Guía definitiva para: DMARC, DKIM y SPF

Cómo implementar DMARC/DKIM/SPF para salvaguardar los correos electrónico comerciales.

Te presentamos la guía definitiva para aprender a implementar DMARC, DKIM y SPF y estar protegido contra los ataques a correos electrónicos empresariales (BEC) y mejorar la entregabilidad de tus mensajes; aquí te sugerimos las mejores prácticas para configurar estos protocolos de autenticación y aclararemos cualquier duda que puedas tener sobre las politicas DMARC, DKIM y SPF.

También vamos a analizar los beneficios de implementar DMARC, DKIM y SPF, cómo detener los ataques phishing y la suplantación de identidad por correos electrónicos de tu dominio, también vamos a trabajar en la mejoría de tu reputación como remitente de correos.

Esta guía resulta especialmente beneficiosa para las siguientes audiencias:

  • Propietarios de marcas
  • Comercializadores
  • Propietarios y administradores de dominios
  •  Manejadores de redes de IT
  • Cualquiera persona que quiera evitar que los criminales informáticos envíen correos electrónicos fraudulentos desde su dominio
  • Empresas o particulares que se han sido afectados por BEC

Nota: si deseas saber si tu dominio cumple con las políticas de DMARC, SPF y DKIM, envía un correo electrónico a [email protected] y te enviaremos un informe a tu buzón con la información solicitada.

¿Qué son los ataques a correos electrónicos comerciales?

Los ataques a correos electrónicos comerciales (BEC) es la denominación usada para cualquier tipo de actividad fraudulenta que involucre tu dominio de correo electrónico, los ejemplos más comunes de este tipo de ataques incluyen ataques phishing o de suplantación de identidad, los cuales ocurren cuando se falsifica el encabezado de un correo y otra persona lo usa para enviar un mensaje a tu nombre. El phishing requiere del uso de un sitio web o correo fraudulento con el fin de robar tu información; dichos mensajes parecen haber sido enviados por usted, pero están siendo enviados por un criminal en línea, cuyo objetivo es obtener información confidencial, como datos financieros o tus contraseñas como destinatario.

Este tipo de correos suelen contener un mensaje indicando que se ha producido una brecha de seguridad y que el destinatario debe tomar medidas inmediatas para solucionar el problema; la dirección del remitente puede parecer de una fuente confiable, como [email protected], la cual le destinatario que haga clic en un enlace provisto dentro del mensaje que lo lleva a un sitio web fraudulento que luce similar al sitio oficial del banco. Una vez aquí, el destinatario procede a ingresar su información personal por error y el sitio web utiliza estas credenciales para retirar dinero de la cuenta del destinatario.

Los correos falsificados también pueden parecer que provienen de un socio comercial, este tipo de mensajes puede incluir facturas que tú asociado requiere que pagues a la brevedad posible; si el destinatario hace clic en el enlace contenido en el mensaje, este lo lleva a un sitio web falso que roba la información financiera del destinatario. Los correos phishing son comunes entre las transferencias de dinero, ya que es una manera muy fácil de obtener dinero.

Te presentamos un escenario adicional: un criminal cibernético puede hacerse pasar por alguien de la alta gerencia de una empresa y envía correos a su personal, incluyendo a los gerentes de contabilidad. Estos mensajes contienen solicitudes que no salen fuera de lo común, tal como la solicitud de un pago o transferencia de fondos a otra cuenta (generalmente en el extranjero) a uno de sus inversores comerciales, aquí fácilmente un empleado puede cometer el error de transferir el dinero de la empresa al pirata informático, ya que el correo parece ser emitido de forma legítimo por la gerencia.

 Aquí te mostramos un ejemplo de un correo electrónico falsificado:

INSERTAR EJEMPLO AQUÍ

Como puedes apreciar, en este correo el delincuente informático se hace pasar por Google y le advierte al usuario de un intento de inicio de sesión sospechoso, luego el correo le pide al destinatario que confirme su identidad haciendo clic en el enlace, lo que le permite al atacante robar sus credenciales. También se pueden utilizar correos falsos para la propagación de ransomware, como es de suponer, e, mero acto de abrir uno de estos correos puede suponer una pérdida total de tus operaciones comerciales.

Ten presente que estos correos siempre parecen provenir de fuentes confiables, por lo que una vez que el destinatario abre el mensaje, solo se le pide que haga clic en un enlace o descargue archivos adjuntos. El ransomware se apodera del dispositivo y bloquea el acceso de todos los usuarios en tu negocio, luego el pirata informático procede a exigir dinero antes de liberar tus cuentas; un informe indica que aproximadamente el 90% de todos los correos usados para ataques phishing tienen ransomware adjunto.

Puntos destacados de la sección:

  • Los ataques a correos electrónicos comerciales (BEC) pueden incluir correo phishing o suplantación de identidad, la cual ocurre cuando alguien se hace pasar por un remitente legítimo con el fin de engañar al destinatario con el fin de transferir dinero, apoderarse de información importante o descargar ransomware.
  • Los piratas informáticos pueden usar tu correo para enviar mensajes fraudulentos a clientes, empleados y socios comerciales sin tu conocimiento.

¿Cuáles son las consecuencias de los ataques BEC?

Una de las principales razones por las que los ataques BEC son tan comunes es porque son bastante fácil de llevar a cabo, estas intrusiones no requieren amplia experiencia tecnología, por lo que cualquier persona con conocimientos básicos de servidores de correos electrónicos administrativos puede hacerlo, y además reporta un alto retorno de la inversión. En la actualidad, muchas empresas aún confían en los filtros de spam para evitar estos ataques, sin embargo, este mecanismo no siempre resulta útil, ya que un sinnúmero de mensajes puede evadir estos filtros sin ser detectados. Los filtros de spam no están diseñados para detener la suplantación de identidad, por lo que es necesario otro mecanismo para evitar que los ataques de phishing lleguen a tus destinatarios.

Cuando un correo phishing llega a tu bandeja de entrada, pone en peligro múltiples elementos en tus sistemas, empezando por la infraestructura de tu negocio y la reputación de marca; otros factores de riesgo incluyen tu propiedad intelectual, pérdidas financieras, suspensión de actividades comerciales debido al ransomware que detiene en seco tu operatividad y mucho más.

El correo electrónico es esencial para cualquier operación comercial, es el principal medio de comunicación de la mayoría de las empresas en la actualidad; sin embargo, el correo también es necesario para las campañas de marketing, la atención al cliente, concretar ventas, comunicaciones internas y las transferencias de datos financieros, por lo que es imperativo que tu correo electrónico comercial sea seguro. No proteger el correo de tu empresa puede dar lugar a fallos en la seguridad que provocan graves pérdidas; piensa en este mecanismo como la manutención de una caja fuerte llena de dinero e información personal desbloqueada que cualquiera pueda robar o abrir sin las credenciales apropiadas. 

Puntos destacados de esta sección:

  • Los ataques a correos comerciales (BEC) causan consecuencias irreversibles a tu negocio y reputación, incluido el ransomware, el cual se apodera de tu cuenta, y genera pérdidas financieras y de tu propiedad intelectual.

¿Cómo detener los ataques a correos electrónicos comerciales?

Aunque los ataques de phishing y suplantación de identidad por correo pueden parecer aterradores, la buena noticia es que puedes evitar estos intentos de ataques con tan solo implementar DMARC, SPF y DKIM. Estas modernas medidas de seguridad para los correos electrónicos son el estándar de oro en lo que respecta a la autenticación de mensajes, siempre y cuando se implementen correctamente.

Cuando configuras debidamente DMARC, SPF y DKIM los tres protocolos funcionan en conjunto mediante la publicación de registros DNS que protegen tu dominio; estos tres sistemas juntos funcionan con proveedores de servicios de correo tales como Gmail, y evitan ataques no autorizados como el envío de mensajes fraudulentos desde tu dominio. En esta guía vamos a destacar lo qué son DMARC, SPF y DKIM, cómo funcionan juntos, por sí solos, y lo que es más importante, cómo protegen tu dominio de los ataques BEC.

Puntos destacados en esta sección:

  • Configurar DMARC, DKIM y SPF correctamente es la mejor manera de proteger tu dominio contra los ataques BEC y así evitar que los piratas informáticos envíen correos electrónicos fraudulentos usando tu dominio.

¿Es realmente necesario usar DMARC, SPF y DKIM?

¡La respuesta corta es sí! En la actualidad es absolutamente necesario el uso y aplicación de las políticas DMARC, SPF y DKIM si realmente quieres proteger tu negocio e información confidencial, ya que incluso si tu empresa ha tenido suerte de no verse afectada por ataques phishing o suplantación de identidad por correo electrónico, existen múltiples beneficios instantáneos al implementar DMARC, DKIM y SPF, tales como los siguientes:

  • Recientemente, Microsoft Office 365 ajustó su política contra la suplantación de identidad para que los correos autenticados vayan directo a tu carpeta de correo spam automáticamente, lo que significa que, si no tienes instalado DMARC, DKIM y SPF, es posible que los correos que provienen de tu dominio no caigan en la bandeja de entrada, mostrando en su lugar una advertencia como esta:

INSERTAR ADVERTENCIA AQUÍ

  • Gmail utiliza el signo de interrogación rojo que te mostramos a continuación para indicar cuándo un correo no está autenticado, lo que crea le da al destinatario una sensación de inseguridad y desconfianza:

INSERTAR IMAGEN

  • Ciertas investigaciones muestran que implementar la política p=reject DMARC puede aumentar la entregabilidad de tus correos electrónicos hasta en un 10 %, lo que significa que un mayor porcentaje de tus mensajes llegarán a las bandejas de entrada, ten presente que DMARC, DKIM y SPF trabajan en conjuntos para proteger su dominio de los ataques BEC.

