El mite de la doble validació simultània en DMARC

Amb l’exigència creixent dels principals proveïdors de correu electrònic en matèria d’autenticació, configurar DMARC s’ha convertit en un requisit obligatori per garantir que els correus corporatius no acabin a la carpeta de correu brossa. Tanmateix, als departaments d’IT i operacions sorgeix un dubte tècnic recurrent: cal estrictament que un correu superi SPF i DKIM al mateix temps per complir amb DMARC?

La resposta curta i directa és no. Perquè un correu electrònic superi la validació DMARC, n’hi ha prou que compleixi amb un dels dos.

La lògica de control de DMARC està dissenyada sota un principi de flexibilitat tècnica. El sistema avalua el procés mitjançant una fórmula condicional de tipus operacional o “OR”: n’hi ha prou que es compleixi de forma estricta una de les dues condicions (SPF validat i alineat, O bé, DKIM validat i alineat) perquè el correu sigui autenticat com a legítim i superi els filtres de seguretat del servidor de destinació.

Matriu de resultats: Escenaris de validació

Per entendre com interactuen aquests protocols al servidor de correu, la taula següent mostra els diferents escenaris possibles i el seu resultat final davant DMARC:

SPFDKIMAlineació SPFAlineació DKIMResultat DMARC
PASSFAILPASS
FAILPASSPASS
PASSPASSPASS
PASSPASSNoPASS
PASSPASSNoPASS
PASSPASSNoNoFAIL
PASSFAILNoFAIL
FAILPASSNoFAIL
FAILFAILFAIL

Com s’observa a la matriu, un correu pot fallar tècnicament en SPF o en DKIM, però si l’altre protocol és correcte i n’hi ha almenys un alineat, DMARC emetrà un resultat favorable (PASS). Al contrari, si un protocol passa el test tècnic però manca d’alineació, DMARC fallarà.

Casos excepcionals

L’estàndard RFC 7489 (que defineix DMARC) fa exactament dues coses:

  • Defineix les regles per calcular si un correu aprova o suspèn.
  • Permet al propietari del domini suggerir què fer en cas de fallada (p=none, quarantine o reject).

Tanmateix, l’estàndard deixa molt clar que el servidor receptor té l’última paraula. Microsoft, Google, Proofpoint o qualsevol administrador de sistemes poden aplicar polítiques locals més estrictes (o més laxas) que el propi estàndard, com per exemple, complir DKIM i SPF al mateix temps.

Si el filtre heurístic del servidor destí decideix que un correu és perillós perquè la signatura DKIM està corrupta, ignorarà alegrement que el SPF passi i llençarà el correu a la paperera per protegir el seu usuari. L’estàndard proposa la base, però el propietari de la bústia de destinació imposa la llei.

Què significa exactament que un protocol estigui “alineat”?

DMARC introdueix una capa de seguretat addicional perquè no es conforma amb que els registres SPF o DKIM passin el test tècnic bàsic. A més, exigeix de forma obligatòria que el domini validat per aquests protocols coincideixi (o sigui un subdomini autoritzat) amb el domini visible que l’usuari veu a la capçalera del missatge, concretament al camp From:.

A continuació, analitzem com funciona l’alineació en cada cas:

1. Alineació SPF

Imaginem que el teu correu mostra a la safata d’entrada la següent adreça: From: factures@empresa.com. Si el servidor SMTP emissor utilitza la ruta de retorn tècnica MAIL FROM: rebots@empresa.com en les comandes ocultes del correu, i el registre SPF de empresa.com autoritza la IP d’aquest servidor, el protocol SPF passa el test i, a més, DMARC el considera alineat perquè ambdós dominis coincideixen.

Tanmateix, si s’utilitza un proveïdor extern que empra la seva pròpia ruta tècnica de retorn (MAIL FROM: rebots@proveidor-email.com), encara que el registre SPF del proveïdor sigui tècnicament correcte i doni un resultat positiu (PASS), DMARC marcarà una fallada per manca d’alineació, ja que el domini del proveïdor no coincideix amb el teu.

2. Alineació DKIM

La lògica és idèntica per a la signatura criptogràfica. Si la capçalera del correu està signada digitalment i el paràmetre del domini de la signatura és d=empresa.com (o un subdomini permès i relacionat de forma directa com d=mail.empresa.com), i la clau pública del servidor de destinació valida la signatura correctament, DMARC considerarà que DKIM està perfectament alineat.

Recomanació pràctica per a la infraestructura de la teva empresa

Encara que la teoria matemàtica de DMARC certifiqui que amb un sol protocol alineat n’hi ha prou, la millor pràctica en entorns de producció i comunicacions corporatives és configurar sempre SPF i DKIM de forma simultània i correcta.

Implementar la doble validació aporta dos avantatges estratègics per a l’entregabilitat:

  • Major resiliència davant reenviaments: Quan un usuari final reenvia un correu de forma automàtica a un altre compte (per exemple, d’un compte corporatiu al seu compte personal de Gmail), la IP del servidor intermedi canvia. Això trenca immediatament la validació SPF. Si el correu compta amb una signatura DKIM alineada, el missatge mantindrà la seva autenticació DMARC intacta en viatjar la signatura incrustada dins del propi document.
  • Reputació del domini emissor: Disposar d’ambdues capes de seguretat redueix dràsticament les probabilitats que les teves campanyes o comunicacions legítimes pateixin falsos positius als filtres antispam de proveïdors exigents com Microsoft o Google, garantint un flux de comunicació ràpid, fluid i sense friccions.

Preguntes freqüents (FAQs)

És segur operar una política DMARC basant-se només en SPF?
No és el recomanable. Dependre únicament de SPF exposa la teva infraestructura a fallades d’entrega si els teus missatges experimenten reenviaments o són processats per llistes de distribució de correu, ja que la IP d’origen es modificarà durant el trajecte i DMARC fallarà en trencar-se el SPF.

Què passa si el meu registre DMARC dona un resultat FAIL?
Dependrà de la política que tinguis configurada al teu registre DNS (p=none, p=quarantine o p=reject). Si estàs en mode none, el correu s’entregarà però s’enregistrarà l’error als teus informes setmanals; si estàs en reject, el servidor de destinació bloquejarà el correu immediatament, impedint que el destinatari el rebi.

Les eines d’eEvidence automatitzen aquestes configuracions?
Sí. En integrar solucions professionals de comunicació i signatura, les plataformes d’infraestructura de confiança proporcionen les instruccions precises perquè configuris els registres SPF i les claus DKIM als teus selectors DNS de forma alineada. Això assegura que les teves notificacions i correus generin evidències inalterables amb el 100% de compliment DMARC.


Conclusió

El disseny tècnic de DMARC busca protegir la identitat de les empreses sense bloquejar el trànsit legítim d’internet. Comprendre que no es requereix l’aprovat simultani de SPF i DKIM, sinó que operen com a canals complementaris, permet als equips de sistemes diagnosticar i solucionar problemes d’entrega amb major rapidesa.

La regla d’or per garantir la màxima seguretat jurídica i entregabilitat comercial és clara: configura sempre ambdós protocols buscant la seva perfecta alineació amb el teu domini corporatiu. D’aquesta manera, la teva organització guanyarà immunitat davant atacs de suplantació d’identitat (phishing) i mantindrà una reputació impecable davant els servidors de correu de tots els teus clients.


A punt per començar?

Contacta'ns per compartir el teu projecte de negoci o registra't ara per començar a provar els nostres serveis avui