SPF, DKIM y DMARC: Por qué usarlos y cómo configurarlos

¿Qué son el SPF, DKIM y DMARC?

Como ocurre con todo, cuando nos enfrentamos a un montón de siglas en inglés, lo más común es que no sepamos ni a qué corresponden. Vamos a echarle un vistazo a cada una.

¿Qué es el SPF?

El Sender Policy Framework, o SPF, es un estándar de autenticación que vincula un nombre de dominio a una dirección de correo electrónico. Consiste en definir cuál es el remitente (o remitentes) autorizado para enviar emails con un dominio determinado.

Así, los clientes de email como Gmail o Outlook y los servidores de correo electrónico pueden comprobar que el email entrante procede de direcciones IP o servidores autorizados por el administrador del dominio del remitente.

Para esto, los servidores DNS comprueban con los registros SPF si la IP del servidor desde el que se envía tiene relación con el dominio.

¿Qué es el DKIM?

El DomainKeys Identified Mail, o DKIM, es un protocolo de autenticación que vincula un nombre de dominio a un mensaje. Habilitar DKIM te permite utilizar una clave privada en tus emails salientes a modo de firma digital.

El objetivo del protocolo DKIM no es sólo demostrar que el nombre de dominio no ha sido usurpado, sino también que el mensaje no ha sido alterado durante la transmisión.

¿Qué es DMARC?

El Domain-based Message Authentication, Reporting and Conformance, o DMARC, es un estándar de autenticación que complementa a SPF y DKIM para combatir más eficazmente el phishing y otras prácticas de spamming.

Permite a los propietarios de dominio indicar a los ISP (proveedores de servicios de internet) y a los clientes de email qué hacer cuando un mensaje firmado de su dominio no está formalmente identificado por un estándar SPF o DKIM.

¿Por qué deberías utilizar los protocolos SPF, DKIM y DMARC?

La razón es bastante simple: estos son los principales protocolos para verificar la identidad de los remitentes. Esta es una de las formas más efectivas de evitar que los phishers se hagan pasar por un remitente legítimo y suplanten su identidad utilizando el mismo nombre de dominio.

Pero esta no es la única ventaja. De hecho, la implementación de estos protocolos mejora la entregabilidad del email marketing.

Gracias a estos protocolos, tus correos podrán ser identificados mejor por los ISP y los clientes de email de tus destinatarios, lo que mejora las posibilidades de que tus emails lleguen a la bandeja de entrada de tus contactos y no a la carpeta de "Spam" o "Correo no deseado".

Además, estos protocolos se han convertido en estándares para el email. Un mensaje enviado sin firma SPF y/o DKIM puede ser considerado sospechoso por las diferentes herramientas de análisis de email.

Limitaciones de los protocolos SPF y DKIM

El SPF tiene sus limitaciones. Por ejemplo, si el email se reenvía, es posible que la verificación falle, ya que la dirección que reenvía el mensaje de correo electrónico puede no estar incluida en la lista de direcciones validadas por el SPF.

Eso hace extremadamente importante que seamos lo más exhaustivos posible al añadir nuevas direcciones a nuestro registro SPF.

Por su parte, la firma DKIM no impedirá que seas considerado un spammer si no aplicas las buenas prácticas del envío de emails.

Es decir, aunque funcione como método de autenticación, tendrás que respetar las normas básicas a la hora de diseñar el contenido de tus emails: prestar atención a la relación texto/imagen, evitar el uso de palabras identificadas por los filtros de spam como peligrosas, etc.

Otro punto a destacar es que SPF y DKIM no especifican la acción a tomar si la verificación falla. Aquí es donde entra en juego el protocolo DMARC, que indica al servidor del destinatario cómo actuar si los procesos de autenticación de correo electrónico del remitente fallan.

Autenticar tus dominios con SPF, DKIM y DMARC

Para configurar los ajustes de autenticación SPF, DKIM y DMARC para tu dominio, necesitas acceder a los registros DNS de tu cuenta de hosting (OVH, 1&1, HostGator, etc.). Si no los encuentras o no tienes acceso a ellos, tu proveedor de alojamiento puede ayudarte.

Cómo configurar un registro DNS para la autenticación SPF

A la hora de llevar a cabo la configuración, hay dos cosas que debes recordar acerca de los registros SPF:

• Un registro SPF es un tipo de registro TXT - no debe confundirse con el tipo SPF (utilizable, pero no recomendado).

• Sólo debería haber un registro SPF por dominio. Si tienes varios registros DNS SPF, los operadores de email no sabrán cuál usar, lo que podría causar problemas de autenticación.

Comprueba tus registros DNS desde tu cuenta de hosting. Si no ves ningún registro SPF, crea uno. De lo contrario, solo tienes que actualizar el registro SPF existente. Además, recuerda que en algunos casos puede resultarte interesante añadir un registro SPF a un subdominio específico, distinto del registro SPF del dominio principal.

