Entregabilidad
SPF, DKIM y DMARC: Por qué usarlos y cómo configurarlos
¿Te interesa saber lo que son los protocolos SPF, DKIM y DMARC? En este blog te explicamos cuál es su importancia y cómo configurarlos para que todo vaya sobre ruedas cuando envíes emails.
Seguro que has escuchado a gente hablar de los protocolos SPF, DKIM o DMARC, o que alguien te ha dicho que te asegures de tenerlos en orden cuando envíes tus campañas de email marketing. Y mientras buscas sin descanso cómo configurarlos, de pronto te preguntas “Pero, eso del SPF, DKIM y DMARC… ¿qué es?”
Empecemos por el principio. El phishing es una técnica utilizada por los estafadores para obtener información personal. Los phishers envían un email fingiendo ser una organización de confianza (un banco, Paypal, eBay, Amazon...), con el fin de robarnos datos confidenciales.
Este tipo de suplantación de identidad también se conoce como spoofing. Gracias a esos datos que consiguen, los estafadores pueden, por ejemplo, realizar transferencias bancarias a sus cuentas o conectarse a un sitio para enviar spam.
Pues para evitar que estos phishers se hagan pasar por ti utilizando el mismo nombre de dominio, existen los protocolos de autenticación SPF, DKIM y DMARC. En este artículo, vamos a explicar detenidamente qué son y cómo configurarlos para hacer tus envíos de correos más seguros.
Tabla de contenidos
¿Qué es el SPF?
¿Qué es el DKIM?
¿Qué es DMARC?
Nuevos requisitos de Google y Yahoo
Cómo configurar un registro DNS para la autenticación SPF
Cómo configurar un registro DNS para la autenticación DKIM
Cómo configurar un registro DNS para la autenticación DMARC
¿Qué son el SPF, DKIM y DMARC?
Como ocurre con todo, cuando nos enfrentamos a un montón de siglas en inglés, lo más común es que no sepamos ni a qué corresponden. Vamos a echarle un vistazo a cada una.
¿Qué es el SPF?
El Sender Policy Framework, o SPF, es un estándar de autenticación que vincula un nombre de dominio a una dirección de correo electrónico. Consiste en definir cuál es el remitente (o remitentes) autorizado para enviar emails con un dominio determinado.
Así, los clientes de email como Gmail o Outlook y los servidores de correo electrónico pueden comprobar que el email entrante procede de direcciones IP o servidores autorizados por el administrador del dominio del remitente.
Para esto, los servidores DNS comprueban con los registros SPF si la IP del servidor desde el que se envía tiene relación con el dominio.
Para conocer más detalles sobre SPF puedes consultar nuestro artículo detallado al respecto.
¿Qué es el DKIM?
El DomainKeys Identified Mail, o DKIM, es un protocolo de autenticación que vincula un nombre de dominio a un mensaje. Habilitar DKIM te permite utilizar una clave privada en tus emails salientes a modo de firma digital.
El objetivo del protocolo DKIM no es sólo demostrar que el nombre de dominio no ha sido usurpado, sino también que el mensaje no ha sido alterado durante la transmisión.
También puedes encontrar más información sobre DKIM en este artículo.
¿Qué es DMARC?
El Domain-based Message Authentication, Reporting and Conformance, o DMARC, es un estándar de autenticación que complementa a SPF y DKIM para combatir más eficazmente el phishing y otras prácticas de spamming.
Permite a los propietarios de dominio indicar a los ISP (proveedores de servicios de internet) y a los clientes de email qué hacer cuando un mensaje firmado de su dominio no está formalmente identificado por un estándar SPF o DKIM.
Los registros DMARC ayudan a salvaguardar tu imagen de marca y proteger a tus clientes. Sigue leyendo para aprender más sobre ellos o lee este artículo dedicado específicamente a las políticas DMARC.
¿Por qué deberías utilizar los protocolos SPF, DKIM y DMARC?
La razón es bastante simple: estos son los principales protocolos para verificar la identidad de los remitentes. Esta es una de las formas más efectivas de evitar que los phishers se hagan pasar por un remitente legítimo y suplanten su identidad utilizando el mismo nombre de dominio.
Pero evitar ataques de phishing no es la única ventaja. De hecho, la implementación de estos protocolos mejora la entregabilidad del email marketing.
Gracias a estos protocolos, tus correos podrán ser identificados mejor por los ISP y los clientes de email de tus destinatarios, lo que mejora las posibilidades de que tus emails lleguen a la bandeja de entrada de tus contactos y no a la carpeta de Spam o Correo no deseado.
