encabezado From. Esto se hace mediante la alineación. La alineación requiere que la identidad de dominio autenticada por SPF y DKIM coincida con el dominio de la dirección de correo electrónico visible para el usuario final.
Comencemos por saber qué es un identificador y por qué es importante en relación con DMARC.
Identificadores
Los identificadores identifican un nombre de dominio que se autenticará.
Identificadores en referencia a DMARC:
- SPF:
SPF autentica el dominio que aparece en la parte MAIL FROM o EHLO/HELO de la conversación SMTP, o en ambas. Estos pueden ser dominios diferentes y normalmente no son visibles para el usuario final.
- DKIM:
DKIM autentica el dominio de firma que está adherido a una firma dentro de la etiqueta d=.
Estos identificadores (SPF y DKIM) se autentican con el identificador de dominio derivado del encabezado From. El dominio del encabezado From se utiliza porque es el campo Agente de usuario de correo (MUA) más común para el creador del mensaje y es el que utilizan los usuarios finales para identificar el origen del mensaje (un remitente), lo que también convierte al encabezado From en un destino principal para el abuso.
Precaución: DMARC solo puede proteger el abuso contra un encabezado From válido.
DMARC no puede funcionar en:
- Encabezados RFC 5322 incorrectos, ausentes o repetidos
- Encabezados no conformes, ya que no se validarán
- Cuando hay más de una identidad de dominio en el encabezado (*)
Por lo tanto, debe existir un proceso adicional a DMARC para identificar los mensajes con encabezados mal formados no conformes e implementar una forma de marcarlos y hacerlos visibles como encabezados no aptos para DMARC.
(*) DMARC necesita extraer una única identidad de dominio del encabezado. Si hay más de una dirección de correo electrónico en el encabezado, este encabezado se omitirá en la mayoría de las implementaciones de DMARC. Los encabezados de procesamiento con más de una identidad de dominio se indican como fuera de ámbito en la especificación de DMARC.
Cuando Cisco ESA puede detectar más de una identidad de dominio, deja un mensaje adecuado en los registros de correo:
(Machine esa.lab.local) (SERVICE)> grep -i "verification skipped" mail_logs
Tue Oct 16 14:13:52 2018 Info: MID 2003 DMARC: Verification skipped (Sending domain could not be determined)
Alineación de identificadores
La alineación del identificador define una relación entre el dominio autenticado por SPF y/o DKIM y el encabezado From. La alineación es un proceso coincidente que debe cumplirse adicionalmente después de una verificación correcta de SPF y/o DKIM. El proceso de autenticación de DMARC requiere que al menos uno de los identificadores (identidad de dominio) utilizados por SPF o DKIM esté alineado con la parte de dominio de la dirección de encabezado De.
DMARC introduce dos modos de alineación:
- el modo estricto requiere una coincidencia exacta (align) entre los nombres de dominio
- el modo relajado permite el subdominio del mismo dominio
La alineación de identificadores es necesaria porque un mensaje puede llevar una firma válida de cualquier dominio, incluidos los dominios utilizados por una lista de correo o incluso un actor incorrecto. Por lo tanto, el simple hecho de llevar una firma válida no es suficiente para inferir la autenticidad del dominio del autor.
Alineación DKIM
El identificador de dominio DKIM se obtiene revisando la etiqueta d= en una firma DKIM y se compara con el dominio de encabezado From para verificar correctamente una firma DKIM.
Por ejemplo, el mensaje se puede firmar en nombre del dominio d=blog.cisco.com, que identifica el dominio blog.cisco.com como firmante. DMARC utiliza este dominio y lo compara con la parte del dominio del encabezado From (por ejemplo, noreply@cisco.com). La alineación entre estos identificadores fallará en modo estricto pero pasará utilizando el modo relajado.
Nota: un solo mensaje de correo electrónico puede contener varias firmas DKIM y se considera una "pasada" de DMARC si alguna firma DKIM se alinea y verifica.
Alineación SPF
El mecanismo SPF (spfv1) autentica los identificadores de dominio enviados desde:
- identidad MAIL FROM (comando MAIL FROM)
- Identidad HELO/EHLO (comando HELO/EHLO)
La identidad del dominio MAIL FROM intenta autenticarse de forma predeterminada. DMARC autentica la identidad del dominio HELO solo para los mensajes con una identidad MAIL FROM vacía, como los mensajes de rebote.
Un ejemplo común de esto sería cuando un mensaje se envía con una dirección MAIL FROM diferente (noreply@blog.cisco.com) en comparación con lo que hay en el encabezado From (noreply@cisco.com). La parte de identidad del dominio MAIL FROM de noreply@blog.cisco.com se alineará con el dominio de encabezado From de noreply@cisco.com en modo relajado pero no en modo estricto.
Etiquetas de modo de alineación
Los modos de alineación de DMARC se pueden definir en un registro de políticas de DMARC mediante las etiquetas de modo de alineación adkim y aspf. Estas etiquetas indican qué modo se requiere para la alineación del identificador DKIM o SPF.
Los modos se pueden establecer en relajado o estricto, siendo relajado el valor predeterminado si no hay ninguna etiqueta presente. Esto se puede configurar bajo tag-value como:
- r: modo relajado
- s: modo estricto
Referencia
Comentarios