En este artículo, exploraremos cómo optimizar el registro SPF fácilmente para su dominio. Tanto las empresas como los pequeños negocios que poseen un dominio de correo electrónico para enviar y recibir mensajes entre sus clientes, socios y empleados, es muy probable que exista un registro SPF por defecto, que ha sido configurado por su proveedor de servicios de bandeja de entrada. No importa si tiene un registro SPF preexistente o si necesita crear uno nuevo, debe optimizar su registro SPF correctamente para su dominio con el fin de garantizar que no cause problemas de entrega de correo electrónico.

Algunos destinatarios de correo electrónico exigen estrictamente el SPF, lo que indica que si no tiene un registro SPF publicado para su dominio sus correos electrónicos pueden ser marcados como spam en la bandeja de entrada de su receptor. Además, el SPF ayuda a detectar fuentes no autorizadas que envían correos electrónicos en nombre de su dominio.

Entendamos primero qué es el FPS y por qué se necesita.

Marco de la política de remitentes (SPF)

SPF es esencialmente un protocolo de autenticación de correo electrónico estándar que especifica las direcciones IP que están autorizadas a enviar correos electrónicos desde su dominio. Funciona comparando las direcciones de los remitentes con la lista de hosts de envío autorizados y las direcciones IP para un dominio específico que se publica en el DNS para ese dominio.

SPF, junto con DMARC (Domain-based Message Authentication, Reporting and Conformance) está diseñado para detectar direcciones de remitente falsas durante la entrega del correo electrónico y prevenir ataques de spoofing, phishing y estafas por correo electrónico.

Es importante saber que, aunque el SPF por defecto integrado en su dominio por su proveedor de alojamiento asegura que los correos electrónicos enviados desde su dominio se autentifiquen contra el SPF, si tiene varios proveedores de terceros para enviar correos electrónicos desde su dominio, este registro SPF preexistente debe ser adaptado y modificado para ajustarse a sus necesidades. ¿Cómo puede hacerlo? Exploremos dos de las formas más comunes:

  • Creación de un nuevo registro SPF
  • Optimizar un registro SPF existente

Instrucciones para optimizar el registro SPF

Crear un nuevo registro SPF

Crear un registro SPF es simplemente publicar un registro TXT en el DNS de su dominio para configurar el SPF para su dominio. Este es un paso obligatorio que viene antes de empezar a optimizar el registro SPF. Si está empezando con la autenticación y no está seguro de la sintaxis, puede utilizar nuestro generador de registros SPF en línea gratuito para crear un registro SPF para su dominio.

Una entrada de registro SPF con una sintaxis correcta tendrá el siguiente aspecto:

v=spf1 ip4:38.146.237 include:ejemplo.com -all

v=spf1Especifica la versión de SPF que se está utilizando
ip4/ip6Este mecanismo especifica las direcciones IP válidas que están autorizadas a enviar correos electrónicos desde su dominio.
incluyeEste mecanismo indica a los servidores receptores que incluyan los valores del registro SPF del dominio especificado.
-todosEste mecanismo especifica que los correos electrónicos que no sean compatibles con SPF serán rechazados. Esta es la etiqueta recomendada que puede utilizar al publicar su registro SPF. Sin embargo, puede sustituirse por ~ para SPF Soft Fail (los correos electrónicos no conformes se marcarían como soft fail, pero seguirían siendo aceptados) o por +, que especifica que todos y cada uno de los servidores podrán enviar correos electrónicos en nombre de su dominio, lo que se desaconseja totalmente.

Si ya tiene configurado el SPF para su dominio, también puede utilizar nuestro comprobador de registros SPF gratuito para buscar y validar su registro SPF y detectar problemas.

Desafíos y errores comunes al configurar el SPF

1) Límite de 10 búsquedas de DNS 

El reto más común al que se enfrentan los propietarios de dominios al configurar y adoptar el protocolo de autenticación SPF para su dominio, es que SPF viene con un límite en el número de búsquedas de DNS, que no puede exceder de 10. Para los dominios que dependen de varios proveedores de terceros, el límite de 10 búsquedas DNS se excede fácilmente, lo que a su vez rompe el SPF y devuelve un SPF PermError. El servidor receptor en estos casos invalida automáticamente su registro SPF y lo bloquea.

