¿Cuál es la diferencia entre SPF, DKIM y DMARC? | EasyDMARC

¿Cuál es la diferencia entre SPF, DKIM y DMARC?

13 min de lectura
A person typing on a laptop, EasyDMARC logo on the left side

SPF, DKIM y DMARC son los tres protocolos de autenticación de correo electrónico más importantes utilizados para demostrar a los ISP y ESP que un remitente está autorizado para el envío de correos electrónicos a nombre de un dominio específico, desde el punto de vista de un dueño de dominio o manejador de campañas de marketing, la implementación de estos protocolos es esencial para lo siguiente:

  • Evitar que los piratas informáticos falsifiquen y envíen correos electrónicos fraudulentos utilizando tu nombre de dominio.
  • Proteger a tus clientes, socios comerciales y tu organización de los delincuentes informáticos que intenten explotar tu dominio o tu nombre de dominio.
  • Obtener confianza entre los ESP como remitente verificado.
  • Demostrar a tus clientes, autoridades gubernamentales y otros actores terciarios que tu organización se toma en serio la seguridad de los correos electrónicos.
  • Mejorar tus tasas de entregabilidad de correos y evitar que tus mensajes sean desviados a las carpetas de spam o descartados por completo. 

Si bien los tres estándares se utilizan para la autenticación de correos electrónicos, a nivel práctico no podrían ser más diferentes uno de otro, razón por la cual comprender cómo funcionan los protocolos SPF, DKIM y DMARC es esencial para garantizar que tus correos sean autenticados correctamente.

En este artículo vamos a discutir qué significan SPF, DKIM y DMARC y cómo se usan en el proceso de autenticación de los correos electrónicos; pero antes de discutir esto, vamos a explorar cómo funcionan los correos electrónicos.

¿Cómo funcionan los correos electrónicos?

La forma en la que funcionan los correos electrónicos es bastante sencilla, antes de poder enviar o leer correos electrónicos desde tu dispositivo, necesitas un agente de usuarios de correos o MUA, tal como Gmail. El MUA interactúa con el Agente de transferencia de correo o MTA, también conocido como servidor de correo, luego el MTA ayuda a recibir y almacenar tus correos electrónicos de forma remota, es aquí donde solo recibirás el correo en tu dispositivo a través del Agente de entrega de correo, o MDA, cuando abras tu MUA.

El protocolo simple de transferencia de correos (SMTP) es el método de comunicación encargado de enviar correos electrónicos de un servidor de correo a otro, aunque los proveedores de correo electrónico como Gmail tienen sus propios protocolos internos, aún usan SMTP para enviar correos fuera de sus sistemas; por ejemplo, cuando un usuario de Gmail quiere enviar un correo a un usuario de correo Yahoo!.  

Existen otros protocolos, tales como POP3 e IMAP4, que pueden ayudarte a descargar correos electrónicos del servidor; en la actualidad estos protocolos que hemos mencionado han sido reemplazados por webmail, el cual te permite iniciar sesión y recibir correos en cualquier dispositivo a nivel mundial, para lo cual necesitas estar conectado a Internet para poder usarlo.

Los protocolos de correo electrónico no se crearon teniendo en cuenta la seguridad, de hecho, los servidores de correo solo tienen como única función recibir los mensajes del remitente y enviarlos al destinatario. Este proceso tan simple se ha convertido en un reto a medida que la internet continúa expandiéndose, sobre todo a medida que el spam y el phishing se han ido convirtiendo en problemas cada vez más frecuentes para todos los usuarios de correos electrónicos.

Al principio, los usuarios de correos implementaron los protocolos para encriptación TLS (o seguridad de la capa de transporte) con el fin de codificar los mensajes en tránsito, sin embargo, una de las lagunas de TLS es que no ofrece protección para los datos en reposo.

TLS protege los datos que viajan de un MTA a otro MTA, pero cada MTA tiene la potestad de modificar el mensaje; SPF, DKIM y DMARC se crearon para solucionar este problema y proporcionar una vía que permita a los servidores de correo validar la fuente de los mensajes.

¿Qué es SPF?

El marco de políticas del remitente, o SPF, es un protocolo de autenticación de correo electrónico diseñado para ayudar a detectar y prevenir la suplantación de mensajes por esta vía de comunicación, dicho protocolo de autenticación te permite crear un registro DNS TXT donde puedes enumerar las direcciones de los remitentes que están autorizados para el envío de  mensajes a nombre de tu dominio; con este protocolo, los ISP o los servidores de correo electrónico pueden validar que los mensajes de un dominio en particular son legítimos. 

