¿Por qué el nuevo 'NP' de DMARC puede fallar con DNSSEC?
La especificación actualizada de DMARC introduce una nueva etiqueta llamada "np" que permite a los remitentes especificar la política que deben aplicar los receptores cuando el dominio del remitente es un subdominio no existente del dominio donde se publica el registro DMARC. Sin embargo, se ha descubierto que la definición de "dominio no existente" en la especificación de DMARC entra en conflicto con otra especificación reciente llamada "Compact Denial of Existence in DNSSEC".
La etiqueta "np" se utiliza para especificar la política que se aplica a los subdominios no existentes de un dominio. Por ejemplo, si un dominio tiene un registro DMARC con la etiqueta "np=reject", los receptores rechazarán los correos electrónicos que provienen de subdominios no existentes de ese dominio. La especificación de DMARC define un dominio no existente como aquel que devuelve un código de respuesta NXDOMAIN cuando se consulta su nombre de dominio.
“La etiqueta "np" se utiliza para especificar la política que se aplica a los subdominios no existentes de un dominio”
El problema surge cuando se utiliza DNSSEC, una extensión de seguridad para DNS que permite a los resolutores verificar la autenticidad de las respuestas DNS. En DNSSEC, la definición de dominio no existente es diferente a la de la especificación de DMARC. Esto puede causar que la etiqueta "np" no funcione como se espera en algunos casos. Los principales proveedores de DNS, como Cloudflare, NS1, AWS Route 53 y Azure, están afectados por este problema.
La incompatibilidad entre la especificación de DMARC y DNSSEC puede tener un impacto significativo en la seguridad de los correos electrónicos. Los remitentes que utilicen la etiqueta "np" para rechazar correos electrónicos de subdominios no existentes pueden encontrar que su política no se aplica correctamente en algunos casos. Esto puede permitir que los correos electrónicos no deseados lleguen a los receptores, lo que puede ser un problema de seguridad importante. Es importante que los remitentes y los receptores sean conscientes de este problema y tomen medidas para mitigarlo.