Mecanismos que inician las búsquedas de DNS: MX, A, INCLUDE, modificador REDIRECT

2) Búsqueda de vacíos en el FPS 

Las búsquedas nulas se refieren a las búsquedas de DNS que devuelven una respuesta NOERROR o NXDOMAIN (respuesta nula). Al implementar el SPF, se recomienda asegurarse de que las búsquedas de DNS no devuelvan una respuesta nula en primer lugar.

3) Bucle recursivo SPF

Este error indica que el registro SPF del dominio especificado contiene problemas de recursividad con uno o varios de los mecanismos INCLUDE. Esto tiene lugar cuando uno de los dominios especificados en la etiqueta INCLUDE contiene un dominio cuyo registro SPF contiene la etiqueta INCLUDE del dominio original. Esto conduce a un bucle interminable que hace que los servidores de correo electrónico realicen continuamente búsquedas de DNS para los registros SPF. En última instancia, esto hace que se supere el límite de 10 búsquedas de DNS, lo que hace que los correos electrónicos fallen el SPF.

4) Errores de sintaxis 

Un registro SPF puede existir en el DNS de su dominio, pero no sirve de nada si contiene errores de sintaxis. Si su registro SPF TXT contiene espacios en blanco innecesarios al escribir el nombre del dominio o el nombre del mecanismo, la cadena que precede al espacio extra sería completamente ignorada por el servidor receptor al realizar una búsqueda, invalidando así el registro SPF.

5) Múltiples registros SPF para el mismo dominio

Un mismo dominio sólo puede tener una entrada SPF TXT en el DNS. Si su dominio contiene más de un registro SPF, el servidor receptor los invalida todos, haciendo que los correos electrónicos no pasen el SPF.

6) Longitud del registro SPF 

La longitud máxima de un registro SPF en el DNS está limitada a 255 caracteres. Sin embargo, este límite puede superarse y un registro TXT para SPF puede contener varias cadenas concatenadas, pero no más allá de un límite de 512 caracteres, para ajustarse a la respuesta de consulta del DNS (según el RFC 4408). Aunque esto se revisó más tarde, los destinatarios que dependen de versiones de DNS más antiguas no podrían validar los correos electrónicos enviados desde dominios que contienen un registro SPF largo.

Optimizar su registro SPF

Para modificar rápidamente su registro SPF puede utilizar las siguientes prácticas recomendadas de SPF:

  • Intente escribir sus fuentes de correo electrónico en orden decreciente de importancia de izquierda a derecha en su registro SPF
  • Elimine las fuentes de correo electrónico obsoletas de su DNS
  • Utilizar mecanismos IP4/IP6 en lugar de A y MX
  • Mantenga el número de mecanismos INCLUDE lo más bajo posible y evite los includes anidados
  • No publique más de un registro SPF para el mismo dominio en su DNS
  • Asegúrese de que su registro SPF no contiene espacios en blanco redundantes ni errores de sintaxis

Nota: No se recomienda aplanar el SPF, ya que no es algo que se haga una sola vez. Si su proveedor de servicios de correo electrónico cambia su infraestructura, tendrá que cambiar sus registros SPF en consecuencia, cada vez.

Optimizar su registro SPF es fácil con PowerSPF

Puede seguir adelante e intentar implementar todas las modificaciones mencionadas anteriormente para optimizar su registro SPF manualmente, o puede olvidarse de las molestias y confiar en nuestro dinámico PowerSPF para que haga todo eso por usted automáticamente. PowerSPF le ayuda a optimizar su registro SPF con un solo clic, en el que puede:

  • Añadir o eliminar fuentes de envío con facilidad
  • Actualice los registros fácilmente sin tener que hacer cambios manuales en sus DNS
  • Obtenga un registro SPF automático optimizado con un solo clic
  • Manténgase por debajo del límite de 10 búsquedas de DNS en todo momento
  • Mitigar con éxito PermError
  • Olvídese de los errores de sintaxis del registro SPF y de los problemas de configuración
  • Le quitamos la carga de resolver las limitaciones del FPS en su nombre

Regístrese en PowerDMARC hoy mismo y diga adiós a las limitaciones del FPS para siempre.  

