Antecedentes
Las tecnologías de autenticación de correo electrónico SPF y DKIM fueron desarrolladas hace más de una década con el propósito de asegurar la identidad de los remitentes de los mensajes. La adopción de estas tecnologías se ha incrementado, sin embargo, el problema de correos fraudulentos y engañosos no ha disminuido. Entre las razones del por qué estas tecnologías no han sido suficientes encontramos:
- Los remitentes pueden tener varios sistemas de envío de correo electrónico, a menudo a través de proveedores externos, lo hace más complejo garantizar que cada mensaje pueda autenticarse mediante SPF o DKIM, en particular si existen constantes cambios.
- Si el propietario de un dominio envía una combinación de mensajes, algunos de los cuales se pueden autenticar y otros no, los receptores de correo electrónico se ven obligados a discernir entre los mensajes legítimos que no se autentican y los mensajes fraudulentos que tampoco se autentican. Por naturaleza, los algoritmos de spam son propensos a errores y necesitan evolucionar constantemente para responder a las tácticas cambiantes de los spammers. El resultado es que algunos mensajes fraudulentos inevitablemente llegarán a la bandeja de entrada del usuario final.
- A menos que los mensajes reboten hacia los remitentes, no hay forma de determinar el porcentaje de mensajes legítimos se están enviando que no pueden ser autenticados. Mucho menos se tiene el alcance de correos electrónicos fraudulentos que han sufrido suplantación de dominio remitente (spoofing).
- Incluso si un remitente ha optimizado su infraestructura de autenticación de correo y todos sus mensajes legítimos pueden ser autenticados, los receptores de correo electrónico pueden rechazar el mensaje por no contar con una forma de verificarlo.
La única forma de solucionar estos problemas es que los remitentes y los receptores compartan información entre sí. Los receptores proporcionan a los remitentes información sobre su infraestructura de autenticación de correo, mientras que los remitentes les dicen a los receptores qué hacer cuando reciben un mensaje que no se autentica.
En 2007, PayPal fue pionero en este enfoque y diseñó un sistema con Yahoo! Mail y, posteriormente, con Gmail para colaborar de esta manera. Los resultados fueron extremadamente efectivos y llevaron a una reducción significativa de los mensajes de correo electrónico sospechosos de ser fraudulentos y supuestamente enviados por PayPal que eran aceptados por estos destinatarios.
Fue hasta el año 2010 cuando quince empresas y organizaciones líderes en sus respectivos mercados, entre ellos PayPal, Microsoft, Google y Yahoo!, se unieron para crear un protocolo con la finalidad de estar protegidos contra los correos fraudulentos en Internet.
Uno de los objetivos de esta colaboración a gran escala era garantizar que los destinatarios de los correos electrónicos pudieran proporcionar a los servidores de envío una serie de comentarios autenticados sobre sus mensajes con la finalidad de mejorar sus mecanismos de autenticación, la primera publicación de las especificaciones de DMARC salió el día 30 de enero del año 2012.
Durante los primeros días de DMARC, las organizaciones pequeñas carecían de la experiencia para implementar SPF y DKIM, y como ya entenderás es necesario aplicar estos dos estándares antes de poder instalar DMARC de manera efectiva en tu DNS.
En los años 2015 y 2016, Google y Yahoo! adoptaron estrictas políticas DMARC, indicando que las personas e instituciones que se nieguen a seguir la tendencia de implementación DMARC a futuro verán afectada la operatividad de su empresa a mediano plazo.
En diciembre del 2018, la tasa de adopción de DMARC entre las agencias del gobierno federal aumentó a un 47 %, durante este tiempo, el Departamento de Seguridad Nacional de Estados Unidos les ordenó a todas las agencias que implementaran DMARC en el nivel p=none, lo que los deja expuestos a ataques de phishing y suplantación de identidad.
Las estadísticas también demuestran que los dominios que no implementan las políticas DMARC tienen 4,75 veces más probabilidades de ser víctimas de un evento de suplantación de identidad. Solo en el año 2021, el 43,4 % de los dominios gubernamentales aplicaron la política DMARC, un aumento del 2 % con respecto a la tasa del año 2020 y un aumento del 3,5 % con respecto al año 2019.
Tarde o temprano, los proveedores de correos pasarán a la adopción de una política de cero tolerancia, mensajes sin autenticación, no tendrán acceso a los buzones, lo cual significa que tus mensajes no llegarán a tus destinatarios si no cumples con los requisitos de DMARC.