Capacidad de entrega de correo electrónico: SPF, DKIM y DMARC simplificados

Jazmie Jamaludin

Usted envía un correo electrónico importante a un cliente. Un presupuesto, una factura, una respuesta que han estado esperando. Pasan las horas. Luego un día. Finalmente, le envían un mensaje por otro canal: "Nunca recibí su correo electrónico". Usted revisa su carpeta de enviados, y ahí está, enviado con éxito. Entonces, ¿a dónde fue? Lo más probable es que se haya deslizado en una carpeta de spam, o que haya sido rechazado silenciosamente antes de que llegara. Este frustrante e invisible fallo tiene un nombre: baja entregabilidad del correo electrónico.

La buena noticia es que la entregabilidad no es cuestión de suerte. Se rige por tres configuraciones pequeñas pero potentes con nombres intimidantes: SPF, DKIM y DMARC. Una vez que están implementadas, es mucho más probable que sus correos electrónicos lleguen a la bandeja de entrada, y a los impostores les resulta mucho más difícil enviar mensajes falsos haciéndose pasar por usted. Esta guía explica los tres en un lenguaje sencillo, por qué existen y cómo configurarlos sin necesidad de tener conocimientos técnicos.

Por qué el correo electrónico necesita protección

El correo electrónico se inventó en una época de mayor confianza. El diseño original permitía a cualquiera afirmar que enviaba desde cualquier dirección, un poco como enviar una carta con el nombre de otra persona en la esquina del remitente. Esa apertura hizo que el correo electrónico fuera maravillosamente flexible, pero también lo hizo fácil de abusar. Los estafadores envían miles de millones de mensajes falsos cada día, muchos haciéndose pasar por empresas reales. Para combatirlo, los proveedores de buzones de correo crearon un sistema de verificación que hace una pregunta simple: ¿puede este remitente demostrar que es quien dice ser?

SPF, DKIM y DMARC son la forma en que usted responde "sí" a esa pregunta. Son la diferencia entre un correo electrónico que llega a la bandeja de entrada y uno que es marcado, filtrado o eliminado. Todos residen como registros en la configuración DNS de su dominio, por lo que si ese término es nuevo para usted, nuestra guía sobre registros DNS explicados para propietarios no técnicos es el lugar perfecto para comenzar, y renovación de dominio y conceptos básicos de DNS cubre dónde se encuentran estas configuraciones.

La mayoría de todo el tráfico de correo electrónico es spam o fraude
Los proveedores de buzones de correo filtran agresivamente, razón por la cual los remitentes legítimos deben probar su identidad para llegar a la bandeja de entrada.
Fuente: investigación de seguridad de correo electrónico de la industria, incluidos informes de Cisco y Google

SPF: la lista de invitados

SPF significa Sender Policy Framework (Marco de Políticas del Remitente), pero es más fácil pensarlo como una lista de invitados. Es un registro que usted publica que dice, en efecto, "estos son los servidores autorizados a enviar correos electrónicos en nombre de mi dominio". Cuando llega un mensaje, el servidor receptor comprueba si proviene de un servidor de su lista. Si es así, el correo electrónico pasa la verificación SPF. Si no, el mensaje parece sospechoso.

El problema práctico es que muchas empresas envían correos electrónicos desde más de un lugar: su servicio de correo electrónico principal, una plataforma de boletines, una herramienta de facturación, un servicio de soporte. Cada uno de ellos debe incluirse en su registro SPF, o sus mensajes pueden fallar la verificación. Una razón común por la que un correo electrónico bueno es filtrado es simplemente que se añadió una nueva herramienta sin actualizar el SPF. Mantener esta lista actualizada es una parte pequeña pero real del cuidado continuo de su presencia en línea a lo largo del tiempo.

DKIM: el sello a prueba de manipulaciones

DKIM significa DomainKeys Identified Mail. Si SPF es una lista de invitados, DKIM es un sello de lacre en el sobre. Cuando usted envía un mensaje, su servicio de correo electrónico añade una firma digital oculta creada con una clave secreta que solo usted posee. El servidor receptor verifica esa firma con una clave pública coincidente que usted ha publicado en el DNS. Si la firma es válida, se demuestran dos cosas: el mensaje realmente provino de su dominio y no fue alterado en el camino.

Esto es importante porque hace que la falsificación sea drásticamente más difícil. Un impostor podría falsificar su dirección en la línea "de", pero no puede falsificar su firma DKIM sin su clave secreta. La mayoría de los proveedores de correo electrónico de buena reputación pueden configurar DKIM por usted con unos pocos clics, generando las claves y diciéndole exactamente qué registro DNS añadir.

DMARC: el reglamento y el informe

DMARC significa Domain-based Message Authentication, Reporting and Conformance (Autenticación, Informes y Conformidad de Mensajes Basados en Dominio). Une los otros dos y hace dos cosas valiosas. Primero, les dice a los servidores receptores qué hacer con los mensajes que fallan las verificaciones de SPF y DKIM: dejarlos pasar, enviarlos a spam o rechazarlos por completo. Segundo, le envía informes que muestran quién está enviando correos electrónicos usando su dominio, incluidos los impostores. Esa visibilidad por sí sola vale la pena el esfuerzo.

DMARC generalmente se introduce de forma gradual. Se comienza en un modo de "solo monitoreo" que no cambia nada, pero recopila informes, para que pueda ver su panorama real de correo electrónico sin riesgo. Una vez que esté seguro de que todos los remitentes legítimos están pasando, se endurece la política para poner en cuarentena o rechazar. Apresurarse a una política estricta es el error clásico que bloquea accidentalmente sus propios boletines.