Además, estos protocolos se han convertido en estándares para el email. Un mensaje enviado sin firma SPF y/o DKIM puede ser considerado sospechoso por las diferentes herramientas de análisis de email.
Nuevos requisitos de Google y Yahoo
Hasta 2024, la decisión de utilizar estos protocolos era cuestión de cada remitente, pero no existía ningún requisito firme por parte de ningún agente en la industria al respecto.
Esto ha cambiado a partir del primer trimestre de 2024, cuando Google y Yahoo, dos de los proveedores de correo electrónico más importantes a nivel mundial, han implementado nuevas restricciones para aquellos remitentes de correo que quieran enviar emails de forma masiva a sus usuarios.
Estas restricciones incluyen, entre otras, la exigencia a los remitentes de que verifiquen su identidad utilizando los métodos de autenticación estándar en la industria (SPF, DKIM y DMARC).
Si quieres escuchar la información de primera mano de los responsables de Yahoo y Google, puedes ver el vídeo en Youtube de la charla que organizamos en Sinch Mailgun con ellos para resolver las dudas más comunes de los usuarios (en inglés).
Limitaciones de los protocolos SPF y DKIM
El SPF tiene sus limitaciones. Por ejemplo, si el email se reenvía, es posible que la verificación falle, ya que la dirección que reenvía el mensaje de correo electrónico puede no estar incluida en la lista de direcciones validadas por el SPF.
Eso hace extremadamente importante que seamos lo más exhaustivos posible al añadir nuevas direcciones a nuestro registro SPF.
Por su parte, la firma DKIM no impedirá que seas considerado un spammer si no aplicas las buenas prácticas del envío de emails.
Es decir, aunque funcione como método de autenticación, tendrás que respetar las normas básicas a la hora de diseñar el contenido de tus emails: prestar atención a la relación texto/imagen, evitar el uso de palabras identificadas por los filtros de spam como peligrosas, etc.
Otro punto a destacar es que SPF y DKIM no especifican la acción a tomar si la verificación falla. Aquí es donde entra en juego el protocolo DMARC, que indica al servidor del destinatario cómo actuar si los procesos de autenticación de correo electrónico del remitente fallan.
Autenticar tus dominios con SPF, DKIM y DMARC
Para configurar los ajustes de autenticación SPF, DKIM y DMARC para tu dominio, necesitas acceder a los registros DNS de tu cuenta de hosting (OVH, 1&1, HostGator, etc.). Si no los encuentras o no tienes acceso a ellos, tu proveedor de alojamiento puede ayudarte.
Cómo configurar un registro DNS para la autenticación SPF
A la hora de llevar a cabo la configuración, hay dos cosas que debes recordar acerca de los registros SPF:
Un registro SPF es un tipo de registro TXT - no debe confundirse con el tipo SPF (utilizable, pero no recomendado).
Sólo debería haber un registro SPF por dominio. Si tienes varios registros DNS SPF, los operadores de email no sabrán cuál usar, lo que podría causar problemas de autenticación.
Comprueba tus registros DNS desde tu cuenta de hosting. Si no ves ningún registro SPF, crea uno. De lo contrario, solo tienes que actualizar el registro SPF existente. Además, recuerda que en algunos casos puede resultarte interesante añadir un registro SPF a un subdominio específico, distinto del registro SPF del dominio principal.
Aunque está fuera del objetivo de este artículo, debes saber que existen ocho mecanismos que se pueden utilizar en un registro SPF. Entre ellos, cabe destacar:
v=spf1: indica la versión del registro. Aunque existe un spf2, normalmente no se utiliza.
ip4: permite declarar una IPv4.
ip6: permite declarar una IPv6, en vez de una IPv4.
mx: permite declarar la IP a la que resuelve el registro MX de un dominio.
ptr: relacionado con los registros PTR, algo más complejos.
Cómo configurar un registro DNS para la autenticación DKIM
Para poder usar la autenticación DKIM, deberás crear un nuevo registro por DKIM. A diferencia de la autenticación SPF, tu dominio puede incluir varios registros DKIM DNS sin ningún problema. Desde tu cuenta de hosting, crea un nuevo registro DNS del tipo TXT.
Dependiendo del host, es posible que necesites insertar comillas alrededor del valor TXT. Si no estás seguro de si debes añadir comillas, puedes ponerte en contacto con tu proveedor de alojamiento.
Cómo configurar un registro DNS para la autenticación DMARC
Antes de empezar a implementar DMARC, asegúrate de que los registros SPF y DKIM hayan sido implementados correctamente. Como hemos dicho antes, DMARC define cuál es la política a aplicar en caso de fallo en los protocolos SPF y DKIM, a través de un registro DNS dedicado.
