¿Qué son DKIM, SPF y DMARC?
Publicado: 2022-10-07¿Tus correos electrónicos son detenidos constantemente por los filtros de spam de tus destinatarios? Peor aún, ¿simplemente no aparecen en absoluto?
La capacidad de entrega del correo electrónico es un problema para muchas empresas, y resolver el problema a veces puede ser un poco un arte oscuro. En esta guía, analizamos tres soluciones genuinas para mejorar la capacidad de entrega del correo electrónico: DKIM, SPF y DMARC.
La configuración de DKIM, SPF y DMARC para su dominio puede mejorar la capacidad de entrega del correo electrónico y, al mismo tiempo, reducir el riesgo de que los estafadores y falsificadores envíen con éxito correos electrónicos que pretenden ser de su organización.
¿Qué son DKIM y SPF?
DKIM y SPF son dos métodos digitales utilizados para la validación de correo electrónico. Ambos pueden proteger al remitente y al destinatario de un correo electrónico contra la suplantación de identidad, el phishing y la suplantación de identidad.
Cuando la cuenta de correo electrónico de alguien recibe un correo electrónico que tiene una firma DKIM o SPF, sus filtros de correo no deseado verifican el dominio del remitente para asegurarse de que el correo electrónico sea válido y no falsificado. Los correos electrónicos que pasan la verificación DKIM o SPF califican para ser entregados; los correos electrónicos que no pasan son rechazados o puestos en cuarentena.
DKIM se utiliza para validar los correos electrónicos enviados por un determinado dominio, mientras que SPF también valida los correos electrónicos enviados por terceros en nombre del dominio del "remitente".
¿Qué es DKIM?
Hablemos de DKIM y SPF con más detalle, comenzando con DKIM.
DKIM (DomainKeys Identified Mail) es un protocolo de seguridad que puede decirle a la cuenta de correo electrónico de alguien si un correo electrónico realmente se envió o no desde el dominio desde el que dice que se envió.
En 2005, antes del lanzamiento de DKIM, la suplantación de identidad por correo electrónico estaba especialmente extendida. Esto llevó a un grupo de participantes destacados de la industria de Internet, entre los que se encontraban Yahoo!, Cisco y Microsoft, a idear una solución: DKIM. El grupo identificó que la supuesta asociación entre un correo electrónico y un dominio podría validarse agregando una clave de seguridad a los metadatos de cada correo electrónico. Esto proporcionaría una forma para que los dominios demuestren que sus propios correos electrónicos son legítimos, al tiempo que dificultaría que los estafadores simulen una asociación entre sus correos electrónicos falsificados y el dominio de otra persona.
Cuando un dominio tiene DKIM configurado y ese dominio envía un correo electrónico a un destinatario, la cuenta de correo electrónico del destinatario verifica la firma DKIM en el correo electrónico con los registros DNS del dominio. (Un registro DNS es el registro en línea del dominio de su información de identificación básica). Si la firma coincide, el correo electrónico pasa la verificación DKIM y, por lo tanto, se puede entregar.
Cómo configurar DKIM en su dominio
La configuración de DKIM es una forma importante y accesible de reducir el riesgo de falsificación de correo electrónico, al tiempo que mejora la capacidad de entrega del correo electrónico.
El proceso de configuración de DKIM varía según el proveedor de servicios de correo electrónico que utilice. Por ejemplo, Gmail completa automáticamente algunos pasos en nombre del dominio. Si prefiere realizar una configuración de DKIM completamente manual, se requerirán los siguientes pasos:
- Instale un paquete DKIM en el servidor de correo electrónico del dominio
- Use una herramienta DKIM Wizard para crear un par de claves DKIM públicas y privadas
- Cargue un registro TXT de la clave DKIM pública en el registro DNS del dominio
- Almacene la clave DKIM privada de forma segura (donde el paquete DKIM indique que debe almacenarse)
- Verifique si el proveedor de correo electrónico requiere alguna configuración DKIM adicional y complete los pasos adicionales apropiados
Agari.com ofrece orientación detallada sobre cada paso del proceso de configuración de DKIM.
Una vez que se configura DKIM, el dominio debe estar bien ubicado para aprovechar los beneficios de una mejor capacidad de entrega y seguridad. Los filtros de spam ahora tendrán una señal clara de que los correos electrónicos del dominio son legítimos, lo que elimina una de las razones más probables por las que esos correos electrónicos podrían haber sido tratados como spam.