Otra razón por la que es absolutamente necesario implementar DMARC es porque mejora los nivele de entregabilidad de tus correos electrónicos; puedes darte cuenta de que tan ventajoso es esto al apreciar el hecho de que mucha gente asume que todos los correos que llegan a sus bandejas son legítimos; sin embargo, esto no es 100% cierto, ya que es posible que correos electrónicos legítimos no lleguen a tu bandeja de entrada por diversas razones, las cuales pueden incluir las siguientes:

  • Actualizaciones de SPF o DKIM en su DNS, incluidas las de terceros
  • Se agregan nuevos dominios de correos de terceros
  • El registro SPF supera el límite de búsqueda de 10 DNS
  • ¡Y muchos más!

Los correos electrónicos que no están autenticados, generalmente son tratados como correo spam o rechazados por completo, lo que significa que es posible los mensajes de tu dirección de correo perfectamente legítima no lleguen a las bandejas de entrada de tus destinatarios. Puedes evitar que esto suceda vigilando tus correos electrónicos legítimos y asegurándote que estén correctamente autenticados, como es de esperarse, habilitar DMARC ayuda con este proceso, sin embargo, no monitorear tu política DMARC también puede causar rechazo de mensajes de correo legítimos.

Ejemplos de ataques a correos electrónicos comerciales en la vida real

¿Cuál es el mejor ejemplo de ataque a correos electrónicos comerciales de la vida real? Aquí vamos a narrarte una breve reseña de este. Cada vez que tu empresa se comunica con otra persona, tal como un cliente o un empleado, es muy probable que este haya subcontratado a un tercero; debe hacerlo ya que esto le reporta un mejor nivel de entregabilidad y mejores funciones antispam.

Cuando envías un correo electrónico comercial a alguien que utiliza un servicio de terceros, esto es lo que generalmente sucede:

  • Se contacta al servicio de entrega de terceros con instrucciones específicas, tales como la dirección de correo electrónico, el cuerpo del mensaje, el asunto y los archivos adjuntos.
  • Una vez que el tercero recibe toda la información que necesita, este inicia una sesión de protocolo de transferencia de correo simple (SMTP) (la cual ocurre cuando se envían mensajes entre computadoras) con un servidor alojado por el proveedor de servicios de correos del destinatario (tales como Yahoo o Gmail)
  • A continuación, el proveedor de servicios de correo revisa el mensaje entrante, determina el dominio, busca los registros DMARC, SPF y DKIM del dominio del remitente y lo somete a una serie de verificaciones de autenticación.
  • Una vez que obtienen los resultados, el correo se envía a la bandeja de entrada, a la carpeta de spam o es rechazado por completo.

Una manera fácil de entender el protocolo de los correos electrónicos es pensar en este similar a como apreciamos el correo postal, ya que ambas formas de entrega de mensajes tienen ciertas similitudes cuando se trata de descarte y anatomía de los mensajes; en la siguiente imagen puedes ver las diferencias y similitudes entre el correo regular (de una carta) y el correo electrónico:

IMAGEN AQUÍ

Como se muestra en la imagen, el correo postal contiene un sobre y una carta y cada sección tiene su remitente y destinatario; la mayoría de las veces, esta información es la misma, pero a veces es diferente, además, el mensaje electrónico también contiene un remitente y un destinatario.

La parte del mensaje de los correos electrónicos es una carta en sí misma, y el sobre contiene las instrucciones que se emiten en la conversación SMTP entre dos computadoras, por lo que tanto la carta, como el sobre del correo electrónico tienen su propia información de “destinatario” y “remitente”, sin embargo, la información en el mensaje puede ser diferente de la que está en el sobre.

Es necesario agregar el remitente a la carta y al sobre para que el mecanismo SMTP funcione correctamente; sin embargo, debido a que estos pueden ser diferentes, se abren las oportunidades para los ataques de suplantación de identidad. Es por eso que los correos pasan por varios procesos cuando son enviados, igual que el correo postal, por ejemplo, aquí puedes ver la cadena por la que se mueve el correo postal:

  1. El remitente envía una carta a través de la oficina de correos o depositándola en un buzón
  2. La oficina de correos local recoge la carta y la coloca en un centro de distribución
  3. La carta es enviada a la oficina de correos de destino
  4. Finalmente, la carta llega al destinatario

De manera similar, un correo electrónico se mueve a través de varios servidores en la Internet antes de llegar a su destino final; de este proceso hablaremos más adelante, cuando hablemos de los encabezados de los correos electrónicos.

¿Qué sucede durante las transacciones SMTP?

El siguiente es un ejemplo de una transacción SMTP, que ocurre entre un servidor de envío y uno de recepción, para este ejemplo, nos conectamos a uno de los servidores de Gmail para comenzar; luego emitimos algunos parámetros SMTP como ejemplo, para así poder enviar correos electrónicos. La transacción luciría de esta forma:

Trying 74.125.126.26…

Connected to alt2.gmail-smtp-in.l.google.com.

Escape character is ‘^]’.

220 mx.google.com ESMTP p7si628819iom.85 – gsmtp

hello easydmarc.com

250 mx.google.com at your service

mail from: <[email protected]>

250 2.1.0 OK p7si628819iom.85 – gsmtp

rcpt to: <[email protected]>

250 2.1.5 OK p7si628819iom.85 – gsmtp

data

354  Go ahead p7si628819iom.85 – gsmtp

From: Doug <[email protected]>

Reply-to: <[email protected]>

Subject: Test

Esto es un ejemplo.

.250 2.0.0 wDSAAusO0109812 Message accepted for delivery

A continuación, te explicamos un desglose de este ejemplo y lo que significa cada línea:

  • Primero, el host emisor emite un comando (en este caso, “hola”) para identificarse, lo cual es lo mismo que decir: “Hola, mi nombre es…”
  • Luego, el host inicia la transferencia del correo electrónico e identifica al remitente emitiendo el mensaje desde el comando; la dirección en este ejemplo se denomina “envelope from”, el cual le dice al servidor de correo a dónde debe regresar el mensaje si este no puede ser entregado por cualquier motivo. Esto puede ocurrir si no se puede encontrar la dirección de correo electrónico, este mecanismo funciona igual a las direcciones de remitente que se colocan en los sobres cuando envías una carta, la cual se utiliza para enviarte la carta de vuelta con un sello que indica que el sobre debe ser “devuelto al remitente” estampado en el frente.
  • Luego se especifica el destinatario, este comando puede repetirse varias veces si hay varios destinatarios en el mensaje de correo enumerados en el mensaje saliente.
  • Finalmente, el mensaje comienza a enviar el correo electrónico, una vez que el dominio acepte todos los datos en un comando hasta ver un punto seguido de una línea en blanco; puedes usar este comando para especificar múltiples usuarios finales. Esto es lo que significa dicha línea:
  • “From”: esté encabezado pertenece a una dirección, generalmente aparece como el remitente del mensaje cuando envías un correo a un cliente: si este se omite, entonces será la misma dirección colocada en el sobre. En este ejemplo, el destinatario es [email protected]
  • “Reply to”: esté es un encabezado opcional en el que es posible enviar respuestas directas
  • “Subject”: esta línea indica el tópico a tratar en el correo electrónico

El resto del texto es el cuerpo del mensaje o el mensaje en sí.

La autenticación de correo electrónicos no suele comprobar los mensajes contenidos en estos, la política DMARC se ocupa principalmente del campo de encabezado y los comandos SMTP, ya que estos son los que son atacados por piratas informáticos con mayor frecuencia.

¿Qué son los mensajes de correo electrónico?

Un mensaje de correo electrónico está compuesto de un encabezado (que puede contener varios campos) y un cuerpo, dicho encabezado es donde se ingresa la información que rastrea el origen del mensaje; también es donde se comprueba la autenticidad de este. El cuerpo del mensaje es donde va lo que queremos comunicar en sí. Las políticas DMARC se enfocan en proteger el encabezado de tus correos electrónicos ya que esta información es necesaria para verificar tu dominio.

Si usas Gmail como tu proveedor de correo electrónico principal, puedes usar la función “mostrar original” para ver con detalle todos los elementos del mensaje que pretendes enviar, al analizar el encabezado del correo, es importante tener en cuenta que el orden de los eventos empieza en la parte superior, por lo tanto, si deseas rastrear el mensaje desde el momento que se envía hasta el momento en que se recibe, lo mejor es comenzar desde abajo, ya que los mensajes pasan por varios servidores durante su travesía, y cada parada en puede agregar más información al encabezado.

Aquí hay un desglose de las diferentes paradas que puede experimentar tu mensaje después de ser enviado:

1° Parada: la primera “parada” no es realmente una parada como tal, esta ocurre cuando redactas el mensaje desde tu computadora.

2° Parada: durante la segunda “parada”, tu servicio de entrega recibe el mensaje de correo y se prepara para enviarlo.

3° Parada: durante la tercera “parada”, el servidor del destinatario recibe tu mensaje, es aquí donde el destinatario SMTP recibe el flujo de correos, los autentica y les agrega los campos de autenticación apropiados al encabezado.

4° Parada: la parada final se produce cuando se entrega el mensaje de correo al servidor correspondiente.

¿Cuál es la diferencia entre un “envelope from” y un “header from”?

Cada correo electrónico contiene dos direcciones diferentes, el primero es el “envelope from” y el segundo es el “header from” o encabezado; la dirección de correo especificada por el comando “mail from” en una transacción SMTP que se conoce como como dirección de devolución, Mail From, RFC5321, ruta inversa, ruta de devolución, dirección de devolución, remitente del sobre, entre otras denominaciones.

El encabezado de la dirección es la dirección que va ubicada en el área del destinatario cuando redactas un correo electrónico, lo cual también se conoce como la casilla “from”, de, RFC5322, entre otras denominaciones. El encabezado de la dirección del correo es lo que ves cuando envías un mensaje a alguien más, aparte de ser lo que los destinatarios ven cuando quieren determinar quién envió el mensaje que están por leer.

Aquí te mostramos un ejemplo:

INSERTE AQUÍ

Como puedes ver, el sobre de la dirección es parte de la transacción SMTP, y el encabezado de la dirección es parte del mensaje de correo que estás enviando, la mayoría de la gente piensa que la dirección del sobre y el encabezado son los mismos siempre, sin embargo esto no es cierto, ya que a veces difieren, como por ejemplo cuando se reenvía un correo a otro destinatario.

