Como emprendedor, una de las primeras cosas que se te vienen a la mente es cómo gestionar el correo electrónico de tu empresa. Al fin y al cabo, el correo electrónico es...
Imagina enviar un correo importante a un cliente y que termine en su carpeta de spam o que ni siquiera le llegue. Aún más alarmante, imagina que alguien suplanta tu dominio y envía correos fraudulentos en tu nombre, lo que da lugar a suplantación de identidad y estafas de phishing.
Estos escenarios pueden parecerte inverosímiles, pero son sorprendentemente comunes. Consulta las estadísticas a continuación:
- Casi 45.6% El 90% de todos los correos electrónicos enviados en todo el mundo fueron a parar a las carpetas de correo no deseado de los destinatarios.
- 96% La mayoría de los ataques de phishing se realizan a través del correo electrónico.
Por eso son importantes los protocolos de autenticación de correo electrónico. Esta guía detallada profundizará en los cuatro protocolos clave de autenticación de correo electrónico —DKIM, DMARC, SPF y BIMI— y en las herramientas de validación que se deben utilizar. Pero primero:
¿Qué es la autenticación de correo electrónico?
La autenticación de correo electrónico es el proceso de verificar la legitimidad de un mensaje de correo electrónico. Implica el uso de múltiples protocolos que confirman que un correo electrónico proviene de quien dice ser y que el contenido no ha sido alterado durante la transmisión.
Si bien la autenticación de correo electrónico es esencial para todos los remitentes, resulta especialmente importante para las empresas y organizaciones que dependen en gran medida de las comunicaciones por correo electrónico. De hecho, en 2024, Google y Yahoo Exigir a todos los remitentes masivos que configuren los métodos de autenticación de correo electrónico SPF, DKIM y DMARC para sus dominios.
Cómo funciona la autenticación por correo electrónico
¿Cómo funciona la autenticación por correo electrónico? Aquí tienes un desglose del proceso:
- EnviandoEl primer paso es enviar el correo electrónico, lo cual se realiza desde un servidor específico. dominio o subdominioEl dominio es la identidad única que aparece después del símbolo «@» en una dirección de correo electrónico. Al enviar un correo, el servidor del remitente adjunta detalles de autenticación al encabezado. Estos detalles son las reglas que el servidor de correo receptor utilizará para autenticar el correo.
- Búsqueda de DNSEl servidor receptor realiza una búsqueda DNS (Sistema de Nombres de Dominio) para recuperar los registros SPF, DKIM y DMARC del dominio remitente. Estos registros contienen las reglas y las claves públicas necesarias para verificar el correo electrónico.
- Decisión de entregaEn función de los resultados de las comprobaciones SPF, DKIM y DMARC, el servidor receptor toma una decisión final, que se encuadrará en las siguientes categorías:
- EntregarSi el correo electrónico supera las comprobaciones SPF, DKIM y DMARC, se entrega en la bandeja de entrada del destinatario. Aquí tienes un ejemplo de un correo electrónico entregado que superó las tres comprobaciones.
- CuarentenaUn correo electrónico que no supera la verificación de autenticación, pero que no se considera una amenaza inmediata, se pone en cuarentena. Por ejemplo, podría colocarse en la carpeta de correo no deseado, a la espera de la revisión del administrador de correo electrónico.
- RechazarSi el correo electrónico no supera las comprobaciones de autenticación y se considera sospechoso o malicioso, se rechaza directamente. Malicioso Los correos electrónicos rebotan. De vuelta a la dirección del remitente o desechada.
Simplemente se podría considerar el proceso de autenticación de correo electrónico como una comunicación entre el servidor de correo emisor y el servidor de correo receptor para garantizar que el mensaje llegue al destinatario sin alteraciones.
Protocolos importantes de autenticación de correo electrónico
Cada protocolo de autenticación de correo electrónico aborda un aspecto específico de la seguridad del correo electrónico. A continuación, analizamos en detalle estos pilares de la autenticación de correo electrónico:
1. SPF (Marco de Políticas del Remitente)
SPF permite a los propietarios de dominios crear un registro DNS (Sistema de Nombres de Dominio) con una lista de direcciones IP autorizadas para enviar correos electrónicos desde ese dominio.
Cuando se envía un correo electrónico, el servidor de correo receptor comprueba el registro SPF para verificar que proviene de una dirección IP autorizada. Si la dirección IP coincide, el correo se considera auténtico.
• Herramientas de validación:
Algunas de las herramientas que puede utilizar para validar los componentes del registro SPF incluyen SPF Record Check de MXToolbox y SPF Lookup de PowerDMARC. Herramientas para postmaster de Google, y EasyDMARC SPF Record Checker.
Las herramientas miden los siguientes parámetros clave para garantizar que su registro SPF esté configurado correctamente y sea eficaz:
- Direcciones IPEl registro especifica las direcciones IP autorizadas.