Comparación de SPF, DKIM y DMARC
Configuración Función en lenguaje sencillo Contra qué protege
SPF Una lista de invitados de servidores de envío aprobados. Servidores no autorizados que envían como usted.
DKIM Una firma a prueba de manipulaciones en cada mensaje. Falsificación y contenido alterado.
DMARC El reglamento más informes sobre el uso indebido. Suplantación de identidad y spoofing de marca.
Los tres juntos Una verificación de identidad completa para su correo electrónico. Filtrado de spam y pérdida de reputación.

Por qué esto protege su reputación, no solo su bandeja de entrada

Aquí hay una imagen más grande. Cuando los estafadores suplantan con éxito su dominio, el daño no es solo para las personas a las que engañan. Cada mensaje fraudulento enviado en su nombre erosiona la reputación de su dominio, la puntuación invisible que los proveedores de buzones de correo utilizan para decidir si confiar en usted. Una reputación dañada significa que incluso sus correos electrónicos honestos comienzan a llegar a la carpeta de spam. Configurar estos tres registros es, por lo tanto, una forma de protección de marca, muy parecida a mantener su sitio web seguro y confiable. Se alinea cómodamente con otras señales de confianza, como su certificado SSL y el candado en el navegador.

Un orden sensato para configurar las cosas

Si está empezando desde cero, trabaje en ellos en este orden. Comience con SPF, listando cada servicio que envía correo electrónico por usted. Luego, habilite DKIM a través de cada uno de sus proveedores de correo electrónico, añadiendo las claves que le den. Finalmente, publique un registro DMARC en modo de monitoreo y lea los informes durante unas semanas. Solo entonces deberá ajustar la política. Dar un paso a la vez significa que nunca bloqueará sus propios mensajes, y construirá una imagen clara de quién está usando su dominio.

Mantenga una lista de sus remitentes

El documento más útil que puede mantener es una lista simple de cada herramienta y servicio que envía correos electrónicos en su nombre. Constantemente se añaden nuevas plataformas a una empresa, y cada una de ellas es un problema potencial de entregabilidad si no está autorizada. Revisar esta lista al añadir o eliminar herramientas convierte la seguridad del correo electrónico en una rutina tranquila en lugar de una emergencia. Este tipo de mantenimiento se complementa bien con el monitoreo regular de sus servicios en línea más amplios.

Cuándo buscar ayuda de expertos

Para una pequeña empresa con un solo proveedor de correo electrónico, configurar SPF, DKIM y DMARC es muy factible en una tarde. Para una empresa que envía desde muchas plataformas, interpretar los informes de DMARC y ajustar las políticas puede volverse complicado, y las apuestas son altas porque un error puede impedir que su correo electrónico llegue a cualquiera. Si le parece abrumador, es completamente razonable que alguien lo configure correctamente una vez y luego se lo entregue a usted para que lo mantenga. Puede contactar a un equipo que maneja la autenticación de correo electrónico para empresas si prefiere no navegar por los informes solo. De cualquier manera, hacer bien estos tres registros es una de las cosas de mayor valor que puede hacer por su comunicación.

Preguntas frecuentes

¿Realmente necesito los tres: SPF, DKIM y DMARC?+
Sí, idealmente. SPF y DKIM prueban parte de su identidad, y DMARC los une mientras informa sobre el uso indebido. Muchos proveedores de buzones de correo ahora esperan los tres, y los remitentes que no los tienen son más propensos a ser filtrados o rechazados.
¿Configurar esto evitará por completo que mis correos electrónicos lleguen a spam?+
Eliminan una razón importante para el filtrado, pero el contenido y los hábitos de envío siguen siendo importantes. Evite el lenguaje de spam, mantenga sus listas limpias y envíe de manera consistente. La autenticación es la base que permite que sus buenas prácticas sean recompensadas.
¿Qué hace realmente el modo de monitoreo de DMARC?+
No cambia nada sobre cómo se entrega su correo electrónico, pero le envía informes que muestran cada fuente que envía correo como su dominio. Esto le permite detectar herramientas legítimas que olvidó e impostores, antes de ajustar la política.
Añadí una nueva herramienta de correo electrónico y los mensajes comenzaron a rebotar. ¿Por qué?+
Es probable que la nueva herramienta no esté incluida en su registro SPF o carezca de DKIM, por lo que sus mensajes fallan la autenticación. Añada los detalles de envío de la herramienta a SPF y habilite DKIM para ella, luego los rebotes deberían detenerse una vez que el DNS se actualice.

Referencias

  1. Internet Engineering Task Force. "Domain-based Message Authentication, Reporting, and Conformance (RFC 7489)." ietf.org.
  2. Google. "Directrices para remitentes de correo electrónico, Ayuda de Workspace." google.com.
  3. Agencia de Ciberseguridad y Seguridad de Infraestructuras. "Mejorar la seguridad del correo electrónico y la web." cisa.gov.
Regresar al blog

AUTOMATICE. OPTIMICE. DOMINE.

Optimice sus operaciones y ofrezca una experiencia de cliente fluida. Deje que nuestros expertos implementen tecnología de vanguardia y flujos de trabajo optimizados para que pueda concentrarse en lo que mejor sabe hacer.

DISCUTA SUS IDEAS