Esto requiere una coincidencia entre los nombres de dominio SPF y DKIM y el encabezado "De". DMARC entonces te permite aplicar una de estas tres políticas, en caso de no correspondencia:
Ninguna: Ninguna acción, aplicar la política local.
Cuarentena: Marcar como spam.
Rechazar: Rechazar el mensaje.
Además, en el caso de DMARC, es necesario conocer un par de parámetros más.
Versi�ón ("v="): De momento solo existe una (DMARC1).
Dirección de email a la que enviar informes de actividad ("rua="): Es una etiqueta opcional. Debe contener la etiqueta mailto: (p. ej. mailto:informes-dmarc@miempresa.com).
Cómo usar los protocolos SPF, DKIM y DMARC con Mailjet
Para definir Mailjet como un remitente legítimo, debes configurar los parámetros de autenticación SPF y DKIM para cada uno de tus dominios de envío.
La configuración del SPF es muy simple, siempre y cuando seas el propietario del nombre de dominio que deseas añadir (lo que excluye las direcciones de clientes de correo electrónico como gmail.com o hotmail.es).
En tu cuenta de Mailjet, te proporcionamos claves específicas que deberás integrar en los registros DNS de tu host.
Aquí tienes un ejemplo de registro SPF configurado:
Como puedes ver, tendrás que ir a tu página de ajustes, en tu cuenta de Mailjet y acceder a la página de configuración de SPF y DKIM.
Una vez que estés allí, tendrás que copiar el texto que encuentres allí y pegarlo en tu host. En este caso, por ejemplo, los dos textos serían los siguientes:
Atención: Recuerda que esto es solo un ejemplo, debes copiar y pegar la información que aparezca en tu cuenta de Mailjet.
La configuración de DKIM con Mailjet es igual de sencilla. Mailjet te proporciona la clave pública para registrarte a través de la interfaz del host de tu sitio web. Allí, puedes integrar la clave pública en tu área de registro.
Aquí tienes un ejemplo de un registro DKIM configurado:
En la misma página de configuración que has utilizado para SPF, encontrarás la información de DKIM.
De nuevo, tendrás que copiar y pegar la información que encuentres allí en tu host. En este caso, por ejemplo, los dos textos serían los siguientes:
Atención: Recuerda que esto es solo un ejemplo, debes copiar y pegar la información que aparezca en tu cuenta de Mailjet.
Encontrarás toda la información necesaria y el procedimiento paso a paso en nuestra documentación. Es tan completa que incluye incluso guías de ayuda para cada uno de los principales proveedores de alojamiento (OVH, Gandi, Cloudfare, Hostgator...).
Por supuesto, puedes configurar DMARC en los servidores SMTP de Mailjet. Para beneficiarte de este nivel adicional de seguridad y protección del nombre de tu dominio, puedes ponerte en contacto con nuestro equipo de asistencia, que podrán ayudarte en la configuración e implementación del protocolo.
BIMI: Un paso más allá
Si ya has configurado correctamente tus protocolos SPF y DKIM, y te has asegurado de que tus políticas DMARC están actuando de la forma que esperabas, quizá el siguiente paso que quieras considerar sea implementar BIMI.
Cada vez más, habrás notado que puedes ver el logotipo de algunas marcas en tu bandeja de entrada cuando recibes sus emails. BIMI (de sus siglas en inglés Brand Indicators for Message Identification) es, precisamente, lo que les permite hacerlo.
No lo hemos mencionado antes porque para poder configurarlo necesitas tener SPF, DKIM y DMARC al día, y además la política DMARC no puede ser p=none, así que no te será útil si no has seguido todas nuestras recomendaciones anteriores. Lee nuestro artículo sobre BIMI si quieres conocer más sobre este “superprotocolo” de autenticación.
Conclusión
Bueno, pues ahora que conoces de primera mano la importancia de estos protocolos de autenticación para tu programa de email y tu imagen de marca, no dejes pasar un minuto más, y asegúrate de que tu configuración de DMARC, DKIM y SPF es la adecuada.
Además, recuerda que las ventajas de implementar todos estos protocolos de autenticación no son solo para ti y tu empresa, sino también para tus clientes y suscriptores, que podrán navegar más seguros por sus bandejas de entrada.
Y si quieres conocer más consejos sobre entregabilidad, suscríbete a nuestra newsletter para recibir actualizaciones regulares con todos nuestros artículos.
***
Este artículo es una versión actualizada del artículo "SPF, DKIM y DMARC: Por qué usarlos y cómo configurarlos", de Beatriz Redondo Tejedor, que se publicó en el blog de Mailjet en marzo de 2019.
