Filtrado DMARC en servidor de correo

Activando DMARC en tu dominio te aseguras que ningún hacker engañe a tus clientes y proveedores, enviando mensajes en tu nombre.

El filtrado DMARC de servidor es la otra cara de la moneda. Tu servidor de correo electrónico debe tener activado ese filtrado para que los hackers no te engañen a ti (y a los usuarios de tu dominio).

Esta medida la debe implementar el administrador del servidor con el que tengas contratado el servicio de hosting.

Si utilizas un servidor con panel Plesk, es bastante fácil y directo, basta con ir a «Herramientas y Opciones», «Configuración del Servidor de Correo» y activar la casilla «Activar DMARC para comprobar el correo entrante» que por defecto viene desactivada en algunos servidores.

SPF No es suficiente

Hoy hemos recibido un correo del Ministerio del Interior, relativo a una multa impagada.

La primera impresión es que se trataba de un correo fraudulento, pero al mirar el remitente, me ha parecido legítimo. Lo envía:

Ministerio del Interior<multas@interior.gob.es>

He revisado las cabeceras del mensaje, y me ha mosqueado bastante que el Ministerio del Interior utilice un servidor ruso para enviarme una notificación de una multa:

Received: from 194-58-108-196.ovz.vps.regruhosting.ru 
(194-58-108-196.ovz.vps.regruhosting.ru [194.58.108.196])

He consultado el registro SPF del subdominio interior.gob.es, y me he encontrado esto:

El Ministerio del Interior, sí tiene publicado un registro SPF en el que informa que los correos legítimos los envía desde los servidores autorizados para recibir correos (MX).

He revisado cuáles son estos servidores:

Y resulta que no tienen publicado ningún servidor de correo entrante para este subdominio (interior.gob.es). O sea, que aunque contestes a multas@interior.gob.es, ese correo será devuelto porque no hay dado de alta ningún servidor de correo para ese subdominio.

Por tanto, tal y como suponía, el servidor ruso que me ha enviado el correo con la multa, NO está autorizado por la política SPF del subdominio interior.gob.es

Y sin embargo, extrañamente, mi servidor de correo entrante no ha rechazado el correo.

Intrigado, he analizado todas las cabeceras del mensaje con la ayuda del servicio de MXToolbox

He ahí mi sorpresa: Puesto que el subdominio interior.gob.es no tiene activado DMARC, el SPF que consulta no es el del dominio interior.gob.es, sino el del servidor ruso que ha enviado el mensaje.

Esto me ha confirmado que tener publicado el registro SPF, si no tienes activado DMARC no sirve de nada. Cualquier hacker de medio pelo puede enviar correos haciéndose pasar por un usuario de ese dominio, y los servidores de correo no lo filtrarán.