Por ejemplo, supongamos que alguien llamado Joe envía un correo con las mismas direcciones de destinatario y encabezado ([email protected]) a un cliente en [email protected] El servidor de los correos de help.com tienen una regla configurada en sus políticas para el reenvío de todos los mensajes a otra dirección de correo de [email protected].

Cuando el correo llega al primer servidor (@help), este se conecta al segundo servidor (@outsourcedhelp) donde se entrega el mensaje, y en el proceso, el destinatario de la dirección cambia del original, mientras que el mensaje en sí se mantiene igual (incluyendo el encabezado de la dirección).

El propósito de todo este proceso es que Joe pueda ver el contenido original que fue enviado, pero el mensaje final contendrá un destinatario diferente de la dirección a la que lo envió, ya que los dos servidores contienen direcciones diferentes. Los criminales informáticos pueden cambiar el destinatario del encabezado para enviar correos falsificados desde su dominio. Más adelante discutiremos cómo funciona este proceso.

¿Qué es FPS?

El marco de políticas del remitente, o SPF, según sus siglas en inglés, es el primero de los tres protocolos modernos de autenticación de correos electrónicos, SPF es una política de autenticación para mensajes que solo permite a los remitentes autorizados enviar correos a nombre de un dominio específico. Ningún usuario sin autorización podrá enviar mensajes desde dicho dominio; SPF también permite recibir comunicaciones de servidores de correos para verificar los mensajes que provengan de un dominio específico y asegurarse que estos coincidan con su dirección IP y así garantizar que esté autorizado.

¿Cómo funciona el SPF?

Para entender cómo funciona el protocolo SPF, podemos ilustrarlo con un ejemplo: supongamos que el dominio de correo electrónico de tu empresa es company.com, el dominio desde el que envían los mensajes a tus clientes y empleados es [email protected] El servidor de entrega para tus mensajes de correo (es decir, el servicio que utilizas para enviar correos electrónicos) tiene la dirección IP 192.168.02. Un pirata informático usa una dirección de correo fraudulenta con una dirección IP 2.3.4.5 para intentar enviar un mensaje desde tu dominio.

Cuando tu servicio de entrega de mensajes (Gmail, Yahoo!, etc.) conecta tu dirección de correos con el dominio del destinatario, suceden varios eventos, el primero, es que el servidor de correo toma algunos de los nombres de dominio del remitente de la dirección, en este caso, es company.com. A continuación, tu servidor de correo analiza la dirección IP del host para determinar si el dominio está publicado en los registros SPF, dicha verificación sólo es aprobada si la dirección IP está incluida en la lista, y falla si la dirección IP no aparece reflejada en esta.

Por ejemplo, tu registro SPF contiene lo siguiente: v=spf ip3:193.167.0.2 -all. Lo que significa que las direcciones IP que contienen 193.167.0.2 pasan la verificación SPF, y todos los demás correos de cualquier otra dirección IP serán rechazados, lo cual significa que no se aceptan correos de servidores con la dirección IP 2.3.4.5.

Resulta útil pensar en los registros SPF como una lista de direcciones IP seguras que pertenecen a un club exclusivo, ya que solo las direcciones IP de esta lista reciben aprobación para dejar pasar mensajes a la bandeja de entrada de tus destinatarios. Los registros SPF también garantizan que ningún otro host pueda enviar mensajes desde tu dominio, ya que este proceso es uno de los primeros pasos usados para la autenticación DMARC, que describiremos más adelante.

Por ejemplo, si usas Gmail como tu servicio de envío de correos electrónicos, puedes verificar si un mensaje pasa o falla la verificación SPF iniciando sesión en tu cuenta, y haciendo clic en el mensaje usando la función “mostrar original”, lo cual dejará expuesto todos los detalles del tránsito del mensaje.

¿Cómo crear un registro SPF?

Un registro SPF permite a los propietarios de dominios usar direcciones IP específicas de manera única al proporcionar calificadores, modificadores y mecanismos de seguridad, por ejemplo, en el ejemplo v=spf1 ip4:190.168.0.1 – all, esto es lo que significa cada sección:

  • v=spf1 se refiere a la versión de SPF que es en uso, en este momento, SPF1 es la versión actualizada.
  • Todo lo que sigue a SPF1 se refiere a un conjunto de clasificadores, modificadores y mecanismos que determinan si el host puede enviar el mensaje de correo.
  • El ip4 se refiere a una dirección IPv4 que puede enviar mensajes de correo desde ese dominio, en este ejemplo, la dirección IP 190.168.01 es un dominio calificado que puede enviar correos sin problemas.
  • El mecanismo -all se refiere a la configuración del dominio, en este caso, si ninguno de los mecanismos enumerados antes coincide con el registro SPF, la verificación fallará.

¿Cuál es el significado de los mecanismos SPF?

Hay ocho mecanismos SPF en total, cada uno se refieren a una forma específica de identificar una dirección IP, para lo cual hemos enumerado cada uno de sus significados a continuación:

  • IP4: indica que el registro SPF coincidirá si el remitente está en un rango IPv4
  • IP6: el registro SPF coincidirá si el usuario del dominio envía sus mensajes desde un rango IPv6
  • A: las direcciones de dominio que tienen una A o AAAA pueden coincidir con la dirección del remitente
  • MX: las direcciones de dominio que tienen un registro MX serán una coincidencia (por ejemplo, si el correo electrónico proviene de uno de los servidores entrantes del dominio)
  • PTR: si el registro PTR del dominio para tu dirección está en el dominio ofrecido y dicho dominio tiene como valor predeterminado tu dirección, entonces la verificación será positiva, cabe señalar que este mecanismo ya no está en uso por estar depreciado.
  • EXITS: este mecanismo rara vez se usa ya que contiene coincidencias complejas y es referido a nombres de dominio que coinciden con cualquier dirección, sin importar cuál sea.
  • INCLUDE: se refiere a la política de otro dominio; si el otro dominio de políticas de verificación configuradas, entonces el mecanismo pasa. Sin embargo, si la política falla, el procesamiento sigue su curso, por lo que la extensión de redirección debe usarse para delegar la política a otro dominio.
  • ALL: esto se refiere a una coincidencia y se usa de forma predeterminada, como -all para todas las direcciones IP que no coinciden con otros mecanismos de verificación.

¿Qué son los calificadores SPF?

Un calificador SPF determina el resultado de la evaluación del mecanismo, cada calificador se combina con cualquiera de los mecanismos anteriores.

Aquí te presentamos un desglose de los calificadores SPF:

  • + significa que las comprobaciones de SPF pasan y se puede omitir
  • ? es un resultado neutral que se puede definir como NINGUNO o sin política de verificación
  • ~ (tilde) se refiere a una falla suave, que es una ayuda que se encuentra entre neutral y falla, los mensajes etiquetados con un error suave se aceptan, pero reciben una marca
  • – se refiere a fallo en la verificación, en otras palabras, la comprobación de SPF falla.

¿Qué son los modificadores de SPF?

Hay dos modificadores de SPF que son ampliamente utilizados.

  1. Exp=any.example.com: este nos ofrece el dominio junto a un registro DNS .TXT y proporciona una explicación para las comprobaciones fallidas, es un modificador que es usado muy pocas veces. 
  2. Redirect-any.example.com: este modificador se usa en lugar del mecanismo “todos” y se vincula a la política de otro dominio.

Los modificadores SPF permiten que el marco contenga extensiones a futuro, dichos modificadores de redirección poseen funcionalidades diferentes; por ejemplo, ‘incluir’ es un mecanismo y si falla, se comprueba el siguiente mecanismo en el registro SPF, además “redireccionar” es un modificador que se basa en la evaluación del registro SPF para determinar su influencia sobre los resultados.

Ejemplo de un registro SPF

Aquí hay un ejemplo genérico de un registro SPF para ayudarte a comprender cómo funciona este mecanismo, puede ajustar esto a cualquier sitio web según sea necesario:

v=spf1 a mx include:_spf.record.com – all

En este ejemplo, las siguientes direcciones IP pueden enviar correos electrónicos en nombre de su dominio:

  • Si la dirección del dominio tiene un registro de dirección A o AAAA se permite el valor resuelto (que es el mecanismo A)
  • Si el dominio tiene un registro mx que se puede resolver, entonces se permite el valor resuelto (que es el mecanismo mx)
  • Las direcciones IP que aprueban el mecanismo SPF utilizando el registro SPF de otro dominio se pueden permitir siempre y cuando incluyan _spf.record.com (el cual debe incluir el mecanismo _spf.domain.com)

Si estás usando un servicio para el envío de correos de un tercero, probablemente te pedirán agregar tu registro SPF a los registros de tu dominio con el mecanismo “include”, por ejemplo, Google puede pedirte que agregues include:google.com a tu registro SPF para que los correos electrónicos enviados desde aquí superen la verificación SPF.

Aquí hay un ejemplo de un registro SPF especial que evita que se envíe cualquier correo a nombre de un dominio:

v=spf1 – all

Este registro indica que ninguna dirección IP podrá enviar mensajes desde ese dominio, el mecanismo tiene una mejor funcionalidad cuando es asistido con la publicación de un registro SPF en todos los dominios que no pueden enviar correos, incluso aquellos dominios estacionarios, si manejas este proceso, te conviertes en un objetivo fácil para ataques de suplantación de identidad, lo cual puede hacer que el dominio al que está asociado tu sitio web pierda reputación, afectando también la entregabilidad de tus mensajes de correo electrónico por parte de tu dominio.

Puntos destacados de esta sección

Es importante agregar un registro SPF en todas las direcciones IP que envían mensajes de correo desde tu dominio, de lo contrario, los correos enviados desde estos pueden fallar las verificaciones de registros SPF y afectar la entregabilidad de correos y tu reputación.

¿Cómo publicar registros SPF?

