SPF, DMARC y direcciones de conformidad
Para cumplir con las principales especificaciones de servicios de correo electrónico, tales normativas deben ser seguidas, se recomienda que todo servicio de correo electrónico presente las siguientes configuraciones:
- Una clave TXT en el DNS para SPF, que permitirá el envío de mensajes desde determinados servidores, a continuación líneas de ejemplo:
"v=spf1 include:_spf.google.com -all" "v=spf1 include:spf.protection.outlook.com -all"
- Una configuración DKIM, utilizada por el servidor de correo que autenticará los mensajes que serán enviados, que puede variar en una clave TXT o CNAME de acuerdo con la estrategia del servicio de correo electrónico
- Una configuración DMARC, que declarará la regla adoptada para los registros SPF y DKIM, se recomienda el siguiente valor, cambiando la dirección de correo electrónico que recibirá los reportes de los resultados DKIM:
"v=DMARC1; p=reject; sp=reject; fo=1; adkim=r; aspf=r; pct=100; rua=mailto:dmarc@example.com; ruf=mailto:dmarc@example.com; rf=afrf; ri=86400;"
- En caso de que el dominio que está configurando también reciba reportes DMARC de otro dominio, se requiere una clave tipo TXT en el subdominio
*._report._dmarco (el dominio del correo en lugar del wildcard *, por ejemplo:example.com._report._dmarc):
"v=DMARC1;"
- Grupos de correo o listas de distribución con los siguientes IDs:
abuse (contacto sobre abuso del servicio de correo electrónico) admin (contacto del administrador - no documentada en RFC) administrator (contacto del administrador - no documentada en RFC) hostmaster (contacto sobre problemas de la zona de dominio - también para SOA) noc (contacto sobre problemas de la infraestructura de red) postmaster (contacto sobre problemas de la infraestructura de correo electrónico) security (contacto sobre problemas de seguridad - también para CAA, security.txt) webmaster (contacto sobre sitios web)
Estrategia de redireccionamiento de Google Workspace:
Se recomienda redirigir todas las demás bandejas administrativas a un grupo con nombre security@ utilizando el recurso de enrutamiento presente en Apps > Google Workspace > Settings for Gmail > Routing (enlace), ya que reservan algunas direcciones de correo como abuse@, impidiendo que se agreguen como alias. Google permite que direcciones y grupos externos sean miembros de grupos locales, si es necesario, puede agregar el contacto externo directamente al grupo.
Para redireccionamientos de bandejas individuales a destinatarios externos, pero si el redireccionamiento está bloqueado, es necesario crear una nueva OU con el permiso de redireccionamiento concedido para efectuar redireccionamientos externos de este usuario. Verifique las configuraciones de Automatic forwarding aquí.
Estrategia de redireccionamiento de Microsoft 365:
Se recomienda redirigir todas las demás bandejas administrativas a un grupo con nombre security@ mediante alias en el propio grupo. Microsoft permite que direcciones y grupos externos sean miembros de grupos locales siempre que se agreguen como contacto, si es necesario, agregue el contacto externo en la plataforma en Users > Contacts (enlace) y agregue este contacto como miembro del grupo.
Para redireccionamientos de bandejas individuales a destinatarios externos, el bloqueo está habilitado por defecto, puede configurar mediante PowerShell una política para permitir que la cuenta local especificada pueda redirigir mensajes a destinatarios externos, usando las siguientes líneas:
Connect-ExchangeOnline
Get-HostedOutboundSpamFilterPolicy
New-HostedOutboundSpamFilterPolicy -Name "Allow Specific Forwarding" -AutoForwardingMode On
New-HostedOutboundSpamFilterRule -Name "Allow Specific Forwarding Rule" -HostedOutboundSpamFilterPolicy "Allow Specific Forwarding" -From "localaccount@domain.example"Las reglas de reenvío también pueden revisarse aquí, sin embargo, se recomienda crear mediante powershell para evitar fallas en la creación.
Estrategia para Locaweb:
El proveedor es inconsistente sobre el envío de mensajes desde grupos, se recomienda crear un buzón con el nombre security@, agregar alias (apodos) con las demás alternativas, y añadir una regla a través del webmail para redirigir mensajes al contacto deseado, que puede ser interno o externo.
Información adicional:
También se recomiendan servicios de monitoreo y reputación de dominios, como Postmaster Tools, ofrecido por la plataforma Gmail de Google.
Los dominios sin servicio de correo deben utilizar MX con hostname inválido 0 . y SPF sin aprobaciones "v=spf1 -all", además de las debidas reglas de DMARC para evitar ataques de suplantación usando esos dominios, aunque se recomienda la existencia de un servicio de mensajes válido con las direcciones de conformidad.