technical

Política DMARC

MetricSpot llegeix el teu registre DNS `_dmarc`. Sense DMARC, qualsevol pot enviar correu 'des de tu' sense ser detectat: el teu domini queda obert al spoofing.

Què comprova aquesta auditoria

Consulta el DNS pel registre TXT _dmarc.<elteudomini> i analitza la política. Reporta el valor p= (none, quarantine, reject), el percentatge, les adreces de report i si la política s’està aplicant (qualsevol cosa més enllà de p=none).

Per què importa

DMARC (Domain-based Message Authentication, Reporting, and Conformance) diu a les safates d’entrada receptores (Gmail, Outlook, Yahoo, Apple iCloud) què han de fer quan un correu afirma venir del teu domini però falla les comprovacions SPF o DKIM. Sense una política DMARC, la resposta és “deixa’l passar”, i el teu domini es converteix en terreny lliure per a campanyes de phishing.

Des de febrer del 2024, Google i Yahoo exigeixen DMARC a qualsevol remitent que enviï més de 5.000 correus diaris als seus usuaris. Microsoft ha seguit amb una aplicació progressivament més estricta. Els llocs sense DMARC veuen caure l’entregabilitat, els clients reben phishing amb la seva marca i la confiança s’erosiona una factura falsa rere l’altra.

Un cas real: una empresa SaaS que vam auditar no tenia DMARC. En tres mesos, els atacants van fer spoofing de billing@elseudomini.com en una campanya de phishing que va arribar a unes 40.000 safates de clients. La neteja va costar més que una dècada de “ja ens encarregarem del DMARC més endavant”.

Com solucionar-ho

Publica un registre TXT _dmarc al proveïdor DNS del teu domini. La progressió:

1. Comença en mode monitoratge (p=none), recull dades sense afectar l’entregabilitat.

_dmarc.elteudomini.com.   IN   TXT   "v=DMARC1; p=none; rua=mailto:dmarc-reports@elteudomini.com; pct=100"

L’adreça rua= rep reports XML agregats de cada safata receptora. Reenvia’ls a una eina que els analitzi: recomanem el monitoratge DMARC gratuït de Postmark o Valimail Monitor.

2. Audita què envia legítimament.

Els reports et diuen quines IP i serveis envien correu “en nom” del teu domini. Esperable: el teu proveïdor de correu transaccional (Resend, Postmark, SendGrid), la plataforma de marketing, potser Google Workspace o Microsoft 365 i la teva eina de help-desk. La resta o és un remitent no autoritzat o una integració oblidada.

Per cada remitent legítim, configura SPF i DKIM. DMARC requereix que un dels dos passi i que s’alineï amb la capçalera From.

3. Passa a quarantena quan els reports estiguin nets (cap remitent legítim fallant).

_dmarc.elteudomini.com.   IN   TXT   "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@elteudomini.com; pct=25"

pct=25 només aplica la política al 25% del correu fallit, és un desplegament gradual. Vigila els reports, augmenta a 100 i després passa a p=reject.

4. Estat final: p=reject.

_dmarc.elteudomini.com.   IN   TXT   "v=DMARC1; p=reject; rua=mailto:dmarc-reports@elteudomini.com; ruf=mailto:dmarc-forensics@elteudomini.com; adkim=s; aspf=s"

adkim=s i aspf=s exigeixen alineació estricta entre la capçalera From i el domini SPF/DKIM, atura els atacants que fan servir trucs amb subdominis.

Configuracions habituals:

  • Correu de marketing des de noreply@email.elteudomini.com, configura una política DMARC separada al subdomini si la teva plataforma de marketing no pot alinear-se totalment amb l’apex.
  • Google Workspace, la clau DKIM pròpia de Google ha d’estar al DNS; activa DKIM a la consola d’administració.
  • Resend / Postmark / SendGrid, cadascú proporciona una plantilla DNS per enganxar; DMARC funciona un cop el seu DKIM està configurat.

Comprova el teu registre:

dig +short TXT _dmarc.elteudomini.com
# v=DMARC1; p=reject; rua=mailto:dmarc-reports@elteudomini.com; adkim=s; aspf=s

O fes servir el comprovador DMARC de Mail Tester per a una verificació ràpida.

Combina això amb el bàsic d’HTTPS, HTTPS, activar HSTS, per a una línia base completa de seguretat de correu i transport.

Preguntes freqüents

Quina diferència hi ha entre p=quarantine i p=reject?

  • quarantine, el correu fallit va a spam. Recuperable, cautelós.
  • reject, el correu fallit es rebutja al servidor receptor. El remitent (real o fals) rep un bounce dur. Protecció màxima, però si el teu SPF/DKIM està mal configurat per a un servei legítim, els teus clients deixen de rebre el teu correu. Arriba a p=reject després d’un període en quarantine amb reports nets.

També necessito SPF i DKIM?

Sí. DMARC és la capa de política; SPF i DKIM són les capes d’autenticació. SPF diu “aquesta IP pot enviar pel meu domini”; DKIM signa el missatge criptogràficament. DMARC diu “si cap dels dos s’alinea, rebutja el correu.” Els tres són necessaris perquè el sistema funcioni.

El meu domini no envia correu. Encara necessito DMARC?

Sí, una política DMARC de “domini parc” atura els atacants que volen fer spoofing del teu domini no usat:

_dmarc.elteudomini.com.   IN   TXT   "v=DMARC1; p=reject; rua=mailto:dmarc-reports@elteudomini.com"

Combina-ho amb un registre SPF que no autoritza res:

elteudomini.com.   IN   TXT   "v=spf1 -all"

Ara cap IP del planeta pot enviar correu fent veure que és del teu domini.

Fonts

Última actualització 2026-05-11