Una vez que hayas creado un registro SPF, debes publicarlo en tu DNS para que pueda ser analizado por los servidores que sirven como receptores, para llevar a cabo esta configuración debes crear un registro .TXT especial para tu dominio. A continuación, te proporcionaremos un ejemplo donde se explica cómo publicar un registro SPF si estás usando Google como tu proveedor de servicios de dominio.

  1. Primero, inicia sesión en Google o Gmail y haz clic en el botón DNS, si nunca antes ha publicado un registro SPF en tu dominio, debes hacer clic en el botón “agregar”, que se encuentra debajo de la sección de “registros”, si ya tienes un registro SPF publicado, debes hacer clic en “editar”. Puedes verificar si ya tienes un registro SPF publicado al ubicar un registro .TXT con un mecanismo que comienza con la línea de código “v=spf1”.
  2. Procede a hacer clic en el archivo .TXT para mostrar el menú desplegable, ahora dirígete al campo de host, e ingresa “@”, luego agrega el registro SPF como un archivo .TXT y guarda la configuración.

Si has seguido los pasos como te hemos indicado ya deberías haber publicado tu primer registro SPF; puedes regresar y verificar para asegurarte de que lo hiciste correctamente, sin embargo, puede tomar hasta una hora antes de que este se vea reflejado debido a las reglas de configuración de los DNS.

¿Qué es el límite de búsqueda del DNS?

Cada vez que un mensaje llega al host de un servicio de correo electrónico, este procede a buscarlo en el DNS para realizar la verificación de la política SPF, durante este proceso, los registros SPF están protegidos contra ataques de denegación de servicio (DOS). El proceso de registros SPF asume que la cantidad de modificadores y mecanismos que realizan las búsquedas de DNS no superan diez intentos de verificación, lo cual incluye cualquier búsqueda que use el mecanismo “incluir” o el modificador “redireccionar”.

El mensaje será devuelto con una etiqueta de “PermError” si supera este número de chequeos durante una comprobación, sin embargo, los mecanismos “a”, “mx”, “ptr” y “exit”, así como el modificador de redirección, no contarán contra este número. Además, los mecanismos “ip4”, “ip6” y “all” no requieren una búsqueda de DNS, por lo tanto, no contarán para el número de búsquedas de la política SPF; por último, cabe resaltar que el modificador “exp” no cuenta porque la búsqueda ocurre después que se evalúa el registro SPF.

Veamos el siguiente ejemplo con Google:

 v=spf1 include:_spf.google.com ~all

 En este ejemplo, el mecanismo “incluir” registró un conteo que va contra el límite.

 Aquí está el registro SPF para _spf.google.com:

 v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all

En este ejemplo, los 3 mecanismos de “inclusión” cuentan tres búsquedas contra el límite, pero en los siguientes registros se resuelven en una lista plana de direcciones IP, lo que significa que no cuentan para el límite:

  • _netblocks.google.com
  • _netblocks2.google.com
  • _netblocks3.google.com

Lo que significa que el número total de modificadores y mecanismos que requieren búsquedas de DNS da un total de cuatro, puedes usar el verificador de registros SPF en el sitio web de EasyDMARC para asegurarte que estás implementando registros SPF en tu sitio web.

¿Qué sucede si la verificación de tu registro SPF supera el límite de búsquedas?

Según los protocolos SPF, si la búsqueda de registros supera los diez intentos, la autenticación de la política manda de vuelta un mensaje de error, que indica que se han producido demasiadas búsquedas del DNS. DMARC interpreta los errores permanentes de SPF como un error y por lo tanto, al superar el límite de búsquedas de 10 para el DNS, este tendrá un impacto negativo en la entregabilidad de tus correos electrónicos.

Es una buena estrategia usar la herramienta de verificación de registro SPF de EasyDMARC para chequear el recuento de tu registro SPF en tu dominio, esto también te puede ayudar a garantizar que la búsqueda de registros SPF no se exceda del límite. Si supera las 10 búsquedas del DNS, será necesario “aplanar” tu registro SPF para asegurarse de que tus mensajes legítimos lleguen a la bandeja de entrada.

Puedes aplanar tus registros SPF manualmente, sin embargo, esta táctica es propensa a errores y es bastante tediosa, por lo que te recomendamos usar una herramienta para garantizar que este proceso se realice debidamente; EasyDMARC tiene una herramienta que ofrece el aplanamiento sencillo de tus registros SPF.

Herramientas útiles para SPF

EasyDMARC ofrece una serie de herramientas SPF gratuitas para llevar a cabo varias tareas, tales como verificar registros SPF existentes y generar registros SPF nuevos. Aquí enumeramos estas herramientas y su uso para ti:

  • Ve al generador de registros SPF para obtener un registro nuevo, para esto deberás ingresar el calificador y los mecanismos que se adaptan a tus necesidades y luego presionar el botón “generar registro SPF”. ¡Y ya está listo! Ahora tienes un registro SPF que está listo para ser publicado en tu DNS.
  • Ahora debes dirigirte la sección de búsqueda de registros SPF para verificar que tu dominio posea un registro en tu dominio, solo necesitas ingresar el dominio que deseas verificar y el verificador de SPF obtendrá el registro incluso en tu DNS, si este existe, para luego chequear que la sintaxis de este sea correcta. La herramienta también se asegura de que la cantidad de modificadores y mecanismos que busca el DNS no supere el conteo de diez y procederá a “aplanar” el registro SPF obtenido en una lista de direcciones IP generales, lo que te permitirá verificarlas una por una; al final esta es una excelente manera de determinar si hay algún problema con tus registros SPF.

Pensamientos finales sobre los registros SPF

Hay varias cosas que no están bien con respecto al uso de las políticas SPF por sí solas, ¿recuerdas cuando mencionamos sobre cómo cada correo tiene dos direcciones de remitente (el encabezado del remitente y el tema)? Si esas direcciones son diferentes, SPF sólo verificará la dirección de origen y no verificará el encabezado de la dirección si esta difiere de la dirección del destinatario, lo que significa que el encabezado de la dirección es más fácil de falsificar.

Esto es peligroso, porque el encabezado de la dirección es el que el usuario del dominio acepta como la dirección del remitente, por ejemplo, si llega a tu bandeja de entrada un correo electrónico de [email protected] cuando en realidad es de [email protected], probablemente lo abrirás porque la primera dirección que puedes ver.

Para evitar esto, DMARC utiliza un concepto llamado “alineación de identificadores” que garantiza que la dirección de origen del remitente coincida con la dirección de origen del encabezado, lo cual nulifica cualquier potencial ataque de falsificación de correos de tu dominio por parte de piratas informáticos.

Otro factor a tener en cuenta es que SPF no funciona si un mensaje es reenviado, ya que cuando un correo reenviado llega al servidor receptor y la IP del servidor no es la que figura en la lista blanca, la verificación de SPF falla, este detalle no sucede muy a menudo, pero DMARC es capaz de solucionarlo, como podrás apreciar más adelante.

¿Qué es DKIM?

La autenticación de cada mensaje de correo es parte importante de la seguridad de los sistemas de envíos de correos electrónicos, ya que los mensajes suelen pasar por varios servidores antes de llegar a su destino final, por lo que es posible que algún mensaje sea pirateado o manipulado en alguna parte durante su trayecto.

Por ejemplo, supongamos que envía un correo entre dos empresas solicitando un pago de $1,000 USD para que estos sean depositados directamente en la cuenta bancaria de la primera empresa; si el mensaje es modificado en el trayecto, el actor malicioso puede solicitar un pago de $100,000 USD a una cuenta fraudulenta. Si no tienes medidas de protección adicionales es difícil evitar este tipo de casos. 

En ocasiones como esta es donde DKIM resulta ser un mecanismo bastante útil. Las claves de dominio para correos identificados, o DKIM según sus siglas en inglés, es un proceso de autenticación aplicado a correos electrónicos para detectar encabezados falsificados en los mensajes entrantes; DKIM permite que un servidor receptor determine si los encabezados de los correos han sido alterados durante el trayecto a una bandeja de entrada.

La mejor manera de entender cómo funcionan las políticas DKIM es comparar una firma DKIM con un sello de sobre postal, piensa en las firmas DKIM ubicada en los encabezados de tus correos electrónicos como un sello estampado sobre un sobre. Cuando le escribes a alguien una carta postal y sellas el sobre, es como usar una firma DKIM en una dirección de correo electrónico, ya que una vez que selles el sobre y lo coloques en el buzón, DKIM verificará que cualquier persona que “rompa” el sello quede agregada en un registro.

  • DKIM utiliza tecnología criptografía asimétrica, lo que significa que se vale de un par de claves privadas que solo el usuario conoce, así como claves públicas que se pueden distribuir por todos los rincones de la red.

Las firmas digitales es uno de los usos aplicados más conocidos de la criptografía asimétrica, esta entra en acción cuando un mensaje es firmado con una clave privada y cualquier persona que tenga acceso a la clave pública del remitente puede verificarlo, lo cual garantiza que el mensaje no ha sido modificado ya que la firma está vinculada al mensaje; DKIM no otorga verificación alguna para ningún otro mensaje, incluso si es similar al mensaje original.

¿Cómo funciona DKIM?

DKIM tiene dos componentes de autenticación: la firma y la verificación, un servidor de firmas (el servidor habilitado para DKIM) se encarga de “estampar“ los mensajes de correo al salir, haciendo uso de una clave privada que forma parte de una clave generada pagada. Cuando el correo llega a la bandeja de entrada del destinatario, el servidor receptor utiliza la verificación DKIM para asegurarse que hay una firma de este tipo incluida en el encabezado, de haberla, procede a usar una clave pública incluida en el DNS para autorizar la firma.

Los correos electrónicos pueden o no pasar la verificación DKIM, según el resultado de la verificación de la firma en el extremo del servidor receptor, DMARC usa el resultado de la autenticación DKIM para completar sus procesos.

Para que DKIM funcione, debe llevarse a cabo el siguiente proceso:

  • El usuario debe crear un par de claves que contengan una clave privada y una clave pública
  • La clave privada debe mantenerse en el servidor de firmas
  • La clave pública debe publicarse en el DNS, en un registro DKIM para garantizar que el servidor verificador tenga acceso a esta

¿Qué es un Selector DKIM?