Tu administrador de dominio puede crear fácilmente un registro SPF y publicarlo en el registro DNS como una entrada TXT, estos son algunos de los aspectos que debe incluir:

  • La versión de SPF que deseas utilizar.
  • Las direcciones IP que tienen permitido enviar mensajes usando tu dominio.
  • Cualquier dominio de terceros que esté autorizado para el envío de correos electrónicos a nombre de tu dominio.
  • Una etiqueta final «all» que indica la política que se aplica cuando un servidor de correo descubre una IP no autorizada.

Cuando se envía un correo a un destinatario que alega provenir de parte de tu dominio o a nombre de tu dominio, el servidor de correo receptor busca en el acto un registro SPF; si detecta uno, procede a recuperar la lista de IP autorizadas para el dominio. Si la IP del remitente coincide con las listas incluidas en el registro SPF, la verificación de autenticación es marcada como «PASS» y el destinatario recibe el mensaje, de suceder lo contrario, el mensaje es rechazado o se transfiere a la carpeta de correo no deseado.

¿Qué es DKIM?

DKIM significa claves de identificación de dominio digitales, y es un protocolo de autenticación de correo que te permite firmar tus correos electrónicos de forma digital, también proporciona seguridad a tus mensajes de correo con un identificador único que utiliza encriptación de clave pública en lugar de una dirección IP.

Al igual que SPF, DKIM requiere que se agregue un registro TXT en tu DNS, y se vale de la encriptación para crear claves criptográficas públicas y privadas. La clave privada permanece en tu servidor y se usa para firmar digitalmente todos los correos electrónicos que envías, mientras que la clave pública se coloca en el registro DKIM.

Cuando envías un correo a un destinatario específico, el servidor de este procede a recuperar el registro DKIM y usa la clave pública para decodificar la firma DKIM y verificarla, luego, el servidor receptor compara los hashes públicos y privados para ver si estos coinciden. Si se logra la coincidencia, el sistema reconoce el mensaje como auténtico e inalterado, y no se considerará spam; si sucede lo contrario, el sistema registra el mensaje como no legítimo, o que este ha sido modificado en el tránsito, por lo que procede a fallar la autenticación DKIM y no será enviado a la bandeja de entrada del destinatario.

DKIM ayuda a validar tres aspectos muy específicos:

  • Que el contenido del correo no ha sido modificado ni manipulado.
  • Que los encabezados del mensaje no cambiaron desde que el remitente envió el mensaje.
  • Que el propietario del dominio autorice al remitente del correo electrónico.

Crear un registro DKIM es fácil, ya que la mayoría de los servidores de correo electrónico tienen funcionalidad DKIM nativa, pero independientemente del proveedor que utilices, estos registros deben incluir las siguientes etiquetas de información:

S: indica el selector que representa el nombre de registro utilizado con el dominio, para encontrar las claves públicas en el registro del DNS.

D: este es el dominio del remitente y es usado junto al registro del selector para ubicar la clave pública.

P: es la clave pública que está incluida en el registro del DNS.

Si bien hay otras etiquetas disponibles, los tres elementos vitales para generar un registro DKIM son los mencionados anteriormente.

¿Qué es DMARC?

DMARC es un acrónimo para referirnos a los informes de conformidad y autenticación de mensajes de dominio, este protocolo de autenticación, política e informes de correos electrónicos aprovecha y mejora ampliamente las características DKIM y SPF para validar la autenticidad de un mensaje utilizando la dirección «from», lo cual ayuda a prevenir la suplantación de identidad por correo y los ataques de phishing; los protocolos DMARC tienen tres propósitos principales:

  • Validar si DKIM y SPF están protegiendo debidamente una dirección de correo electrónico, verificando si la dirección «from» que está visible coincide con el dominio en la dirección de ruta de retorno (para SPF) y el encabezado DKIM (para DKIM).
  • Especifica cómo los receptores de correo electrónico deben manejar los mensajes que fallan en las comprobaciones de autenticación.
  • Permite que el servidor receptor envíe informes al remitente sobre los mensajes que pasan o fallan las verificaciones de autenticación DMARC.

Para que un correo electrónico pase la autenticación DMARC, debe pasar DKIM y SPF; si DKIM falla y SPF pasa, el mensaje aún será entregado, para implementar DMARC, es necesario crear un registro DMARC y definir las políticas que deseas aplicar según tus necesidades; las políticas que puedes implementar libremente son las siguientes:

  • Política = (P=none): también conocida como la política de monitoreo, bajo esta política no se realiza ninguna acción y el mensaje se entrega al destinatario independientemente pasar o fallar la autenticación DMARC.
  • Política = (P=quarantine): esta política envía los mensajes que fallan la autenticación DMARC a la carpeta de spam o de cuarentena.
  • Política = (P=rechazar): la política de rechazo es aquella que bloquea los correos electrónicos que fallan la autenticación DMARC y los devuelve, es también la política definitiva que debemos configurar para consolidar nuestro dominio.

¿Son necesarias las tres medidas?