Además, si un remitente malintencionado intenta enviar correos electrónicos disfrazados de dominio, los correos electrónicos deberían ser detectados por los filtros de spam de los destinatarios, debido a que no tienen una clave DKIM que coincida con la agregada al DNS del dominio.
¿Qué es FPS?
SPF (Sender Policy Framework) es una forma de validar todas las partes que envían correo electrónico en nombre de un dominio, desde los diversos dominios de envío que pueden ser propiedad del remitente, hasta herramientas de marketing por correo electrónico como MailChimp y Campaign Monitor.
SPF facilita esto solicitando a la cuenta de correo electrónico del destinatario que verifique una lista de detalles de envío permitidos en el registro de dominio del remitente. Si los detalles de la cuenta de envío coinciden con los detalles enumerados en el registro, se puede entregar el correo electrónico; si los detalles no coinciden, el correo electrónico se rechaza o se pone en cuarentena.
Las ideas y tecnologías que se convertirían en SPF fueron desarrolladas en colaboración por una gran comunidad de expertos en correo electrónico a principios de la década de 2000.
Cómo configurar SPF
Configurar SPF para un dominio es afortunadamente simple.
Primero, cree un registro TXT que enumere todos los dominios y servidores aprobados para enviar correos electrónicos en nombre de un dominio. Esto podría incluir servidores web, servidores de correo en la oficina, servidores de correo de ISP, servidores de buzón de usuario final y servidores de correo de terceros que se utilizan para enviar correos electrónicos en nombre del dominio. Entonces, las acciones que debes llevar a cabo son:
- Haga una lista de dominios y servidores relevantes;
- Cree un registro TXT que incluya los dominios y servidores enumerados en este formato.
A continuación, puede activar SPF agregando un registro SPF TXT al DNS de su dominio. Google tiene una guía detallada sobre cómo configurar SPF.
Una vez que se configura SPF, las cuentas de correo electrónico tendrán una forma de verificar todos los correos electrónicos legítimos enviados en nombre de su dominio. Esto mejora la capacidad de entrega de sus correos electrónicos, al mismo tiempo que mantiene la protección que los filtros de spam pueden proporcionar contra los correos electrónicos falsos que pretenden ser de su dominio.
Una herramienta para probar las firmas de correo electrónico DKIM y SPF
Una vez que haya terminado de configurar DKIM y SPF, debe probar para asegurarse de que ambas tecnologías funcionan correctamente. Recomendamos utilizar la herramienta gratuita de mail-tester.com: Compruebe sus claves SPF y DKIM.
Es crucial probar sus precauciones de DKIM y SPF, porque una configuración incorrecta podría dañar la capacidad de entrega de sus correos electrónicos.
¿Qué es DMARC?
DMARC es un protocolo de seguridad de correo electrónico avanzado que agrega la funcionalidad de informes a la protección que ofrecen DKIM y SPF. Para dominios que usan correo electrónico a gran escala, DMARC puede ser una herramienta particularmente poderosa y eficiente para señalar problemas de capacidad de entrega y recopilar información sobre correos electrónicos problemáticos asociados con el dominio.
Cuando DKIM y SPF se lanzaron por primera vez, se esperaba que las tecnologías fueran una solución hermética para validar correos electrónicos. Desafortunadamente, DKIM y SPF no siempre han demostrado ser perfectamente efectivos para prevenir el correo electrónico fraudulento, especialmente en los casos en que el propietario del dominio usa el correo electrónico a gran escala y con múltiples sistemas de correo electrónico.
En 2012, una coalición de gigantes de Internet, incluidos PayPal, Google, Microsoft y Yahoo! reunidos para trabajar en una forma de reforzar las debilidades de DKIM y SPF. Se les ocurrió un protocolo de seguridad llamado DMARC, que agrega una funcionalidad de informes detallados a las firmas DKIM y SPF existentes de una cuenta de correo electrónico.
Con DMARC, cada correo electrónico aún se pasa, rechaza o pone en cuarentena según su firma DKIM o SPF; la diferencia viene después. Cada vez que se rechaza o se pone en cuarentena un correo electrónico, DMARC envía un informe de error al dominio. Y de forma periódica, DMARC envía al dominio un "informe agregado" que reúne información sobre los correos electrónicos aprobados, rechazados y en cuarentena.