Un selector DKIM hace referencia a una cadena que utiliza el servidor saliente para localizar la clave privada. Es necesario firmar un mensaje de correo electrónico. El servidor receptor también usa el selector DKIM para encontrar las claves públicas en el DNS y verificar que el mensaje de correo electrónico sea válido. Ambos servidores (los servidores de recepción y envío) deben usar el mismo selector DKIM para usar el mismo par de claves públicas y privadas.

¿Qué significa la firma DKIM?

Una firma DKIM significa que un código digital ha sido colocado a tus mensajes de correo electrónico en el servidor original donde se envía el mensaje, una firma DKIM requiere que los usuarios elijan qué campos del encabezado o cuerpo deben incluirse en los datos y calcular la suma hash de estos, tales como el cuerpo del mensaje y los encabezados. Los usuarios también deben cifrar la suma hash con su clave privada, lo que da como resultado la “firma”, la cual produce un encabezado que incluye la clave DKIM que contiene la firma para el mensaje de correo saliente.

¿Qué sucede durante la verificación DKIM?

Cuando envías un correo electrónico, el servidor receptor verifica si existe una firma DKIM en el encabezado, dicha firma está contenida en la etiqueta b=, por lo que sí existe un campo que la incluya, el servidor aprobará la verificación de autenticación.

Este el proceso bajo el cual funciona: primero, el servidor receptor busca el registro DKIM en el DNS utilizando el selector s=tag que se encuentra en la firma digital, si encuentra una, el servidor extrae la clave pública, la cual se encuentra en las claves del registro; la etiqueta p= contiene la clave pública DKIM.

Luego, el servidor crea una suma hash utilizando un algoritmo identificado por la etiqueta a=, la cual se encuentra en los datos entrantes especificados por la etiqueta h=. La firma es descifrada con la clave pública para que el remitente revele la suma hash, por lo cual, si la suma hash de 4 es igual a la suma hash de 3, entonces la verificación es aprobada, indicando así que el mensaje no ha sido alterado.

Cabe señalar que la verificación DKIM solo chequea los campos del encabezado que contienen la firma, y que todas las demás partes del correo deben ser iguales, de lo contrario, la comprobación no se llevará a cabo; por otro lado, la autenticación DKIM falla si no hay cambios en las partes no elegidas.

Etiquetas de las firmas DKIM y de los registros DNS DKIM

Las listas de tag=value se pueden encontrar en el campo del encabezado de la firma DKIM de cualquier mensaje de correo, aquí te mostramos un ejemplo de cómo se ve un campo de encabezado con una firma DKIM:

DKIM-Signature: v=1; a=rsa-sha256; d=example.net; s=brisbane;

c=relaxed/simple; q=dns/txt; t=1117574938; x=1118006938;

h=from:to:subject:date:keywords:keywords;

bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=;

b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZVoG4ZHRNiYzR

También te presentamos una lista de etiquetas que pueden aparecer en el campo del encabezado de una firma DKIM:

  • x: tiempo de caducidad
  • v: versión
  • a: algoritmo de la firma
  • d: dominio
  • c: algoritmo de canonicalización para encabezado y cuerpo
  • q: método de consulta predeterminado
  • s: selector
  • t: marca de tiempo de la firma
  • h: campos de encabezado – lista de los campos que han sido firmados
  • bh: hachís corporal
  • b: firma de encabezados y cuerpo

Los registros DKIM se publican en el DNS con valores tag=, aquí te mostramos un ejemplo de un registro DNS DKIM:

COLOCAR EJEMPLO AQUÍ

Esto es lo que significan las etiquetas en un registro DKIM:

  • v: versión; debe ser DKIM1
  • g: granularidad
  • l: límites de longitud del cuerpo
  • h: mecanismos que se pueden usar para producir datos de mensajes
  • n: notas DKIM
  • s: tipos de servicios que debe aplicar el sector
  • q: métodos de consulta
  • k: mecanismos que se pueden usar para decodificar una firma DKIM
  • t: banderas que modifican la interpretación del selector
  • p: clave pública encriptada en base64

¿Cómo crear un registro DKIM?

Crear un registro DKIM utilizando un proveedor de servicios de correo de terceros es bastante sencillo, todo lo que tienes que hacer es usar su servicio para crear un par de claves públicas y privadas que se almacenan dentro de sus DNS.

Puedes seguir estos pasos para configurar un registro DKIM utilizando un servicio de terceros:

  1. Inicia sesión en el panel de control de tu proveedor de servicios
  2. Ve a la opción de configuración y haz clic en “Autenticación del remitente” o “Autenticar dominio”
  3. Elige tu host de DNS y haz clic en “Siguiente”
  4. Ingresa el dominio que deseas autenticar (tu dirección de correo electrónico específicamente) y dale clic a “siguiente” nuevamente
  5. Tu proveedor de servicios debería crear dos registros DKIM usando los selectores s1 y s1

Este método es muy fácil, ya que no tienes que administrar una clave pública o privada, tu proveedor de servicios de correo hará todo el trabajo por ti; todo lo que tienes que hacer ahora es publicar los dos registros DKIM que has creado en tu DNS.

El registro DKIM generado puede ser diferente, de acuerdo al servicio de envío de correo que estés usando; por ejemplo, SendGrid genera registros CNAME cuando instala un registro DKIM con sus sistemas. Independientemente del servicio que uses, solo tú eres responsable de publicar los registros DKIM, es importante tener en cuenta que algunos proveedores de servicios de correo solo generarán un solo registro DKIM, mientras que otros (como el ejemplo que acabamos de mostrar) generan dos.

¿Cómo publicar un registro DKIM?

Primero debes publicar el registro DKIM en tu DNS antes de que un receptor de correos pueda autenticar tu dominio usando DKIM, esto se debe a que el servidor receptor busca este tipo de registros en tus DNS exclusivamente. Para publicar un registro DKIM, debes crear un registro CNAME en (selector)._domainkey.example.com.

Aquí te ofrecemos una guía paso a paso que demuestra cómo publicar un registro DKIM en GoDaddy:

  1. Inicia sesión en GoDaddy y haz clic en el dominio para el que deseas publicar el registro DKIM, luego haz clic en el botón DNS
  2. Si no existen registros DKIM registrados, dale clic al botón “agregar” ubicado debajo de la sección “registros”
  3. Si tienes un generador de registros DKIM, haz clic en edición, para así verificar si el registro DKIM ya existe, buscando un registro CNAME que se vea así: (selector)._domainkey
  4. Dale clic en CNAME para obtener el menú desplegable de “tipo”, aquí debes proceder a ingresar lo siguiente en el campo de host: s1._domainkey, lo que indica que s1 es el selector. Ahora ingresa el valor de PUNTOS A en el paso cuatro, que se encuentra en la sección “Creación de un registro DKIM” y guarda tu progreso.

Descripción del proceso de rotación de claves DKIM

DKIM es muy efectivo cuando se trata de verificar que los campos firmados de un correo entrante no hayan sido modificados durante el tránsito del mensaje, antes de que llegue a la bandeja de entrada; sin embargo, DKIM es tan seguro como el enlace más débil de su estructura, el cual es la clave privada.

La clave privada, que está compuesta por un par de claves DKIM, puede ser robada si un pirata informático ingresa al sistema donde el código está almacenado, por lo que para reducir el riesgo de que las claves DKIM activas se vean afectadas, es importante cambiarlas con frecuencia, proceso que se conoce como “rotación de claves”.

Las rotaciones manuales de claves DKIM son necesarias si deseas manejar tu propio servicio de entrega de correos, pero si estás utilizando otro servicio para la distribución de mensajes, tal como Office 365 o Google, entonces no es necesario rotar tus claves, ya que este proceso se maneja de forma automática.

Herramientas DKIM útiles

Puedes usar la herramienta generadora DKIM en línea gratuita en el sitio web de EasyDMARC, también puedes usar nuestras herramientas para publicar tu registro DKIM o buscar uno existente en una página específica.

  • Solo debes dirigirte al generador de registros DKIM en https://easydmarc.com/, ingresa tu dominio y selector, luego presiona el botón para generar tu registro DKIM; la herramienta generará una clave privada que puedes almacenar en tu dominio, así como un registro DKIM que está listo para ser publicado en tu DNS.
  • Puedes usar la herramienta de búsqueda de registros DKIM en el sitio web de EasyDMARC ingresando el nombre del dominio y el selector, para ubicar el registro en DKIM en selector._domainkey.domain. También puedes asegurar que el registro DKIM está incluido en la lista correcta.

Aquí hay una lista de lo que significa cada etiqueta en un registro DKIM:

  • v: se refiere a la versión del protocolo DKIM, que generalmente por defecto es “DKIM1”
  • g: algunas empresas asignan una función comercial a un grupo determinado, ya sea interna o externa; la etiqueta “g” se usa para asignar el grupo al correo electrónico y para restringir las firmas que pueden crearse, proceso que asistido por la etiqueta DKIM g.
  • h: está etiqueta proporciona una lista de mecanismos que se pueden usar para crear una parte de los datos contenidos en un mensaje.
  • n: está sección contiene notas para los usuarios del dominio
  • s: está etiqueta proporciona una lista de los tipos de servicios en los que el sector puede aplicar
  • q: está sección proporciona una lista de métodos de consulta, como “dns”
  • l: la etiqueta l= se refiere a los límites de longitud del cuerpo del mensaje que están expuesto a ataques cibernéticos
  • k: está etiqueta proporciona una lista de mecanismos necesarios para decodificar una firma DKIM, como rsa
  • t: está etiqueta proporciona una lista de estándares que se pueden usar para modificar la interpretación del selector (esta función es opcional)
  • p: se refiere a claves públicas codificadas (Base64).

Reflexiones finales sobre DKIM

SPF funciona desglosando un mensaje de correo cuando es enviado, las firmas DKIM no pueden ser violentadas durante el reenvío, ya que son parte del encabezado del mensaje y no del sobre SMTP, ya que solo este puede ser modificado durante el reenvío de cualquier correo electrónico.