Decidir qué protocolo de autenticación de correo implementar puede ser confuso, ya que, aunque las tres medidas son protocolos de autenticación que fortalecen la seguridad de tu correo electrónico, ninguna actúa de forma efectiva independiente. DMARC, SPF y DKIM juegan un papel esencial para garantizar que tu correo electrónico está protegido y que tus mensajes sean entregados según lo previsto, por lo que es necesario implementar los tres protocolos para tener una seguridad garantizada.

Si bien SPF puede evitar la suplantación de dominio por su cuenta, la implementación de SPF por sí sola no brinda ninguna protección contra el fraude por correo electrónico. DKIM por su parte puede verificar la legitimidad de un remitente, pero los piratas aún pueden modificar la dirección «from» visible.

Para una protección sólida y completa de tu correo electrónico, te recomendamos que implementes los protocolos DKIM, SPF y DMARC al unísono.

Por qué necesitas DMARC, SPF y DKIM

La implementación de estos tres protocolos de autenticación vitales, mejora significativamente la seguridad de su correo electrónico, además de ofrecerte otras ventajas:

  • Le indica a toda tu red de clientes y socios comerciales que tu organización es legítima y se toma en serio la seguridad de sus correos electrónicos.
  • Mejora las tasas de entregabilidad de tus correos electrónicos y fomenta la confianza en tu marca, ya que a los piratas informáticos les resulta difícil falsificar tu dominio para llevar a cabo actividades fraudulentas.
  • Protege a tus clientes, socios y otros actores externos de explotaciones fraudulentas a nombre de tu dominio.

Al verificar la legitimidad de un remitente, SPF, DKIM y DMARC combinan fuerzas para evitar ataques de suplantación de identidad y otras amenazas que pueden ser enviadas por correo electrónico.

Cómo comenzar con SPF, DKIM y DMARC

Al configurar tus políticas SPF, DKIM y DMARC, es esencial que lo hagas en el orden correcto, recuerda que la implementación es un proceso de varias etapas que requiere tiempo para alcanzar el cumplimiento final de DMARC en conjunto con SPF y DKIM; afortunadamente, contamos con una amplia gama de herramientas gratuitas y soluciones alojadas en nuestro sitio web para ayudarte a lograrlo.

  • El cumplimiento de DMARC comienza con SPF, así que lo primero que debes hacer es implementar este protocolo creando tu registro SPF, lo cual puedes hacer fácilmente con EasyDMARC:
  1. Verifica tus registros SPF para saber si tienes uno publicado en tu dominio y si este ha sido implementado correctamente.
  2. Genera tu registro SPF al instante sin preocuparte por errores tipográficos y de sintaxis.
  3. Valida tu registro SPF antes de publicarlo en tu DNS para garantizar la configuración correcta.
  4. Utiliza nuestras herramientas EasySPF para resolver cualquier otro problema de configuración, tal como el error común «demasiadas búsquedas de DNS».
  • DKIM es el siguiente paso para el cumplimiento de DMARC, una vez que SPF esté funcionando sin problemas, es hora de implementar DKIM, y EasyDMARC está aquí para asistirte nuevamente:
  1. Verifica tus registros DKIM para saber si están incluidos en tu dominio y si son válidos.
  2. Genera tu registro DKIM en segundos para tus servidores de correo dedicados.
  • Una vez que hayas confirmado que DKIM está funcionando correctamente, puedes concentrarte en la implementación de DMARC, nuestra empresa puede asistir con los siguientes pasos: 
  1. Verifique el estado de DMARC en tu dominio con nuestro verificador de registros DMARC.
  2. Genera tu registro DMARC de forma rápida y correcta antes de publicarlo en tu DNS.
  3. Configura y analiza tus informes de fallas DMARC en un formato fácil de entender.
  4. Utiliza nuestro analizador de informes de agregaduría XML para obtener información instantánea sobre tu infraestructura de correos electrónicos.
  5. Utiliza nuestra solución DMARC alojada para aplicar y administrar DMARC con un solo clic en todos tus dominios.

Si necesitas ayuda en cualquier etapa de tu proceso de consolidación con SPF, DKIM y DMARC, no dudes en contactarnos, nuestro equipo de expertos puede guiarte a través de los diversos procesos y etapas que acabamos de describir.

Conclusión

Hemos discutido a fondo SPF, DKIM y DMARC, así como el funcionamiento de cada uno, como puedes ver, estos protocolos de autenticación son vitales para todas las organizaciones que buscan protección de correo electrónico sólida. Es cierto que la implementación de DMARC requiere experiencia técnica, es por esa razón que EasyDMARC ha diseñado varias herramientas para que tu trayecto durante la instalación de DMARC sea perfecto, con nuestras soluciones alojadas, la implementación de DMARC nunca había sido tan fácil, ¿Qué estás esperando? ¡Regístrate hoy!