Los informes de DMARC brindan detalles sobre el nombre de dominio del autor, además de información sobre la interacción entre el remitente y el destinatario. Esto le da al propietario del dominio una ventaja muy clara sobre cómo se usa su canal de correo electrónico y quién lo usa, incluidos los posibles estafadores.
Cómo usar los informes DMARC
Los informes DMARC pueden ser un gran activo en términos de capacidad de entrega de correo electrónico. Las fallas destacadas por los informes ayudan a las empresas a identificar y tratar instancias de correos electrónicos maliciosos asociados con su dominio. Esto reduce el volumen de señales negativas relacionadas con un dominio que son seleccionadas por los proveedores de servicios de correo electrónico, lo que puede tener un efecto positivo en la capacidad de entrega general del correo electrónico del dominio.
Los servicios de correo electrónico como Gmail y Outlook pueden generar informes DMARC detallados que cubren todos los correos electrónicos enviados desde un dominio, incluida información sobre todas las direcciones IP que usaron el dominio para enviar un correo electrónico.
Para activar los informes DMARC, el propietario del dominio primero deberá crear un registro DMARC para el dominio. Los errores en el registro DMARC de un dominio pueden causar problemas graves con la capacidad de entrega del correo electrónico, por lo que siempre recomendamos utilizar un contratista o servicio experto para garantizar que la configuración de DMARC se realice sin problemas.
Una vez que el registro DMARC de un dominio está activo, puede comenzar a recibir informes DMARC de los proveedores de servicios de correo electrónico.
Los informes de DMARC son difíciles de entender en su formato original, por lo que se recomienda utilizar un software de análisis de DMARC, como DMARC Analyzer, para escanear de manera eficiente cada informe en busca de instancias de uso malicioso. Si el software detecta algo de suplantación de identidad, el propietario del dominio puede tomar las medidas adecuadas, como indicar a Gmail y otros servicios de correo electrónico que rechacen a los remitentes malintencionados en el futuro.
El acrónimo DMARC significa Conformidad e informes de autenticación de mensajes basados en dominios.
Nos gustaría reiterar que si está interesado en DMARC, nuestro consejo sería que un experto configure la herramienta, quien puede monitorear el rendimiento y hacer ajustes para que su política de DMARC sea correcta.
DKIM, SPF y DMARC como parte de la higiene de la capacidad de entrega de correo electrónico
DKIM, SPF y DMARC contribuyen a la seguridad y la capacidad de entrega del correo electrónico. Sin embargo, para obtener los mejores resultados, deben usarse como parte de un régimen completo de higiene del correo electrónico. Esto significa que el dominio pasa regularmente por un conjunto de procesos, incluida la gestión de DKIM, SPF y DMARC, para garantizar una capacidad de entrega de correo electrónico óptima.
Para muchos especialistas en marketing por correo electrónico, el componente más importante de la higiene del correo electrónico es ordenar su lista de correo electrónico (también conocida como su lista de correo). Esto puede implicar revisar la lista para identificar a los destinatarios que no han abierto un correo electrónico en mucho tiempo y luego eliminar a esos destinatarios de la lista de correo electrónico. También puede revisar su lista de correo electrónico en busca de 'inconsistencias horizontales', donde una de las piezas de información sobre un destinatario, como el nombre, no parece coincidir con la dirección de correo electrónico (por ejemplo, nombre: Dr. Norman Whibley-Castle; dirección de correo electrónico : bikerchickmartha2001[arroba]gmail[punto]com). Para obtener más orientación sobre la higiene del correo electrónico, consulte el artículo de tye.io, '10 mejores prácticas esenciales de higiene del correo electrónico para 2021'.
Recomendamos seguir los siguientes pasos para administrar DKIM, SPF y DMARC:
- DKIM y SPF : prueba regularmente tus claves DKIM y SPF.
- DMARC : si usa DMARC, solicite a un miembro del equipo experto o a un contratista que verifique regularmente sus informes de DMARC y ajuste la configuración del dominio si es necesario.
Con DKIM, SPF y posiblemente DMARC, su dominio tendrá una gran base para la entrega y la seguridad del correo electrónico. Solo recuerde administrar estas tecnologías como parte de su régimen de higiene del correo electrónico, ya que esto ayudará a garantizar que funcionen correctamente.
Hay mucho trabajo involucrado en la configuración de estas tecnologías de seguridad de correo electrónico, pero en última instancia, será recompensado al ver un mayor porcentaje de sus correos electrónicos que llegan a la bandeja de entrada del destinatario.