El ritmo con el que los correos electrónicos llegan a las bandejas de entrada de los destinatarios se denomina índice de entregabilidad del correo electrónico. Esta tasa puede ralentizarse o retrasarse o incluso provocar un fallo en la entrega cuando los correos electrónicos acaban en la carpeta de spam o son bloqueados por los servidores de recepción. Es esencialmente un parámetro importante para medir el éxito de sus correos electrónicos que llegan a las bandejas de entrada de sus receptores deseados sin ser marcados como spam. La autenticación del correo electrónico es definitivamente una de las opciones a las que pueden recurrir los principiantes en autenticación, para ver una mejora sustancial en la entregabilidad del correo electrónico con el tiempo.

En este blog estamos aquí para hablarle de cómo puede mejorar su tasa de entregabilidad de correo electrónico con facilidad y también discutir las mejores prácticas de la industria para asegurar un flujo de mensajes sin problemas en todos sus canales de correo electrónico.

¿Qué es la autenticación del correo electrónico?

La autenticación de correo electrónico es la técnica utilizada para validar la autenticidad de su correo electrónico frente a todas las fuentes autorizadas que pueden enviar correos electrónicos desde su dominio. Además, ayuda a validar la propiedad del dominio de cualquier Agente de Transferencia de Correo (MTA) involucrado en la transferencia o modificación de un correo electrónico.

¿Por qué necesita la autenticación del correo electrónico?

El Protocolo Simple de Transferencia de Correo (SMTP), que es el estándar de Internet para la transferencia de correo electrónico, no contiene ninguna función para autenticar los correos electrónicos entrantes y salientes, lo que permite a los ciberdelincuentes explotar la falta de protocolos seguros en SMTP. Esto puede ser utilizado por los actores de la amenaza para perpetrar estafas de phishing de correo electrónico, BEC y ataques de suplantación de dominio en los que pueden suplantar su marca y dañar su reputación y credibilidad. La autenticación del correo electrónico mejora la seguridad de su dominio contra la suplantación y el fraude, indicando a los servidores receptores que sus correos electrónicos son compatibles con DMARC y provienen de fuentes válidas y auténticas. También sirve como punto de control para las direcciones IP no autorizadas y maliciosas que envían correos electrónicos desde su dominio.

Para proteger la imagen de su marca, minimizar las amenazas cibernéticas, BEC y garantizar una mejor tasa de entrega, la autenticación del correo electrónico es una necesidad.

Mejores prácticas de autenticación de correo electrónico

Marco de la política de remitentes (SPF)

El SPF está presente en su DNS como un registro TXT, mostrando todas las fuentes válidas que están autorizadas a enviar correos electrónicos desde su dominio. Cada correo electrónico que sale de su dominio tiene una dirección IP que identifica a su servidor y al proveedor de servicios de correo electrónico utilizado por su dominio que se alista en su DNS como un registro SPF. El servidor de correo del receptor valida el correo electrónico contra su registro SPF para autenticarlo y, en consecuencia, marca el correo electrónico como SPF aprobado o no aprobado.

Tenga en cuenta que el SPF tiene un límite de 10 búsquedas de DNS, cuyo exceso puede devolver un resultado PermError y provocar un fallo del SPF. Esto se puede mitigar utilizando PowerSPF para mantenerse por debajo del límite de búsqueda en todo momento.

Correo Identificado con Claves de Dominio (DKIM)

DKIM es un protocolo estándar de autenticación de correo electrónico que asigna una firma criptográfica, creada mediante una clave privada, para validar los correos electrónicos en el servidor receptor, en el que el receptor puede recuperar la clave pública del DNS del remitente para autenticar los mensajes. Al igual que el SPF, la clave pública DKIM también existe como un registro TXT en el DNS del propietario del dominio.

