Howto – define un registro de dmarc vende bitcoin por dinero en efectivo

Opcionalmente solicita al receptor que envíe un informe de comentarios (definido por el Formato de informe de abuso – RFC 5965 o el Formato de intercambio de descripción de objeto incidente – RFC 5070) que permite al remitente del correo monitorear y cambiar sus políticas en función de los comentarios del receptor. Se permiten formatos de informes individuales y agregados. Esta capacidad está activada de forma exclusiva por el RR de DMARC.

DMARC se puede ver como un meta RR que describe la política de correo electrónico del remitente, que comprende DKIM o SPF o ambos, para cualquier dominio. Si bien el borrador de RFC no dice nada explícitamente sobre la función ADSP de DKIM, se desvía de su camino para identificar las fallas de ADSP. En general, sería confuso, si no un grave error, tener RR ADSP y DMARC para cualquier dominio.

DMARC utiliza el TXT RR universalmente soportado con un campo de texto especialmente formateado que contiene los datos específicos de la aplicación (o datos DMARC). Este enfoque elimina la necesidad de actualizaciones al software DNS y es utilizado tanto por SPF como por DKIM. Si bien el uso de TXT RR es un enfoque pragmático, muchos en la comunidad de DNS encuentran que esa sobrecarga del mal encarnado TXT RR encarna, sin embargo, muchos desaprueban la proliferación de RR. Suspiro.

El valor de domain.name se basa tanto en lo que la especificación llama un nombre de organización como en un algoritmo de profundidad de nombre más a la izquierda. El nombre de organización se deriva del Agente de transferencia de correo (MTA) receptor de una tabla denominada lista de sufijos públicos que esencialmente define, para cualquier tld, cuántas etiquetas estarían presentes en un nombre de dominio registrado (u organizacional), por ejemplo, para .com esta sería la primera etiqueta a la izquierda de .com y para .uk esta sería la siguiente dos etiquetas a la izquierda de .uk. El borrador de RFC no definir una autoridad central para esta lista de sufijo público, pero apunta a una lista mantenida por Mozilla y utilizada por una serie de aplicaciones diferentes.

Opcional. Si no está presente, se supone que la política p = cubre el dominio.nombre y todos sus subdominios. Si sp = está presente, indica la política definida que se aplica a los subdominios del dominio.nombre en el que se descubrió el RR de DMARC y no el nombre en sí (el nombre de dominio en este caso está cubierto por el par de p = etiqueta = valor) . Por lo tanto, si el siguiente DMARC RR está presente:

Opcional (si se omite el valor predeterminado es adkim = r). En modo estricto, el nombre de dominio del remitente debe coincidir exactamente con el nombre d = correspondiente (en los encabezados de correo DKIM). En modo relajado, también se aceptará cualquier subdominio de d = dominio (en los encabezados de correo). Por lo tanto, si d = example.com en el encabezado del correo, el correo de user@example.com pasará de adkim = r o adkim = s, sin embargo, el correo de user@a.example.com fallará si adkim = s pasa si adkim = r.

Opcional. Define el porcentaje de correo al que se aplica la política de DMARC. Si se omite el valor predeterminado es pct = 100 (100%) – todo el correo está sujeto al procesamiento de DMARC. Este parámetro permite que los remitentes de correo experimenten con un pequeño porcentaje de correo sujeto a la acción de DMARC. Los problemas pueden eliminarse progresivamente del sistema antes de activar DMARC para todo el correo.

Genere informe al MTA remitente si todas las comprobaciones subyacentes fallaron. Por lo tanto, si solo se utiliza DKIM para proteger el correo y la verificación DKIM falla, se enviará un informe, si solo se usa SPF para proteger el correo y el SPF. cheque falla se enviará un informe. Sin embargo, si se usan DKIM y SPF y, por ejemplo, el SPF cheque falla pero el cheque DKIM pasa un informe NO se enviará.

Genere informe al MTA emisor si falla alguna comprobación subyacente. Por lo tanto, si solo se utiliza DKIM para proteger el correo y la verificación DKIM falla, se enviará un informe, si solo se usa SPF para proteger el correo y la verificación SPF falla, se enviará un informe. Sin embargo, si se usan tanto DKIM como SPF y, por ejemplo, falla la verificación de SPF, pero la verificación de DKIM pasa, se enviará un informe.

Opcional. Si no está presente, no se enviarán informes agregados del MTA receptor. Los URI deben tener el formato mailto: user@example.com (implícito en el borrador de RFC). El formato del informe agregado se define en la sección 7.2 del borrador del RFC. Cuando una dirección mailto se encuentra con la zona de envío no se requiere configuración adicional, sin embargo, si la dirección mailto se encuentra fuera de la zona de envío, se necesita un RR DMRC vacío adicional. Por lo tanto, si la zona de envío de correo electrónico es example.net y DMARC TXT RR contiene el parámetro rua = mailto:dmarc-admin@example.net esto se encuentra dentro de la zona de envío y no se requiere configuración adicional. Sin embargo, si la zona de envío de correo electrónico es example.net y DMARC TXT RR en el archivo de zona para example.net contiene el parámetro rua = mailto: dmarc-admin@example.com, esto se encuentra fuera de la zona de envío y el ejemplo de zona.com debe validar que aceptará informes para el dominio example.net teniendo el siguiente mínimo DMARC TXT RR:

Opcional. Si no está presente, no se enviarán informes detallados de fallas desde el MTA receptor. Los URI deben tener el formato mailto: user@example.com (implícito en el borrador de RFC). Cuando una dirección mailto se encuentra con la zona de envío no se requiere configuración adicional, sin embargo, si la dirección mailto se encuentra fuera de la zona de envío, se necesita un RR DMRC vacío adicional. Por lo tanto, si el correo electrónico zona de envío es example.net y DMARC TXT RR contiene el parámetro rua = mailto:dmarc-admin@example.net esto se encuentra dentro de la zona de envío y no se requiere configuración adicional. Si, sin embargo, la zona de envío de correo electrónico es example.net y DMARC TXT RR en el archivo de zona para example.net contiene el parámetro rua = mailto: dmarc-admin@example.com esto se encuentra fuera del zona de envío y el ejemplo de zona.com debe validar que aceptará informes para el dominio example.net teniendo el siguiente mínimo DMARC TXT RR:

Esta es una política agresiva y solo debe adoptarse cuando el remitente esté seguro de que tanto DKIM como SPF están configurados correctamente. No para el débil de corazón. Supongamos que el dominio example.net solo envía correo con el formato user@example.net (el correo no se envía desde ningún subdominio) y que tanto DKIM como SPF se usan en formato relajado. El propietario del dominio desea tener un informe agregado diario de los destinatarios de correo (en formato de informe de abuso – RFC 5965) de cualquier problema en la dirección dmarc-admin@example.com si SPF o DKIM falla, sugiere que el correo que falle los controles debe ser rechazado y que el 100% del correo debe ser revisado. La siguiente adición al archivo de zona de example.net implementa dicha política:

Estrictamente, el adkim =, aspf =, ri = y pct = no son necesarios ya que se usan sus valores predeterminados. Sin embargo, el uso explícito de los valores predeterminados es una buena política de configuración defensiva, y puede evitar errores catastróficos en caso de que se modifique posteriormente un incumplimiento. El uso de una dirección de correo electrónico fuera de la zona requiere un cambio adicional en el archivo de zona de los receptores del informe (ejemplo.com en este caso) para autorizar los informes del nombre de la organización example.net (consulte los parámetros de rua / ruf. Ejemplo 2: Nombre de dominio único usando DKIM y SPF – Tímido

Esta es una política tímida (o cautelosa si lo prefiere) en la que el remitente descubre la patología real de su servicio de correo y no está seguro (o no tiene idea) si DKIM y SPF están configurados correctamente. Supongamos que el dominio example.net solo envía correo con el formato user@example.net (el correo no se envía desde ningún subdominio) y que tanto DKIM como SPF se usan en formato relajado. El propietario del dominio desea tener un informe agregado diario de los receptores de correo (en formato de informe de abuso – RFC 5965) de cualquier problema en la dirección dmarc-admin@example.net si falla SPF o DKIM, no desea que el receptor rechace ninguna correo fallido y sugiere que solo se verifique el 10% del correo. La siguiente adición al archivo de zona de example.net implementa dicha política:

Esta es una política agresiva y solo debe adoptarse cuando el remitente esté seguro de que el SPF está configurado correctamente. Supongamos que el dominio example.net solo envía correos electrónicos con el formato user@example.net (el correo no se envía desde ningún subdominio) y que solo SPF se usa en formato relajado. El propietario del dominio desea tener un informe agregado diario de los destinatarios de correo (en formato de informe de abuso – RFC 5965) de cualquier problema en la dirección dmarc-admin@example.net si las comprobaciones SPF fallan, sugiere que todo el correo que falle las comprobaciones SPF debe ser rechazado y que el 100% del correo debe ser revisado. La siguiente adición al archivo de zona de example.net implementa dicha política:

Estrictamente, el aspf =, ri = y pct = no son necesarios ya que se usan sus valores predeterminados. Sin embargo, el uso explícito de los valores predeterminados es una buena política de configuración defensiva. Es la presencia o ausencia de encabezados DKIM o un RR SPF probado cuando llega el correo al receptor que determina qué método de seguridad de correo está en uso en lugar de la configuración del RR DMARC. En este caso, hemos eliminado adkim = para hacer explícita la política real y, dado que solo SPF está en funcionamiento, fo = 0. El mismo resultado funcional se habría producido si se hubiese retenido adkim = y fo = 1 como en el Ejemplo 1 anterior. Si solo se usaba DKIM, se habría agregado adkim = ry se habría eliminado aspf = r, pero de nuevo el comentario anterior también se aplica, es el correo recibido el que determina qué controles se invocan, no el RR de DMARC. Ejemplo 4: Sin correo

Este es un acto supremo de buena vecindad. Supongamos que el dominio nunca envía correos electrónicos. La presencia de un DMARC es una buena práctica ya que el correo podría falsificarse con el nombre del dominio. Sin embargo, no hay forma de configurar explícitamente un RR DMARC para indicar que el correo nunca se enviará desde este dominio. De nuevo, esto enfatiza el hecho de que el procesamiento de DMARC solo se invoca una vez que se han descubierto los mecanismos de protección de correo entrante. Para indicar que un dominio nunca enviará correo se debe hacer con un DMARC RR Y un FPS ficticio TXT RR como se muestra:

banner