Entregabilidad
SPF, DKIM y DMARC: Por qué usarlos y cómo configurarlos
¿Te interesa saber lo que son los protocolos SPF, DKIM y DMARC? En este blog te explicamos cuál es su importancia y cómo configurarlos para que todo vaya sobre ruedas cuando envíes emails.
Seguro que has escuchado a gente hablar de los protocolos SPF, DKIM o DMARC, o que alguien te ha dicho que te asegures de tenerlos en orden cuando envíes tus campañas. Y mientras buscas sin descanso cómo configurarlos, de pronto te preguntas “Pero, eso del SPF, DKIM y DMARC… ¿qué es?”
Empecemos por el principio. Seguro que sabes que los ataques en el envío de correos electrónicos son cada vez más numerosos y selectivos. El phishing es una técnica utilizada por los estafadores para obtener información personal. Los phishers envían un email fingiendo ser una organización de confianza (un banco, Paypal, eBay, Amazon...), con el fin de robarnos datos confidenciales como la información bancaria, datos de acceso a cuentas, etc. Este tipo de suplantación de identidad también se conoce como spoofing. Gracias a esos datos que consiguen, los estafadores pueden, por ejemplo, realizar transferencias bancarias a sus cuentas o conectarse a un sitio para enviar spam.
Pues para evitar que estos phishers se hagan pasar por ti utilizando el mismo nombre de dominio, existen soluciones. Aquí es donde entran en juego los protocolos de autenticación SPF, DKIM y DMARC. En este artículo, vamos a explicar detenidamente qué son y cómo configurarlos para hacer tus envíos más seguros.
Tabla de contenidos
¿Qué es el SPF?
¿Qué es el DKIM?
¿Qué es DMARC?
Cómo configurar un registro DNS para la autenticación SPF
Cómo configurar un registro DNS para la autenticación DKIM
Cómo configurar un registro DNS para la autenticación DMARC
¿Qué son el SPF, DKIM y DMARC?
Como ocurre con todo, cuando nos enfrentamos a un montón de siglas en inglés, lo más común es que no sepamos ni a qué corresponden. Vamos a echarle un vistazo a cada una.
¿Qué es el SPF?
El Sender Policy Framework, o SPF, es un estándar de autenticación que vincula un nombre de dominio a una dirección de correo electrónico. Consiste en definir cuál es el remitente (o remitentes) autorizado para enviar emails con un dominio determinado. De este modo, los clientes de emails como Gmail o Outlook y los servidores de correo electrónico pueden comprobar que el email entrante procede de direcciones IP o servidores autorizados por el administrador del dominio del remitente. Para esto, los servidores DNS comprueban con los registros SPF si la IP del servidor desde el que se envía tiene relación con el dominio.
¿Qué es el DKIM?
El DomainKeys Identified Mail, o DKIM, es un protocolo de autenticación que vincula un nombre de dominio a un mensaje. Habilitar DKIM te permite utilizar una clave privada en tus emails salientes a modo de firma digital. El objetivo del protocolo DKIM no es sólo demostrar que el nombre de dominio no ha sido usurpado, sino también que el mensaje no ha sido alterado durante la transmisión.
¿Qué es DMARC?
El Domain-based Message Authentication, Reporting and Conformance, o DMARC, es un estándar de autenticación que complementa a SPF y DKIM para combatir más eficazmente el phishing y otras prácticas de spamming. Permite a los propietarios de dominio indicar a los ISP (proveedores de servicios de internet) y a los clientes de email qué hacer cuando un mensaje firmado de su dominio no está formalmente identificado por un estándar SPF o DKIM.
¿Por qué deberías utilizar los protocolos SPF, DKIM y DMARC?
La razón es bastante simple: estos son los principales protocolos para verificar la identidad de los remitentes. Esta es una de las formas más efectivas de evitar que los phishers y otros estafadores se hagan pasar por un remitente legítimo cuya identidad podrían suplantar utilizando el mismo nombre de dominio.
Pero esta no es la única ventaja. De hecho, la implementación de estos protocolos mejora la entregabilidad de los emails enviados. Gracias a estos protocolos, tus correos podrán ser identificados mejor por los ISP y los clientes de email de tus destinatarios, lo que mejora las posibilidades de que tus emails lleguen a la bandeja de entrada de tus contactos y no a la carpeta de "Spam" o "Correo no deseado".
Estos protocolos se han convertido en estándares para el email. Un mensaje enviado sin firma SPF y/o DKIM puede ser considerado sospechoso por las diferentes herramientas de análisis de email.
Limitaciones de los protocolos SPF y DKIM
El SPF tiene sus limitaciones. Por ejemplo, si el email se reenvía, es posible que la verificación no se lleve a cabo. Esto se debe a que la dirección que reenvía el mensaje de correo electrónico puede no estar incluida en la lista de direcciones validadas por el SPF. Por lo tanto, es importante que seamos lo más exhaustivos posible al añadir nuevas direcciones a nuestro registro SPF.
Por su parte, la firma DKIM no impedirá que seas considerado un spammer si no aplicas las buenas prácticas del envío de emails. Es decir, aunque funcione como método de autenticación, tendrás que respetar estas normas básicas a la hora de diseñar el contenido de tus emails: prestar atención a la relación texto/imagen, evitar el uso de palabras identificadas por los filtros de spam como peligrosas, etc.
