Se has llegado hasta aquí seguro que has oído hablar de los registros SPF, DKIM y DMARC pero no sabes exactamente que son. Hoy te vamos a explicar detalladamente que son y para que sirven cada uno de ellos.
Primero de todo es importante dejar claro que tanto el DKIM, DMARC y el SPF tienen un objetivo común y es demostrar a los diferentes ISP y a los servicios de correo electrónico que los remitentes son quienes dicen realmente ser.
Por ejemplo, en el caso de un dominio de envío @example.com, tener la certeza que quien intenta enviar un mensaje a través del correo electrónico es realmente el propietario el dominio. De esta forma los protocolos relacionados permiten evitar que servidores no autorizados envíen mensajes como su dominio y ofrecen a los destinatarios una forma de verificar que los correos electrónicos realmente provienen del dominio de envío.
En esta guía, exploraremos qué hace cada tecnología, por qué es necesaria y qué pasos se deben seguir para configurarlas. Como puedes comprender este será un factor importante para mejorar la Entregabilidad del correo electrónico y la reputación del servidor de correo electrónico.
¿Qué es el SPF (Sender Policy Framework?
Primero de todo empezaremos con el SPF (Sender Policy Framework), ya que es el protocolo más antiguo. La autenticación SPF funciona especificando estrictamente la cantidad de direcciones IP de dominio permitidas que pueden enviar correos electrónicos desde el dominio.
Esto se hace a través de los registros del DNS para definir las direcciones IP del servidor que pueden enviar correos electrónicos como un dominio.
Es decir, un registro SPF normalmente será así:
v = spf1 ip4: 111.111.111.111 ~ all
Si este registro estuviera activado example.com, solo el servidor en 111.111.111.111 podría enviar correos electrónicos con un FROM: user@example.com encabezado. El ~all excluye todas las demás direcciones IP excepto las de la lista.
El servidor de correo electrónico receptor aplica el SPF. Verificará la dirección IP del servidor de envío, el dominio en el FROM encabezado del correo electrónico y la lista de remitentes permitidos en el registro DNS SPF de ese dominio. La entrega fallará en el caso que la IP del servidor de envío no está en la lista.
¿Cómo configurar el SPF de un dominio de envío?
Para configurar el SPF para su dominio, tendrás que ir en el panel de control de tu dominio de envío, buscar la sección para configurar registros DNS y agregar un nuevo registro TXT como el ejemplo anterior con las IPs de envío.
¿Qué es el DKIM (Domain Keys Identified Mail)?
DKIM son las siglas de “Domain Keys Identified Mail”, el objetivo de este es revisar los correos electrónicos en sí. Es un sistema de firma que permite a los servidores receptores rastrear los correos electrónicos hasta su origen.
DKIM ayuda a recibir servidores de correo electrónico a responder estas preguntas:
¿Se han modificado los encabezados del correo electrónico desde que abandonó el remitente?
¿Se ha manipulado el cuerpo del correo electrónico desde que dejó al remitente?
¿El servidor remitente está autorizado a enviar como este dominio? (Se superpone con SPF)
El sistema DKIM ofrece una forma de verificar que un correo electrónico sea auténtico, sin modificaciones y realmente enviado por su servidor. Cuando falla una verificación DKIM, el servidor de recepción tratará el correo electrónico como no confiable. Depende del servidor decidir qué hacer con el correo electrónico. Es probable que termine en la carpeta de correo no deseado del destinatario, pero también se podría eliminarse por completo.
¿Cómo configurar el DKIM de un dominio de envío?
DKIM utiliza cifrado para permitir la verificación de la identidad del servidor. La configuración de DKIM requiere la generación de dos claves, una pública y la otra privada. La clave pública se agrega a los registros DNS del dominio.
La clave privada se mantiene en secreto y se convierte en parte de la configuración de su servidor de correo. El software utilizará esta clave para firmar cada correo electrónico que envíe. Cuando un servidor receptor recibe un nuevo mensaje, consultará el registro DKIM del DNS del dominio y usará la clave pública para verificar si el correo electrónico ha sido manipulado.
Los pasos exactos para configurar DKIM variarán según el agente de transferencia de correo que estés utilizando.
¿Qué es el DMARC (Domain-based Message Authentication)?
DMARC es Autenticación, informes y conformidad de mensajes basados en dominios. Hablando en otro idioma, el DMARC se basa en SPF y DKIM para validar aún más los correos electrónicos al hacer coincidir la validez de los registros SPF y DKIM. Es otro protocolo para prevenir el uso no autorizado de nombres de dominio mediante el envío de servidores de correo electrónico.
A diferencia de SPF y DKIM, el DMARC ofrece a los propietarios de dominios una forma de especificar qué sucede cuando un servidor de correo electrónico recibe un mensaje sin la autenticación adecuada. Hay tres acciones admitidas:
- none – El servidor puede continuar entregando el mensaje.
- quarantine – Entregue el mensaje a correo basura o spam.
- reject – Rechazar y rebotar el mensaje.
DMARC también proporciona un mecanismo de informes. Puede especificar un punto final de servidor al que los servidores de correo receptores llamarán cuando reciban un correo electrónico que pretenda ser de su dominio. Esto le brinda una vista en Internet de los servidores que se envían como su dominio.
¿Cómo configurar el DMARC de un dominio de envío?
El DMARC es otro registro TXT que se tiene que agregar al DNS:
v = DMARC1; p = none; rua = mailto: usuario@example.com
- p=none- La etiqueta p le dice a los servidores de correo qué hacer cuando llega un mensaje no autenticado. Su valor debe ser una de las acciones mencionadas anteriormente.
- rua=mailto…- La etiqueta rua indica a los servidores a donde enviar los datos de los informes. En este caso, se le enviará por correo electrónico.
También hay otras etiquetas DMARC compatibles . Estos le permiten definir una acción de política separada para los subdominios, variar el rigor de la aplicación para las comprobaciones de SPF y DKIM y configurar un porcentaje de correos electrónicos a los que se aplicará DMARC.
¿Y tú, tienes dominios correctamente autentificados?