Sin embargo, DKIM no requiere el valor d= en la firma para hacer coincidir el encabezado con el dominio, es por esta razón que los dominios de correos de destinatarios deben analizar el encabezado para saber de dónde proviene. Un pirata informático puede alterar la firma DKIM con un valor d para enviar el correo a una dirección controlada por él, lo cual permite que DKIM sea verificado incluso si la dirección es visible para el propietario.

Puedes solucionar este problema utilizando la alineación del identificador DMARC, lo cual garantiza que el valor d= en una firma DKIM coincida con el encabezado del dominio, que es necesario para que el correo electrónico pase la verificación DMARC.

¿Qué es DMARC?

DMARC es una abreviación anglosajona para un sistema llamado “autenticación de dominio basado en mensajes, reportes y conformidad”, este es un protocolo de autenticación de correo electrónico que determina si los mensajes recibidos en una bandeja de entrada son auténticos o no; en otras palabras, es un sistema que garantiza que cualquier mensaje enviado por correo electrónico desde tu dominio sea en realidad tuyo. DMARC funciona en base a los protocolos DKIM y SPF, por lo que es importante explicarlos primero antes de discutir cómo funciona esta política de seguridad; DMARC realiza tareas de verificación de alineación y generación de informes para los usuarios de un dominio específico, mejorando y monitoreando la protección de este contra ataques de suplantación de identidad.

¿Cómo funciona DMARC?

DMARC funciona poniendo en acción las políticas SPF y DKIM y haciéndolas trabajar en conjunto, esta combinación de SPF, DKIM y DMARC ayuda a brindar protección a largo plazo contra los ataques a correos electrónicos empresariales; aquí te presentamos a continuación, como funciona DMARC:

  1. Primero, debes publicar tu registro DMARC en tu DNS para el dominio de tu correo electrónico, lo cual garantiza que cada vez que un mensaje indique provenir de tu dominio, el dominio del correo receptor extraerá el registro DMARC y lo coteja con el mensaje que está recibiendo.
  2. Dependiendo del resultado de esta verificación, el correo electrónico será enviado a la bandeja de entrada, será puesto en cuarentena (enviándolo a la bandeja de spam) o rechazado por completo.
  3. Posteriormente DMARC enviará un informe a la dirección de correo que está incluida en tu registro para actualizarte sobre tu progreso; el informe DMARC le dirá cuántos correos salen desde tu bandeja de entrada, cuáles son pasados a cuarentena (y por qué) y cuáles son rechazados.

DMARC funciona mediante la implementación de una alineación de identificadores que eliminan las discrepancias entre el encabezado y el remitente de las direcciones en SPF; la alineación del identificador también aborda cualquier diferencia entre el encabezado “from” y “d=value” en DKIM.

DMARC utiliza un sistema de generación de informes para asegurar que el usuario del dominio comprenda sus capacidades de entregabilidad en su dirección de correo electrónico; estos informes ayudan a garantizar que tengas una protección amplia y completa contra los ataques a correos electrónicos empresariales.

Punto culminante de esta sección

DMARC te permite publicar una política en tu DNS que le dice a los correos entrantes qué hacer si no pasan la verificación de DMARC, las tres opciones son enviar a bandeja de entrada, enviar a spam o rechazar.

¿Cómo implementar la política DMARC?

Antes de aprender cómo implementar DMARC, es necesario revisar los dominios organizacionales y entender qué significan. El término dominio organizacional se refiere a la raíz o parte central de un dominio, por ejemplo, para el correo email.sender.com, el dominio de la organización de este ejemplo seria sender.com; los dominios organizacionales son usados para verificar la alineación del identificador de forma más relajada.

Los correos electrónicos deben tener un identificador principal, el cual contiene información que el usuario puede usar para identificar de dónde proviene; DMARC usa el dominio en el encabezado de la dirección como su identidad central, ya que este es un campo obligatorio, lo que significa que este estará presente en cada mensaje de correo que salga de tu buzón. 

Además, la mayoría de los campos de los correos electrónicos muestran el encabezado de la dirección con detalles como el autor del mensaje o quien lo envía.

Por ejemplo, la identidad central en un correo se puede mostrar de la siguiente manera:

INSERTAR EJEMPLO AQUÍ

Punto culminante de esta sección

DMARC usa el encabezado de la dirección en el dominio para identificar desde dónde se envía un correo electrónico, por lo tanto, si un mensaje pasa la verificación DMARC, entonces proviene de la dirección que figura en el remitente que se muestra en el servidor receptor.

¿Qué significa la alineación de identificadores?

La autenticación de correos funciona al verificar qué tan auténticos son ciertos aspectos de los mensajes recibidos, por ejemplo, SPF funciona mediante la verificación del dominio en el destinatario incluido en la dirección, y DKIM verifica el dominio en la etiqueta d= que se encuentra dentro del encabezado de la firma digital, por lo cual la mayoría de las veces, el servidor receptor no puede ver estos dominios, lo que significa que estos son propensos a ser pirateados.

DMARC dificulta el proceso de autenticación de correos porque requiere que tanto SPF como DKIM pasen sus controles, DMARC lleva este proceso un paso más allá al requerir que al menos uno de los dominios usados por SPF o DKIM se alinee con el dominio en el identificador central (como el encabezado de la dirección). Esto se conoce como alineación de identificadores o alineación de dominios, lo cual ocurre cuando todos los aspectos en el proceso de autenticación de un correo se alinean y “coinciden”.

  • La alineación del identificador SPF ocurre cuando el destinatario indicado en la dirección se alinea con el dominio en el encabezado de la dirección, si el campo del está vacío, entonces el dominio se compara con el dominio EHLO.
  • La alineación del identificador DKIM se da cuando el dominio ubicado en la etiqueta d= de la firma digital se alinea con el dominio en el encabezado de la dirección

En resumen: la alineación de identificadores significa que dos dominios coinciden y solo dos formas de que esto suceda: a través de la alineación estricta y la alineación relajada.

El modo estricto significa que los dos dominios deben ser idénticos para que estén alineados, por ejemplo: la dirección de correo net.domain se alinea con net.domain exclusivamente, pero no se alinea con org.net.domain.

No es necesario que los dos dominios coincidan en el modo relajado, estos se alinearán entre sí siempre y cuando coincidan los dominios de la organización, por ejemplo, net.domain se alinea con net.domain en modo relajado, así como también con org.net.domain.

El correo está alineado con DMARC cuando cualquiera de las siguientes coincidencias acontece: 

  • El correo electrónico pasa SPF y está alineado con el identificador SPF
  • El correo electrónico pasa DKIM y está alineado con el identificador SPF

En otras palabras, DMARC se alinea cuando SPF es verificado exitosamente y la alineación del identificador DKIM también es verificado. Es posible decir entonces que tu correo electrónico está alineado con DMARC cuando pasa el proceso de autenticación sin inconveniente con las tres políticas, lo cual verifica que dicha dirección ubicada en el encabezado del mensaje (que se muestra a los servidores receptores) está ampliamente fortalecida.

Políticas y registros de DMARC explicados

Las políticas de DMARC brindan instrucciones a los servidores de correo electrónico sobre lo que deben hacer cuando un correo no pasa la verificación de DMARC, las tres opciones son:

  • No hacer nada, acción que se activa bajo el modo de monitoreo (es decir los correos se envían a la bandeja de entrada a pesar de no pasar la verificación)
  • Pasar a cuarentena, que es cuando el correo es enviado a la carpeta de spam
  • Rechazar, que es cuando el correo no se envía a la bandeja de entrada o no es spam (aquí el destinatario nunca verá el mensaje)

Puedes programar tu registro DMARC para que maneje los correos electrónicos en base a la etiqueta p; por ejemplo, p=none significa que desea que DMARC no debe realizar ninguna acción si un mensaje falla en la verificación DMARC y lo envía a la bandeja de entrada de todos modos.

Los registros DMARC son archivos .TXT que se publican en el DNS de su dominio, estos están enumerados en _dmarc.youremailhere.com; donde solo tienes que reemplazar “youremailhere” con el nombre de tu dominio o subdominios. Los registros DMARC le dicen a tu correo qué hacer si fallan la verificación DMARC, estos también proporcionan una dirección de correo para recibir los informes generados por DMARC para obtener información sobre las capacidades de entregabilidad de tu correo electrónico.

Cada registro DMARC se compone de una lista de etiquetas, esto es lo que significan cada una de ellas:

  • v=: está etiqueta se refiere a la versión del protocolo DMARC en uso – “DMARC1” es el valor predeterminado
  • p=: está etiqueta se refiere a las políticas que se pueden aplicar cuando un correo falla el proceso de verificación DMARC, puedes establecer la etiqueta p= en ninguno, cuarentena o rechazar.
  • Rua: está etiqueta hace referencia a las listas de URLs a las que las direcciones de correo pueden enviar informes, cabe señalar que esta NO es una lista de direcciones de correos electrónicos, ya que DMARC requiere que rua proporcione una lista de URL con la línea de código “sendto:[email protected]”.
  • Ruf: está etiqueta hace referencia a una lista de URLs a las que se envían informes forenses desde los ISP, similar a rua, esta no es una lista de direcciones de correos electrónicos, ya que el formato debe enviarse en forma de URL en la etiqueta ruf.
  • Sp: está etiqueta se refiere a la política que puedes aplicar a un dominio desde un subdominio si un correo no pasa la verificación DMARC, está también permite a los usuarios del dominio establecer una especie de comodín para los subdominios.
  • Fo: está etiqueta significa “opciones forenses”, puedes usar el valor 0 para crear informes siempre que DKIM y SPF fallen. Puedes usar el valor 1 para crear informes si DKIM y SPF no logran coincidir para generar una verificación DMARC. “d” se puede usar para crear un informe si DKIM falla o puedes usar “s” si SPF falla, todas estas opciones están diseñadas para indicar que mensajes pasan la verificación de DMARC.
  • Rf: está etiqueta se refiere al formato de informe forense
  • Pct: está etiqueta le dice a los ISPs que solo usen políticas DMARC para porcentaje específico de correos fallidos, por ejemplo, “pct=70” dirige la recepción de correos para que solo apliquen la etiqueta p=policy al 70 % de las veces que los mensajes no pasen la verificación de DMARC. Está etiqueta no funciona en conjunto a la etiqueta p=none, solo funciona para las políticas de rechazo y cuarentena de los mensajes fallidos.
  • Adkim: está etiqueta les dice a las firmas DKIM el “modo de alineación” en el que deben estar en todo momento, puede configurarse en modo relajado (“r”) o estricto (“s”); cuando la firma DKIM está en modo relajado, los correos que comparten un dominio organizacional y un dominio de origen similar pasarán las comprobaciones DMARC, sin embargo, si está configurado en modo estricto, ambos deben ser una coincidencia exacta.
  • Aspf: está es una etiqueta que establece el modo de alineación para SPF, también puede configurarse en modo relajado o estricto.
  • Ri: está etiqueta se refiere a la frecuencia con la que deseas recibir los informes XML, puedes configurarla según tus preferencias para que el ISP envíe el informe en diversos horarios todos los días.