Otro punto a destacar es que SPF y DKIM no especifican la acción a tomar si la verificación falla. Aquí es donde entra en juego el protocolo DMARC, que indica al servidor del destinatario cómo actuar si los procesos de autenticación de correo electrónico del remitente fallan.
Autenticar tus dominios con SPF, DKIM y DMARC
Para configurar los ajustes de autenticación SPF, DKIM y DMARC para tu dominio, necesitas acceder a los registros DNS de tu cuenta de hosting (OVH, 1&1, HostGator, etc.). Si no los encuentras o no tienes acceso a ellos, tu proveedor de alojamiento puede ayudarte.
Cómo configurar un registro DNS para la autenticación SPF
A la hora de llevar a cabo la configuración, hay dos cosas que debes recordar acerca de los registros SPF:
Un registro SPF es un tipo de registro TXT - no debe confundirse con el tipo SPF (utilizable, pero no recomendado).
Sólo debería haber un registro SPF por dominio. Si tienes varios registros DNS SPF, los operadores de email no sabrán cuál usar, lo que podría causar problemas de autenticación.
Comprueba tus registros DNS desde tu cuenta de hosting. Si no ves ningún registro SPF, crea uno. De lo contrario, solo tienes que actualizar el registro SPF existente. Además, recuerda que en algunos casos puede resultarte interesante añadir un registro SPF a un subdominio específico, distinto del registro SPF del dominio principal.
Aunque está fuera del objetivo de este artículo, debes saber que existen ocho mecanismos que se pueden utilizar en un registro SPF. Entre ellos, cabe destacar:
ip4: permite declarar una IPv4
ip6: permite declarar una IPv6, en vez de una IPv4
mx: permite declarar la IP a la que resuelve el registro MX de un dominio
ptr: relacionado con los registros PTR, algo más complejos
Cómo configurar un registro DNS para la autenticación DKIM
Para poder usar la autenticación DKIM, deberás crear un nuevo registro por DKIM. A diferencia de la autenticación SPF, tu dominio puede incluir varios registros DKIM DNS sin ningún problema. Desde tu cuenta de hosting, crea un nuevo registro DNS del tipo TXT.
Dependiendo del host, es posible que necesites insertar comillas alrededor del valor TXT. Si no estás seguro de si debes añadir comillas, puedes ponerte en contacto con tu proveedor de alojamiento.
Cómo configurar un registro DNS para la autenticación DMARC
Antes de empezar a implementar DMARC, asegúrate de que los registros SPF y DKIM hayan sido implementados correctamente. Como hemos dicho antes, DMARC define cuál es la política a aplicar en caso de fallo en los protocolos SPF y DKIM, a través de un registro DNS dedicado. Esto requiere una coincidencia entre los nombres de dominio SPF y DKIM y el encabezado "De".
DMARC entonces le permite aplicar una de estas tres políticas, en caso de no correspondencia:
Ninguna: Ninguna acción, aplicar la política local.
Cuarentena: Marcar como spam.
Rechazar: Rechazar el mensaje.
Cómo usar los protocolos SPF, DKIM y DMARC con Mailjet
Para definir Mailjet como un remitente legítimo, debes configurar los parámetros de autenticación SPF y DKIM para cada uno de tus dominios de envío.
La configuración del SPF es muy simple, siempre y cuando seas el propietario del nombre de dominio que deseas añadir (lo que excluye las direcciones de clientes de correo electrónico como gmail.com o hotmail.es). En tu cuenta de Mailjet, te proporcionamos claves específicas que deberás integrar en los registros DNS de tu host.
Aquí tienes un ejemplo de registro SPF configurado:
Como puedes ver, tendrás que ir a tu página de ajustes, en tu cuenta de Mailjet y acceder a la página de configuración de SPF y DKIM.
Una vez que estés allí, tendrás que copiar el texto que encuentres allí y pegarlo en tu host. En este caso, por ejemplo, los dos textos serían los siguientes:
Atención: Recuerda que esto es solo un ejemplo, debes copiar y pegar la información que aparezca en tu cuenta de Mailjet.
La configuración de DKIM con Mailjet es igual de sencilla. Mailjet te proporciona la clave pública para registrarte a través de la interfaz del host de tu sitio web. Allí, puedes integrar la clave pública en tu área de registro.
Aquí tienes un ejemplo de un registro DKIM configurado:
En la misma página de configuración que has utilizado para SPF, encontrarás la información de DKIM.
De nuevo, tendrás que copiar y pegar la información que encuentres allí en tu host. En este caso, por ejemplo, los dos textos serían los siguientes:
Atención: Recuerda que esto es solo un ejemplo, debes copiar y pegar la información que aparezca en tu cuenta de Mailjet.
Encontrarás toda la información necesaria y el procedimiento paso a paso en nuestra documentación. Es tan completa que incluye incluso guías de ayuda para cada uno de los principales proveedores de alojamiento (OVH, Gandi, Cloudfare, Hostgator...).
Por supuesto, puedes configurar DMARC en los servidores SMTP de Mailjet. Para beneficiarte de este nivel adicional de seguridad y protección del nombre de tu dominio, puedes ponerte en contacto con nuestro equipo de Soporte, que podrán ayudarte en la configuración e implementación del protocolo.
Comparte tus comentarios e ideas con nosotros en Twitter, y síguenos para recibir nuestras noticias al momento.
***
Este artículo es una versión actualizada del artículo SPF, DKIM y DMARC: Por qué usarlos y cómo configurarlos, de Beatriz Redondo Tejedor, que se publicó en el blog de Mailjet el 28 de marzo de 2019.