Autenticación, notificación y conformidad de mensajes basada en el dominio (DMARC)

La simple implementación de SPF y DKIM no es suficiente, ya que los propietarios de los dominios no pueden controlar cómo responden los servidores receptores a los correos electrónicos que no superan las comprobaciones de autenticación.

DMARC es el estándar de autenticación de correo electrónico más utilizado en la actualidad, que está diseñado para facultar a los propietarios de los dominios con la capacidad de especificar a los servidores receptores cómo deben manejar los mensajes que fallan SPF o DKIM o ambos. Esto, a su vez, ayuda a proteger su dominio de accesos no autorizados y ataques de suplantación de identidad.

¿Cómo puede DMARC mejorar la capacidad de entrega del correo electrónico?

  • Al publicar un registro DMARC en el DNS de su dominio, el propietario del dominio solicita a los servidores receptores que soportan DMARC, que envíen información sobre los correos electrónicos que reciben para ese dominio, indicando automáticamente a los servidores receptores que su dominio extiende el soporte hacia protocolos seguros y estándares de autenticación para correos electrónicos, como DMARC, SPF y DKIM.
  • Los informes agregados de DMARC le ayudan a obtener una mayor visibilidad de su ecosistema de correo electrónico, permitiéndole ver los resultados de la autenticación del correo electrónico, detectar fallos de autenticación y mitigar los problemas de entrega.
  • Al aplicar su política DMARC, puede bloquear los correos electrónicos maliciosos que suplantan su marca para que no lleguen a las bandejas de entrada de sus receptores.

Consejos adicionales para mejorar la entregabilidad del correo electrónico:

  • Permita la identificación visual de su marca en las bandejas de entrada de sus receptores con BIMI
  • Garantizar el cifrado TLS de los correos electrónicos en tránsito con MTA-STS
  • Detecte y responda a los problemas de entrega del correo electrónico habilitando un amplio mecanismo de notificación con TLS-RPT

PowerDMARC es una plataforma SaaS de autenticación de correo electrónico única que combina todas las mejores prácticas de autenticación de correo electrónico, como DMARC, SPF, DKIM, BIMI, MTA-STS y TLS-RPT, bajo el mismo techo. Regístrese hoy mismo con PowerDMARC y sea testigo de una mejora considerable en la capacidad de entrega del correo electrónico con nuestra suite mejorada de seguridad y autenticación del correo electrónico.

Business Email Compromise o BEC es una forma de violación de la seguridad del correo electrónico o ataque de suplantación de identidad que afecta a organizaciones comerciales, gubernamentales, sin ánimo de lucro, pequeñas empresas y startups, así como a multinacionales y empresas para extraer datos confidenciales que pueden influir negativamente en la marca u organización. Los ataques de spear phishing, las estafas de facturas y los ataques de suplantación de identidad son ejemplos de BEC.

Los ciberdelincuentes son expertos en maquinar y dirigirse intencionadamente a personas concretas dentro de una organización, especialmente a las que ocupan puestos de autoridad como el director general o alguien similar, o incluso a un cliente de confianza. El impacto financiero mundial debido a BEC es enorme, especialmente en los Estados Unidos, que se ha convertido en el principal centro. Lea más sobre el volumen mundial de estafas BEC. ¿La solución? Cambiar a DMARC.

¿Qué es DMARC?

La autenticación de mensajes basada en el dominio, los informes y la conformidad (DMARC) es un estándar de la industria para la autenticación del correo electrónico. Este mecanismo de autenticación especifica a los servidores receptores cómo responder a los correos electrónicos que no superan las comprobaciones de autenticación SPF y DKIM. DMARC puede minimizar las posibilidades de que su marca sea presa de ataques BEC en un porcentaje considerable, y ayudar a proteger la reputación de su marca, la información confidencial y los activos financieros.

Tenga en cuenta que antes de publicar un registro DMARC, debe implementar SPF y DKIM para su dominio, ya que la autenticación DMARC hace uso de estos dos protocolos de autenticación estándar para validar los mensajes enviados en nombre de su dominio.