¿Cómo crear un registro DMARC?

Puedes seguir estos pasos para crear un registro DMARC:

  1. Primero, verifica el dominio del correo electrónico desde el cual planeas enviar tus mensajes comerciales, si vas a enviar correos desde [email protected], entonces tu dominio debería ser sales.com.
  2. Ahora inicia sesión en el panel de EasyDMARC y haz clic en la opción “publicar registro DMARC” la cual está ubicada la sección de registros DNS.

A partir de aquí EasyDMARC hará el trabajo por ti, pero cabe señalar que hay una sección en la página que te permite personalizar tu configuración para cada registro DMARC, por lo que puedes indicarle al servidor receptor cómo deseas manejar tus correos electrónicos que fallan la verificación de la política DMARC.

Por ejemplo, puedes establecer la etiqueta p= en ninguno, cuarentena o rechazar, si eliges la opción p=none, le estás indicando al dominio que ingrese al modo de monitoreo, lo que significa que puedes ver cuántos correos están pasando o fallando las verificaciones DMARC.

En este modo, al recibir correos electrónicos ninguno será puesto en cuarentena ni rechazado, todo funcionará tal cual antes de habilitar DMARC; el beneficio más importante del modo de monitoreo es que te permite recibir informes para tener visibilidad de la capacidad de entrega de tus mensajes.

Si eres nuevo en DMARC, puedes ignorar esta configuración por ahora y cambiarla más tarde de ser necesario.

¿Qué es la verificación del destino externo en DMARC?

Es importante comprender la verificación del destino externo al configurar tu política DMARC, por ejemplo, supongamos que usas la etiqueta “rua” y públicas el siguiente registro DMARC:

v=DMARC1; p=none; rua=mailto:[email protected]

En este ejemplo, estás solicitando que los proveedores de servicios de correo envíen informes a una dirección de correo electrónico especificado en el registro DMARC, sin embargo, el propietario del dominio receptor debe darte permiso antes de hacerlo, de lo contrario, estos informes no se enviarán a la dirección prevista; este proceso se conoce como verificación del destino externo o EDV según sus siglas en inglés.

Así es como funciona este proceso:

  1. El propietario del dominio publicó un registro EDV, como ejemplo.com_report_dmarc.com, lo que significa que la etiqueta v=DMARC1 en el DNS habilita EDV.
  2. Antes de que el servidor pueda enviar informes al correo que se muestra en el ejemplo, debe verificar si el dominio receptor ha permitido que se le envíen informes a través de la búsqueda de la dirección en el DNS. Si hay un registro presente y el valor es v=DMARC1, entonces se enviará el informe, si no, estos no llegarán.

Cabe señalar que el ejemplo de EDV anterior se maneja por dominio, en otras palabras, sólo permite enviar informes sobre el dominio incluido en el ejemplo a la dirección proporcionada; si deseas enviar informes sobre otro dominio, debes publicar un registro DMARC para esa dirección. También es posible publicar un registro EDV que sirva como comodín para permitir que los informes de cualquier dominio se envíen al dominio de ejemplo.

Aquí se explica cómo publicar un informe EDV que funciona como comodín:

*._report._dmarc.reporting.com

Si esto te suena confuso, no te preocupes, no será necesario hacer nada de esto si estás utilizando EasyDMARC para publicar tu registro DMARC, ¡nosotros nos encargaremos de este proceso por ti!

¿Cómo publicar un registro DMARC?

Después de crear un registro DMARC, debes publicarlo en el DNS antes de poder aplicarlo, de ahí radica la importancia de esta acción; ya que cuando se envía un mensaje de correo, el servidor del receptor toma el dominio de la dirección del remitente y verifica si tiene un registro DMARC público en la entrada DNS; si encuentra uno, llevará cabo el proceso estipulado en las instrucciones establecidas en el registro DMARC.

Aquí te explicamos con detalle cómo publicar un registro DMARC:

  1. Inicia sesión en la configuración de administración de tu DNS y verifica el dominio para el que deseas publicar el registro DMARC
  2. Crea un archivo .TXT usando las etiquetas: type, host, TXT value y TTL.

 Aquí te mostramos un ejemplo de cómo se verá esto publicado:

INSERTAR EJEMPLO AQUÍ

  1. Procede a publicar tu registro

¡Eso es todo! Ahora tu registro DMARC se publicará en cuestión de días, si tienes varios dominios para los que deseas publicar registro DMARC, asegúrate de repetir estos pasos para cada uno.

Comprensión de los informes DMARC

Hay dos tipos de informes que DMARC que puedes recibir: informes de agregaduría e informes forenses. Los informes de agregaduría DMARC contienen información sobre el porcentaje de correos que pasan o fallan las verificaciones SPF, DKIM y DMARC.

No proporcionan tanta información sobre cada mensaje en específico, sin embargo, los informes de agregaduría brindan información valiosa sobre el estado general de tu programa de correo y se pueden utilizar para ayudarte a identificar cualquier problema con tus protocolos de autenticación o para identificar cualquier actividad fraudulenta.

Para especificar los puertos agregados en el registro DMARC, debes usar la etiqueta ‘rua’; por ejemplo, en el siguiente ejemplo, la etiqueta ‘rua’ le dice al ESP que envíe informes agregados a [email protected]:

rua=mailto:[email protected]

Por otro lado, los proveedores de servicios de correos crean los informes forenses DMARC justo después de que un mensaje falla la verificación de la política; los informes forenses se componen de campos de encabezados de mensaje, como resultados de autenticación, IP de origen, direcciones de correos electrónicos, remitentes, destinatarios, así como el cuerpo del mensaje. Para especificar el destinatario del informe forense (es decir, la persona que desea recibir estos informes), se usa la etiqueta “ruf” en el registro DMARC.

Por ejemplo, si usa ‘ruf=mailto:[email protected]’, los informes forenses se enviarán a [email protected]

¿Cómo configurar los informes DMARC?

Configurar los informes DMARC es el paso final para implementar la política debidamente, los pasos que debes seguir para esta configuración son los siguientes:

  1. Configura un buzón para enviar informes forenses y de agregaduría
  2. Pública el registro DMARC
  3. Analiza los datos que contienen estos informes
  4. Introduce datos en gráficos

Esto puede parecer mucho trabajo si no estás familiarizado con el sistema DMARC, especialmente si planeas repetir estos pasos todos los días, por lo que te recomendamos usar las herramientas analíticas ofrecidas por EasyDMARC para manejar esto por usted más fácilmente.

¿Cómo actualizar los flujos de correos electrónicos?

La razón principal para analizar los informes de DMARC es determinar qué fuentes en tu flujo de mensajes fallaron las verificaciones de SPF o DKIM y cuales son legítimas, lo cual por defecto, te permite ver qué hosts de los que forman parte en tu infraestructura de correo están fallando cuando no deberían.

Una vez que hayas identificado estos remitentes fallidos pero legítimos, debes actualizar tu configuración SPF y DKIM para que estos correos pasen la verificación la próxima vez que se envíen, también debes eliminar hosts o direcciones de correo que se supone no deben enviar mensajes en su nombre, pero que aún los están haciendo (asegúrate de realizar una revisión exhaustiva, ya que siempre los hay).

¿Cómo configurar DMARC?: una guía paso a paso

En esta sección de nuestra guía completa, vamos a mostrarte cómo comenzar a configurar DMARC directamente, hemos agrupado los pasos para evitar que te sientas abrumado por múltiples términos técnicos. Para configurar DMARC rápidamente, lo primero que debes hacer es un inventario de todos los dominios de correo que deseas proteger, luego sigue estos pasos con mucho cuidado:

Paso uno: Configurar SPF

Para configurar SPF debidamente, sigue estos pasos:

  1. Crea un registro SPF, puedes utilizar el generador de registros SPF en el sitio de EasyDMARC.
  2. Pública el registro SPF. (Nuevamente, puede usar el sitio web EasyDMARC para llevar a cabo esta tarea).
  3. Verifica el registro SPF para asegurarse que está configurado correctamente antes de continuar.

Paso dos: Configurar DKIM

Para configurar DKIM, sigue estos pasos:

  1. Usa el sitio web de EasyDMARC para crear un registro DKIM
  2. Pública el registro DKIM (puedes usar el sitio web EasyDMARC para esto).
  3. Verifica el registro DKIM para asegurarte de que está configurado correctamente antes de continuar.

Paso tres: Publicar un registro DMARC

Una vez que configures SPF y DKIM, debes configurar DMARC, esto puedes hacerlo siguiendo estos pasos:

  1. Ve al sitio web de EasyDMARC y haz clic en “crear un registro DMARC”.
  2. Dale clic a “publicar un registro DMARC”.

Ten en cuenta que debes establecer la política DMARC en p=none para comenzar el proceso, y así dar inicio a la protección de tu dominio en el “modo de monitoreo”, lo que significa que no se verán afectados los mensajes de correo legítimos.

