
Especialista en LLMs, AI Agents e Infraestructura de IA
La tag 'np' de DMARCbis mejora la seguridad contra el spoofing de subdominios inexistentes al definir políticas específicas. Sin embargo, su implementación enfrenta desafíos técnicos en entornos con DNSSEC, específicamente por la incompatibilidad con la técnica NSEC Black Lies, lo que podría generar falsos positivos y vulnerabilidades de autenticación.
La tag 'np' es una de las novedades introducidas en el protocolo DMARCbis, formalizado en el RFC 9989, con el objetivo de reforzar la seguridad del correo electrónico frente al spoofing en subdominios inexistentes. A diferencia de la tag 'sp', que regula políticas para subdominios existentes, 'np' se enfoca exclusivamente en aquellos que no están definidos en el dominio principal.
Por ejemplo, al configurar una política np=reject, los servidores de correo rechazarán automáticamente todos los correos electrónicos que provengan de subdominios inexistentes. Esto reduce el riesgo de ataques de suplantación de identidad que explotan subdominios no configurados deliberadamente por los administradores.
Si bien la tag 'np' representa un avance significativo, su implementación en sistemas que utilizan DNSSEC (Domain Name System Security Extensions) ha suscitado preocupaciones debido a limitaciones técnicas.
DNSSEC es un protocolo que protege la integridad y autenticidad de las respuestas DNS mediante firmas digitales. Sin embargo, una técnica específica de DNSSEC llamada NSEC Black Lies, descrita en el RFC 9824, puede causar conflictos con el funcionamiento de la tag 'np'. Esta técnica permite a los servidores DNS responder de manera eficiente sobre subdominios inexistentes mediante la generación de respuestas compactas. No obstante, estas respuestas pueden no alinearse con las reglas de DMARCbis, dando lugar a los siguientes problemas:
En sectores críticos como el financiero o el gubernamental, donde DNSSEC es esencial para proteger datos sensibles, estas incompatibilidades pueden ser especialmente preocupantes.
La implementación de la tag 'np' en el protocolo DMARCbis es un paso relevante hacia la mejora de la seguridad en el correo electrónico. Sin embargo, su éxito dependerá en gran medida de cómo se aborden las limitaciones actuales, como las incompatibilidades con la técnica NSEC Black Lies.
Es esencial que tanto los administradores como las empresas se mantengan atentos a las actualizaciones del RFC 9989, ya que podrían incluir soluciones a estos desafíos técnicos. La colaboración entre la comunidad técnica y los principales proveedores será clave para garantizar una implementación efectiva y segura de esta nueva funcionalidad.
La tag 'np' de DMARCbis es una herramienta prometedora para mitigar el spoofing de subdominios inexistentes, pero requiere atención cuidadosa al implementarse en entornos con DNSSEC. Los administradores, empresas y proveedores de servicios deben trabajar de manera conjunta para superar los desafíos técnicos y garantizar una transición sin problemas hacia esta nueva política.
La tag 'np' define políticas específicas para correos electrónicos enviados desde subdominios inexistentes, ayudando a prevenir ataques de spoofing.
La técnica NSEC Black Lies de DNSSEC genera respuestas compactas para subdominios inexistentes, lo que puede causar falsos positivos e inconsistencias en la autenticación con la tag 'np'.
Pueden revisar configuraciones de DNSSEC, realizar pruebas en entornos controlados y colaborar con proveedores para garantizar la compatibilidad.
💡 Dica Pro: Para minimizar los falsos positivos, los administradores deben asegurarse de que los registros DNS NSEC o NSEC3 estén configurados correctamente para ser compatibles con las respuestas esperadas por DMARCbis.