Puede utilizar nuestro generador de registros SPF y nuestro generador de registros DKIM gratuitos para generar registros que se publicarán en las DNS de su dominio.

¿Cómo optimizar su registro DMARC para protegerse contra BEC?

Para proteger su dominio contra el Business Email Compromise, así como para habilitar un amplio mecanismo de informes para supervisar los resultados de la autenticación y obtener una visibilidad completa de su ecosistema de correo electrónico, le recomendamos que publique la siguiente sintaxis de registro DMARC en el DNS de su dominio:

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

Comprender las etiquetas utilizadas al generar un registro DMARC:

v (obligatorio)Este mecanismo especifica la versión del protocolo.
p (obligatorio)Este mecanismo especifica la política DMARC en uso. Puede configurar su política DMARC para:

p=none (DMARC sólo en la supervisión, en la que los correos electrónicos que no superen las comprobaciones de autenticación seguirán llegando a las bandejas de entrada de los receptores). p=quarantine (DMARC en la aplicación, en la que los correos electrónicos que no superen las comprobaciones de autenticación se pondrán en cuarentena o se enviarán a la carpeta de spam).

p=reject (DMARC al máximo, en el que los correos electrónicos que no superen las comprobaciones de autenticación se descartarán o no se entregarán).

Para los principiantes en la autenticación, se recomienda comenzar con su política en la supervisión solamente (p=none) y luego cambiar lentamente a la aplicación.Sin embargo, para el propósito de este blog si usted quiere salvaguardar su dominio contra BEC, p=reject es la política recomendada para usted para asegurar la máxima protección.

sp (opcional)Esta etiqueta especifica la política de subdominios que puede establecerse como sp=none/quarantine/reject solicitando una política para todos los subdominios en los que los correos electrónicos están fallando la autenticación DMARC.

Esta etiqueta sólo es útil si desea establecer una política diferente para su dominio principal y sus subdominios. Si no se especifica, se aplicará la misma política a todos los subdominios por defecto.

adkim (opcional)Este mecanismo especifica el modo de alineación del identificador DKIM, que puede establecerse como s (estricto) o r (relajado).

La alineación estricta especifica que el campo d= de la firma DKIM de la cabecera del correo electrónico debe alinearse y coincidir exactamente con el dominio que se encuentra en la cabecera from.

Sin embargo, para la alineación relajada, los dos dominios deben compartir únicamente el mismo dominio organizativo.

aspf (opcional) Este mecanismo especifica el modo de alineación del identificador SPF, que puede establecerse como s (estricto) o r (relajado).

La alineación estricta especifica que el dominio en la cabecera "Return-path" debe alinearse y coincidir exactamente con el dominio que se encuentra en la cabecera from.

Sin embargo, para la alineación relajada, los dos dominios deben compartir únicamente el mismo dominio organizativo.

rua (opcional pero recomendada)Esta etiqueta especifica los informes agregados de DMARC que se envían a la dirección especificada después del campo mailto:, proporcionando información sobre los correos electrónicos que pasan y no pasan el DMARC.
ruf (opcional pero recomendado)Esta etiqueta especifica los informes forenses DMARC que se enviarán a la dirección especificada después del campo mailto:. Los informes forenses son informes a nivel de mensaje que proporcionan información más detallada sobre los fallos de autenticación. Dado que estos informes pueden contener contenido de correo electrónico, cifrarlos es la mejor práctica.
pct (opcional)Esta etiqueta especifica el porcentaje de correos electrónicos a los que se aplica la política DMARC. El valor predeterminado es 100.
fo (opcional pero recomendado)Las opciones forenses para su registro DMARC se pueden configurar:

->DKIM y SPF no pasan o se alinean (0)

->DKIM o SPF no pasan o se alinean (1)

->DKIM no pasa ni se alinea (d)

->SPF no pasa o se alinea (s)

El modo recomendado es fo=1, que especifica que los informes forenses deben generarse y enviarse a su dominio siempre que los correos electrónicos no superen las comprobaciones de autenticación DKIM o SPF.

Puede generar su registro DMARC con el generador de registros DMARC gratuito de PowerDMARC, en el que puede seleccionar los campos según el nivel de cumplimiento que desee.