- Errores de sintaxisComprueba si hay errores de sintaxis en el registro SPF.
- Dominio del remitenteSe comprueba que el dominio de la dirección del remitente coincide con el registro SPF y, por lo tanto, con el dominio autorizado.
Veamos cómo luce un registro SPF básico:
v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.123 include:_spf.google.com ~all
- v = spf1: Indica la versión del SPF.
- ip4:192.0.2.0/24: El rango de IP autorizado (192.0.2.0 a 192.0.2.255).
- ip4: 198.51.100.123: La dirección IP autorizada específica (198.51.100.123).
- incluye:_spf.google.comEsta sección indica al servidor qué organizaciones de terceros pueden enviar correos electrónicos en nombre del dominio. Por ejemplo, nuestro ejemplo permite que los servidores de correo de Google envíen correos electrónicos para el dominio.
- ~todosEspecifica un rechazo leve para los correos electrónicos que no coincidan con el registro SPF. Se marcarán como spam, pero se seguirán aceptando. La alternativa es `-all`, que indica que los correos electrónicos no listados deben rechazarse.
Si bien SPF es excelente, tiene sus limitaciones. Por ejemplo, la autenticación SPF verifica el dominio del remitente mediante la ruta de retorno (Return-Path), no la dirección "From:" que ven los destinatarios. Por lo tanto, los atacantes de phishing pueden burlar la verificación utilizando un dominio falso en la dirección de la ruta de retorno y falsificando la dirección "From:".
Por eso se necesitan otros protocolos de autenticación de correo electrónico para cubrir las carencias.
2. DKIM (DomainKeys Identified Mail)
DKIM verifica que un servidor de correo autorizado envió el correo electrónico y que su contenido no fue alterado durante la transmisión.
Funciona mediante técnicas criptográficas para firmar correos electrónicos. Cuando se envía un correo, el servidor de correo del remitente genera una firma digital única basada en el contenido del correo y una clave privada. Esta firma se añade a la cabecera del correo.
El servidor de correo del destinatario utiliza la clave pública correspondiente, publicada en los registros DNS del remitente, para verificar la firma. Si la firma es válida y coincide con la clave pública, el correo electrónico supera la verificación DKIM.
• Herramientas de validación
Existen varias herramientas que pueden ayudar a verificar y solucionar problemas de configuración DKIM. Entre ellas se incluyen DKIMValidator.com, Site24x7 DKIM Validator, SimpleDMARC DKIM Checker, EasyDMARC DKIM Checker, Unspam DKIM Checker y Dmarcian's DKIM Inspector.
Los parámetros clave que validan estas herramientas incluyen:
- FirmaLa firma digital en el encabezado del mensaje de correo electrónico se verifica con la clave pública publicada en los registros DNS del remitente.
- DominioSe comprueba que el dominio de la firma DKIM coincide con el dominio de la dirección "De:" del correo electrónico.
- SelectorEl selector forma parte de la firma DKIM que especifica qué clave pública utilizar para la verificación.
Aquí tenéis un ejemplo de un registro DKIM.
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCz4EZLtxhU3jY5EJ/GV6xS…
- v=DKIM1Indica la versión de DKIM que se está utilizando.
- k=rsa: Especifica el tipo de clave, en este caso, RSA.
- p=…La clave pública utilizada para verificar la firma DKIM.
El protocolo de autenticación de correo electrónico DKIM, al igual que SPF, también tiene sus limitaciones. La principal es que si personas malintencionadas obtienen tus claves DKIM, pueden usarlas fácilmente para suplantar tu identidad.
Por lo tanto, asegúrese de cambiar sus claves periódicamente. Si opta por obtener su firma DKIM de su proveedor de servicios de correo electrónico (ESP), evite aquellos que proporcionan firmas similares a sus usuarios.
Popular herramientas de marketing por correo electrónico como MailchimpHerramientas como GetResponse o MailerLite facilitan la autenticación de dominios propios o de su organización mediante DKIM. Cada herramienta ofrece diferentes funcionalidades y precios, por lo que le recomendamos registrarse para obtener una cuenta de prueba gratuita y probarlas a fondo.
El panel de control de GetResponse te ofrece consejos sobre cómo configurar tu dominio para una correcta entrega de campañas de correo electrónico.
3. DMARC (Autenticación, informes y conformidad de mensajes basados en dominio)
DMARC se basa en SPF y DKIM. Lo hace añadiendo una política a los registros DNS de un dominio. Esta política especifica qué acción tomar cuando un correo electrónico no supera las comprobaciones SPF o DKIM: podría ser ponerlo en cuarentena, rechazarlo o simplemente monitorizar el motivo del fallo.