Aunque está fuera del objetivo de este artículo, debes saber que existen ocho mecanismos que se pueden utilizar en un registro SPF. Entre ellos, cabe destacar:

• ip4: permite declarar una IPv4

• ip6: permite declarar una IPv6, en vez de una IPv4

• mx: permite declarar la IP a la que resuelve el registro MX de un dominio

• ptr: relacionado con los registros PTR, algo más complejos

Cómo configurar un registro DNS para la autenticación DKIM

Para poder usar la autenticación DKIM, deberás crear un nuevo registro por DKIM. A diferencia de la autenticación SPF, tu dominio puede incluir varios registros DKIM DNS sin ningún problema. Desde tu cuenta de hosting, crea un nuevo registro DNS del tipo TXT.

Dependiendo del host, es posible que necesites insertar comillas alrededor del valor TXT. Si no estás seguro de si debes añadir comillas, puedes ponerte en contacto con tu proveedor de alojamiento.

Cómo configurar un registro DNS para la autenticación DMARC

Antes de empezar a implementar DMARC, asegúrate de que los registros SPF y DKIM hayan sido implementados correctamente. Como hemos dicho antes, DMARC define cuál es la política a aplicar en caso de fallo en los protocolos SPF y DKIM, a través de un registro DNS dedicado.

Esto requiere una coincidencia entre los nombres de dominio SPF y DKIM y el encabezado "De". DMARC entonces te permite aplicar una de estas tres políticas, en caso de no correspondencia:

• Ninguna: Ninguna acción, aplicar la política local.

• Cuarentena: Marcar como spam.

• Rechazar: Rechazar el mensaje.

Cómo usar los protocolos SPF, DKIM y DMARC con Mailjet

Para definir Mailjet como un remitente legítimo, debes configurar los parámetros de autenticación SPF y DKIM para cada uno de tus dominios de envío.

La configuración del SPF es muy simple, siempre y cuando seas el propietario del nombre de dominio que deseas añadir (lo que excluye las direcciones de clientes de correo electrónico como gmail.com o hotmail.es).

En tu cuenta de Mailjet, te proporcionamos claves específicas que deberás integrar en los registros DNS de tu host.

Aquí tienes un ejemplo de registro SPF configurado:

Como puedes ver, tendrás que ir a tu página de ajustes, en tu cuenta de Mailjet y acceder a la página de configuración de SPF y DKIM.

Una vez que estés allí, tendrás que copiar el texto que encuentres allí y pegarlo en tu host. En este caso, por ejemplo, los dos textos serían los siguientes:

La configuración de DKIM con Mailjet es igual de sencilla. Mailjet te proporciona la clave pública para registrarte a través de la interfaz del host de tu sitio web. Allí, puedes integrar la clave pública en tu área de registro.

Aquí tienes un ejemplo de un registro DKIM configurado:

En la misma página de configuración que has utilizado para SPF, encontrarás la información de DKIM.

De nuevo, tendrás que copiar y pegar la información que encuentres allí en tu host. En este caso, por ejemplo, los dos textos serían los siguientes:

Encontrarás toda la información necesaria y el procedimiento paso a paso en nuestra documentación. Es tan completa que incluye incluso guías de ayuda para cada uno de los principales proveedores de alojamiento (OVH, Gandi, Cloudfare, Hostgator...).

Por supuesto, puedes configurar DMARC en los servidores SMTP de Mailjet. Para beneficiarte de este nivel adicional de seguridad y protección del nombre de tu dominio, puedes ponerte en contacto con nuestro equipo de asistencia, que podrán ayudarte en la configuración e implementación del protocolo.

BIMI: Un paso más allá

Si ya has configurado correctamente tus protocolos SPF y DKIM, y te has asegurado de que tus políticas DMARC están actuando de la forma que esperabas, quizá el siguiente paso que quieras considerar sea implementar BIMI.

Quizá hayas notado que puedes ver el logotipo de algunas marcas en tu bandeja de entrada cuando recibes sus emails. BIMI (de sus siglas en inglés Brand Indicators for Message Identification) es, precisamente, lo que les permite hacerlo.

No lo hemos mencionado antes porque para poder configurarlo necesitas tener SPF, DKIM y DMARC al día, y además la política DMARC no puede ser p=none, así que no te será útil si no has seguido todas nuestras recomendaciones anteriores. Lee nuestro artículo sobre BIMI si quieres conocer más sobre este “superprotocolo” de autenticación.

Conclusión

Bueno, pues ahora que conoces de primera mano la importancia de estos protocolos de autenticación para tu programa de email y tu imagen de marca, no dejes pasar un minuto más, y asegúrate de que su configuración es la adecuada.

Además, recuerda que las ventajas de implementar todos estos protocolos de autenticación no son solo para ti y tu empresa, sino también para tus clientes y suscriptores, que podrán navegar más seguros por sus bandejas de entrada. Y si quieres conocer más consejos sobre entregabilidad, suscríbete a nuestra newsletter para recibir actualizaciones regulares con todos nuestros artículos.

***

Este artículo es una versión actualizada del artículo SPF, DKIM y DMARC: Por qué usarlos y cómo configurarlos, de Beatriz Redondo Tejedor, que se publicó en el blog de Mailjet en marzo de 2019.