Regresa y verifica el registro DMARC para asegurarte de que se ha publicado correctamente después de una hora, una vez terminado este proceso, debes tener presente que los reportes de agregaduría de DMARC se enviarán a tu bandeja de entrada todos los días, pero pueden pasar uno o dos días antes de que aparezcan en el buzón que has designado para esto, esta acción puede ser controlada con la etiqueta “rua” de tu registro DMARC.

Paso cuatro: Analiza tus informes DMARC

Una vez que tus informes están listos, puede empezar a analizarlos, puedes usar el sistema de EasyDMARC para manejar todos los aspectos referentes a tus informes de aquí en adelante; nuestra empresa se encarga de todo el trabajo de mantenimiento por ti, también puedes especificar los buzones en los que deseas recibir los análisis de tus informes DMARC.

Usar EasyDMARC para analizar tus informes significa que tu trabajo ha concluido, nuestra empresa se encargará de configurar tus buzones, descargando informes, analizando y procesando la data contenida en estos. Si decides hacer esta parte por tu cuenta, deberás realizar todas las tareas mencionadas anteriormente de forma manual para cada informe DMARC.

Paso cinco: Rectifica tu flujo de mensajes

Rectificar tus flujos de mensajes se refiere a configurar DKIM y SPF como la fuente del flujo, lo que significa que todos los correos de la fuente que elijas pasarán las verificaciones DMARC.

En este paso, debes identificar todas las fuentes de correo legítimas no autorizadas y agregar dichas fuentes a tu hilo de trabajo, deshaciéndote de todo lo demás.

Puedes hacerlo fácilmente desde el panel de EasyDMARC, simplemente debes iniciar sesión en tu cuenta y dirigirte a la sección de informes de agregaduría para darle clic a la pestaña de fuentes no alineadas.

Luego, debes revisar las fuentes no alineadas y agregar las direcciones autorizadas a tu transmisión para que pasen las verificaciones DMARC la próxima vez.

Si planeas utilizar otro servicio de entrega de correo, deberás seguir una serie de pasos similares, por lo que es buena idea buscar cómo configurar SPF y DKIM dentro de los documentos de este sistema, ya que los pasos de configuración pueden ser diferentes.

Asegúrate de seguir revisando tus flujos de correo electrónico para localizar fuentes de correo legítimas no autorizadas adicionales y edítelas tan pronto como las detectes para mejorar tus capacidades de entregabilidad.

Si encuentras correos de fuentes autorizadas que deberían estar pasando las comprobaciones DMARC y todo lo demás dice que está fallando, considera un cambio de tu política al modo de cuarentena.

Esto nos lleva a nuestro siguiente paso.

Paso seis: Pase al modo de cuarentena (y al modo de rechazo)

Mover tus registros DMARC al modo de cuarentena significa que cualquier mensaje que falle la verificación DMARC será enviado al buzón de spam. Este es un tipo de acción intermedia que te brindará más capacidades de monitoreo que las políticas p=none o p=reject.

Considera adoptar la política de cuarentena durante tres meses, si todo se ve bien, puedes implementar el modo de rechazo. En el modo de rechazo, todos los mensajes de correo que fallan la verificación DMARC no pasarán a la bandeja de entrada.

Esta es la mejor y más efectiva manera de detener los ataques de phishing por correo, así como los ataques a correos comerciales, por lo que es importante asegurarse que tus flujos de correo electrónico estén configurados debidamente antes de pasar a este modo, ya que no deseas que los correos importantes no lleguen a sus destinatarios.

Paso siete: monitora y actualiza tus políticas DMARC

¡Felicitaciones! Una vez que has llegado a este paso, has implementado DMARC con éxito, pero aún no culmina nuestra labor. 

Ahora, debes monitorear tu flujo de correo para asegurarte de que todo continúe funcionando sin problemas y de que nadie pueda atacar tus correos electrónicos comerciales.

Es importante monitorear tus registros DMARC porque la infraestructura de tu organización puede cambiar ocasionalmente, lo que significa que es posible que las operaciones usadas en el pasado reciente en algún momento dejen de funcionar y te veas obligado a hacer grandes cambios para asegurar tu operatividad.

Tus registros DMARC deben permanecer actualizados para reflejar las nuevas reglas de funcionamiento en tu infraestructura, y para garantizar que la política continúe funcionando para protegerte. Puedes mantenerte al tanto de esto analizando tus informes de agregaduría y actualizando las normativas de funcionamiento de tus políticas DMARC para reflejar estos avances, si logras estar al corriente podrás garantizar que tu dominio siga enviando correos electrónicos debidamente mientras mantienes la mejor reputación como remitente.

Otros factores a considerar

Para completar tu sistema de autenticación de correos basado en las políticas SPF, DKIM y DMARC, debes tener en cuenta los siguientes factores, si corresponden.

¿Cómo configurar registros DNS inversos?

Si envías correos desde otro servidor que no sea el que usas comúnmente, debes configurar un registro DNS inverso, de lo contrario, muchos ESP bloquearán tus mensajes.

Un registro DNS inverso funciona insertando una dirección IP en un nombre del host, que es exactamente lo contrario a lo que hace un registro DNS normal.

Todas las direcciones IP desde las que envían correos deben tener uno de estos, ya que te permitirá tomar un número dirección IP e identificar un nombre de host, lo cual es beneficioso dado que los ESP bloquean tu dirección de correo si no encuentran ningún registro PTR. Esto garantiza que podrás ver las fuentes de correo como nombres de host en lugar de direcciones IP.

Otros detalles importantes para recordar

Asegúrate de implementar los tres protocolos de autenticación de correo electrónico: SPF, DKIM y DMARC; ten presente que los correos autenticados ayudan a construir y monitorear tu reputación como remitente, recuerda que los remitentes con buena reputación son fácilmente reconocidos, mientras que los que no tienen buena reputación enfrentan una serie desventaja comunicacional en el mercado abierto. 

Notas finales sobre SPF

SPF es un mecanismo complejo e increíblemente poderoso, que no debería ser difícil de usar, por lo que te recomendamos mantener tus registros SPF lo más simple posible, sin agregar más hosts de los necesarios en tus registros SPF.

Esto incluye sus mecanismos también, procura usar la menor cantidad posible y evita incluir cualquier cosa que no sea necesaria. Evita el uso de múltiples “includes” que excedan el límite de las 10 búsquedas, recuerda identificar bloques de direcciones usando las áreas “CIDR” de tus registros SPF, asegúrate de usar solo rangos que van desde /30 a /16, como por ejemplo 10.10.10.0/25.

En otras palabras, cuanto mayor sea el número que viene después de la barra de separación, mejor, ya que indicas que hay un grupo más pequeño de direcciones disponibles; evite cualquier cifra entre /1 a /15 porque algunos servidores ignorarán estos bloques por completo. Te recomendamos que nunca uses un registro con “+all” ya que la única forma segura de usar este mecanismo es con el comando “-all”.

Notas finales sobre DKIM

Asegúrate que tus claves DKIM tengan al menos 1024 bits de longitud, ya que las firmas con claves más cortas tienden a ser ignoradas, ten presente que este método se volverá más popular a medida que más remitentes usen claves que contengan al menos 2048 bits o más.

Es una buena idea no irte a los extremos de una forma u otra, procura no usar claves que tengan 4096 bits de largo, ya que es posible que no encajen en la mayoría de los paquetes DNS UDP estándar de 512 bytes. Algunas unidades DNS no permiten paquetes de más de 512 bytes, además el uso de claves grandes puede hacer que DKIM falle.

La investigación muestra que la ciencia detrás de las firmas digitales criptográficas en las que se basa DKIM irá cambiando con el tiempo, y una de las formas en las que esta tecnología evoluciona es cambiando las claves criptográficas todo el tiempo en un intento de evitar que los criminales cibernéticos las ataquen.

Sin embargo, muchas personas aún usan claves que fueron creadas hace años, por lo que es mejor intentar cambiarte a una nueva clave DKIM o mantenerte cambiando tus claves con frecuencia, al menos una vez al año. Ten presente que esto es beneficioso si envías millones de mensajes al mes, incluso es posible que desees cambiar tus claves más de una vez al año si no manejas un volumen muy amplio de mensajes de correo.

Notas finales sobre DMARC

Cuando publicas un registro DMARC, es una buena idea usar el protocolo en p=none primero, ya que esto puede beneficiarte en el proceso de comprensión de los informes DMARC y también te permite decirles a los proveedores de servicios de correo, que deben identificar los mensajes que usan en su dominio si estos no pasan los controles de verificación.

Puedes avanzar gradualmente a p=quarantine o p=reject una vez que hayas monitoreado tu cuenta durante algunos meses para asegúrate que no haya errores, esto te permite verificar y bloquear los correos fraudulentos que pretenden usar tu dominio, lo que mejora tus capacidades de entregabilidad de correo y mantiene intacta la reputación de tu empresa.

A muchas personas les resulta confuso monitorear y administrar los informes DMARC, es por eso que recomendamos dejarlo en manos de profesionales. Puedes subcontratar tus necesidades de DMARC a EasyDMARC y ahorrar tiempo y esfuerzo para dedicarle a tu negocio y así garantizar que tus sistemas estén configurados debidamente.

Esperamos que esta extensa guía sobre DMARC te haya ilustrado lo importante que es configurar tu autenticación de correo de forma adecuada para detener los ataques a los correos electrónicos empresariales y mejorar la capacidad de entrega del correo electrónico.

Si tiene alguna pregunta, envíanos un correo a [email protected] y nos pondremos en contacto contigo de inmediato.

¿Qué son los ataques de inyección?

¿Qué son los ataques de inyección?

En la actualidad nos estamos enfrentando a múltiples tipos de ataques cibernéticos que se...

Read More
¿Cuáles son las consecuencias de una violación de datos?

¿Cuáles son las consecuencias de una violación de datos?

2022 ha demostrado ser el año en el que es imposible negar las consecuencias...

Read More
8 tipos comunes de registros DNS

8 tipos comunes de registros DNS

¿Qué es un registro DNS? Básicamente es un registro de un sistema de nombres...

Read More