Domain-based Message Authentication, Reporting and Conformance
Es un framework/mecanismo de autenticacion y validacion de correos electronicos, basicamente permite evitar que terceros utilicen el dominio en nombre de otros.
(Lo cual aumenta mas mi ira con esa situacion del spoofing de hotmail que mencione hace algunos dias).
¿Como funciona?
1- En un servidor de DNS, se crea un registro de ‘DMARC’.
2- El servidor de correos por ejemplo postfix envia un correo de @moiseschirinos.com
3- Cualquier servidor de correo por ejemplo @gmail.com recibe el mensaje, lee las cabeceras, y se va al servidor deDNS.
4- Una vez en el servidor de DNS, sigue las instrucciones para haer una validacion.
5- Si el servidor pasa las validaciones, entonces se puede confiar en el mensaje y entregarlo.
Si falla la verificacion. Segun el DMARC, el mensaje puede er desechado o puesto en cuarentena o entregado.
DMARC funciona encima de Sender Policy Framewrok SPF y DomainKeys Indetified Mail DKIM. Permitiendo a los propietarios de un dominio publicar politicas en el registro DNS indicado como se va a validar la entrega del correo electronico y como el receptor debe generar informes en casos de falla.
Este es el ejemplo de un registro de DMARK:
_dmarc.ejemplo.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@ejemplo.com"
-_dmarc.ejemplo.com: Es el subdominio
-v=DMARC1-> es la version del protocolo
-p=none -> es la politica, puede tener los valores, none: no rechaza ni pone en cuarentena, quarentine: los correos sospechosos pueden ir a spam, reject: se bloquean la recepcion
ruf=mailto:forensics@ejemplo.com -> es donde se van a recibir los reportes forences.
fo=1 -> cuando reportar
0: envia reporte si ambos fallan
1: envia el reporte si uno u otro fallan
d: Reportar si DKIM falla
s: Reportar si SPF falla
Tuve que buscar ese detalle porque no estaba en mi memoria. Pero ahora mucho mas odio me genera mi situacion de spoofing. Porque busque el de hotmail.
Siendo este el record publico de
>v=DMARC1; p=none; rua=mailto:rua@dmarc.microsoft;ruf=mailto:ruf@dmarc.microsoft;fo=1:s:d
NO TIENE POLITICA
Siendo este el de oulook
>v=DMARC1; p=none; sp=quarantine; pct=100; rua=mailto:rua@dmarc.microsoft; ruf=mailto:ruf@dmarc.microsoft; fo=1
No tiene politica para el generar, pero si para subdominios.
Siendo este gmail
v=DMARC1; p=none; sp=quarantine; rua=mailto:mailauth-reports@google.com
Tampoco tiene politica.
Algo importante es que si lo tienen para subdominios. Tengan en consideracion que los subdominios se pasan a considerar los servicios de correos que ellos venden a terceros.
Pequeña investigacion de 5 minutos, que voy a justificar rapidamente, estan configurados de esa manera para que siempre lleguen los mensajes, y en un segundo plano los analizan. ¿En ese caso, por que mis experiencias con postfix fueron tan traumatica? ¿Pero la de los Spoofers es tan facil actualmente? Me parece increible, incluso los analizadores de DMARC su sugerencia es que no sean p=none.
De hecho estoy tan impactado por esta revelacion que busque el dominio de icloud.
>v=DMARC1; p=quarantine; sp=quarantine; rua=mailto:d@rua.agari.com; ruf=mailto:d@ruf.agari.com
Apple si tuvo la descencai de colocar p=quarantine, como minimo.
La verdad que en mi postfix propio podria bloquear IPs molestosos que falsifiquen headers. Intentare en un futuro crear mi propio host.
En fin mas investigacion para otro dia.