• Herramientas de validación
Entre las herramientas de validación DMARC se incluyen PowerDMARC Checker Tool, DMARC-Validator.com, EasyDMARC DMARC Record Checker, DMARC-checker.org y MXToolbox DMARC Check Tool.
Los parámetros clave que validan estas herramientas DMARC incluyen:
- Alineación SPF: Garantiza que el dominio en el encabezado “Return-Path” coincida con el dominio en la dirección “From” o se alinee con él.
- Alineación DKIMVerifica que el dominio en la firma DKIM coincida con el dominio en la dirección "De".
- DominioConfirma que los registros DNS necesarios (DMARC, DKIM, SPF) están publicados y accesibles.
Aquí tenéis un ejemplo de un registro DMARC:
v=DMARC1; p=rechazar; rua=mailto:sales@costex.com; adkim=s; aspf=s;
- v=DMARC1: Indica que existe una política DMARC.
- p=reject: Especifica que los correos electrónicos que no superen las comprobaciones SPF o DKIM deben ser rechazados. p=quarantine indica que los servidores deben poner en cuarentena los correos electrónicos que fallen, mientras que p=none significa que incluso los correos electrónicos que fallen pueden ser entregados.
- rua = mailto:sales@costex.comLa dirección de correo electrónico que recibirá el informe DMARC. El informe contiene información valiosa que puede ayudar a los administradores a ajustar sus políticas DMARC.
- adkim=s y aspf=s: Indica que las comprobaciones DKIM y SPF están configuradas como «estrictas». También puede configurarlas como «flexibles» cambiando la «s» por «r».
DMARC depende de la autenticación SPF y DKIM adecuada, por lo que cualquier problema con estos protocolos provocará que falle la comprobación DMARC.
4. BIMI (Indicadores de Marca para la Identificación del Mensaje)
BIMI es un estándar de autenticación de correo electrónico que mejora la seguridad del correo electrónico y la experiencia del usuario al permitir que las marcas muestren su logotipo junto a su nombre. correos electrónicos autenticados en las bandejas de entrada de los destinatarios.
Cuando un correo electrónico supera las comprobaciones de autenticación DMARC, los clientes de correo compatibles, como Gmail, Apple Mail y Yahoo, muestran el logotipo de la marca en la bandeja de entrada. Observe la diferencia entre los correos electrónicos con BIMI y los que no lo tienen.
El indicador visual ayuda a los destinatarios a reconocer tu marca en su bandeja de entrada y también les asegura que eres el remitente legítimo.
Estos correos electrónicos, por supuesto, tendrán tasas de apertura y conversión más altas que los correos no autenticados. Complementa estos correos con páginas de destino optimizadas con herramientas como Nostra e Intellimize para obtener los mejores resultados.
• Herramientas de validación
Las herramientas clave que puede utilizar para validar los registros BIMI incluyen EasyDMARC BIMI Record Checker, SimpleDMARC's BIMI Checker, GoDMARC BIMI Record Lookup Tool, Valimail BIMI Validator y VeriMarkCert BIMI Checker.
Estas herramientas de validación BIMI suelen comprobar los siguientes parámetros:
- Presencia de registro BIMIVerifican que el registro DNS BIMI esté correctamente configurado para los dominios.
- Validez del logotipoVerifique que el archivo del logotipo cumpla con las especificaciones requeridas y sea accesible a través de la URL especificada en el registro BIMI.
Aquí tenéis un excelente ejemplo de un registro BIMI:
v=BIMI1; l=https://tu-dominio.ejemplo/ruta/al/logo.svg; a=https://tu-dominio.ejemplo/ruta/al/vmc.pem
- v=BIMI1: Especifica la versión de BIMI.
- l=https://tu-dominio.ejemplo/ruta/al/logotipo.svgIndica la URL de tu logotipo en formato SVG.
- a=https://tu-dominio.ejemplo/ruta/a/vmc.pemIndica la URL de su Certificado de Marca Verificada (VMC), que acredita la propiedad del logotipo.
Para que BIMI funcione, el dominio debe tener políticas de autenticación DMARC fuertes configuradas en “cuarentena” o “rechazo”. Esto significa que nunca existe una situación en la que BIMI sea la única capa de seguridad.
Conclusión
Los protocolos de autenticación de correo electrónico como SPF, DKIM, DMARC y BIMI trabajan conjuntamente para prevenir el uso no autorizado de tu dominio y proteger la reputación de tu marca como remitente. Esto, a su vez, contribuye a mejorar la entregabilidad de los correos electrónicos.
Así pues, implemente hoy mismo estos protocolos de autenticación de correo electrónico.
Recuerda que los proveedores de correo electrónico, como Yahoo y Gmail, han estado implementando requisitos de autenticación. Por lo tanto, si aún te preguntas si necesitas familiarizarte con estos protocolos y sus herramientas de validación, la respuesta es un rotundo SÍ.