Tenga en cuenta que sólo una política de aplicación de rechazo puede minimizar el BEC, y proteger su dominio de los ataques de spoofing y phishing.

Aunque DMARC puede ser un estándar eficaz para proteger su negocio contra BEC, la implementación correcta de DMARC requiere esfuerzo y recursos. Tanto si es un novato como un aficionado a la autenticación, como pioneros en la autenticación de correo electrónico, PowerDMARC es una única plataforma SaaS de autenticación de correo electrónico que combina todas las mejores prácticas de autenticación de correo electrónico, como DMARC, SPF, DKIM, BIMI, MTA-STS y TLS-RPT, bajo el mismo techo para usted. Le ayudamos:

  • Pasar de la vigilancia a la aplicación de la ley en un abrir y cerrar de ojos para mantener a raya a la BEC
  • Nuestros informes agregados se generan en forma de gráficos y tablas simplificadas para ayudarle a entenderlos fácilmente sin tener que leer complejos archivos XML
  • Ciframos sus informes forenses para salvaguardar la privacidad de su información
  • Vea los resultados de la autenticación en 7 formatos diferentes (por resultado, por fuente de envío, por organización, por host, estadísticas detalladas, informes de geolocalización, por país) en nuestro panel de control de fácil uso para una experiencia óptima del usuario
  • Obtenga el 100% de cumplimiento de DMARC alineando sus correos electrónicos con SPF y DKIM para que los correos electrónicos que no cumplan con cualquiera de los puntos de verificación de autenticación no lleguen a las bandejas de entrada de sus receptores

¿Cómo protege DMARC contra BEC?

Tan pronto como configure su política DMARC en la máxima aplicación (p=rechazo), DMARC protege su marca del fraude por correo electrónico al reducir la posibilidad de ataques de suplantación de identidad y abuso de dominio. Todos los mensajes entrantes se validan con comprobaciones de autenticación de correo electrónico SPF y DKIM para garantizar que proceden de fuentes válidas.

El SPF está presente en su DNS como un registro TXT, mostrando todas las fuentes válidas que están autorizadas a enviar correos electrónicos desde su dominio. El servidor de correo del receptor valida el correo electrónico contra su registro SPF para autenticarlo. DKIM asigna una firma criptográfica, creada mediante una clave privada, para validar los correos electrónicos en el servidor receptor, en el que el receptor puede recuperar la clave pública del DNS del remitente para autenticar los mensajes.

Con su política de rechazo, los correos electrónicos no se entregan al buzón de su destinatario en absoluto cuando las comprobaciones de autenticación fallan, lo que indica que su marca está siendo suplantada. En última instancia, esto mantiene a raya los ataques de BEC, como la suplantación de identidad y el phishing.

Plan básico de PowerDMARC para pequeñas empresas

Nuestro plan básico parte de sólo 8 USD al mes, por lo que las pequeñas empresas y las startups que intentan adoptar protocolos seguros como DMARC pueden disponer de él fácilmente. Las ventajas que tendrás a tu disposición con este plan son las siguientes:

  • Ahorre un 20% en su plan anual
  • Hasta 2.000.000 de correos electrónicos compatibles con DMARC
  • Hasta 5 dominios
  • Historial de datos de 1 año
  • 2 Usuarios de la plataforma
  • BIMI alojado
  • MTA-STS alojado
  • TLS-RPT

Regístreseen PowerDMARC hoy mismo y proteja el dominio de su marca minimizando las posibilidades de que el correo electrónico de las empresas se vea comprometido y el fraude por correo electrónico.

En 1982, cuando se especificó por primera vez SMTP, no contenía ningún mecanismo para proporcionar seguridad a nivel de transporte para asegurar las comunicaciones entre los agentes de transferencia de correo. Sin embargo, en 1999 se añadió a SMTP el comando STARTTLS que, a su vez, soportaba el cifrado de los correos electrónicos entre los servidores, proporcionando la capacidad de convertir una conexión no segura en una segura cifrada mediante el protocolo TLS.

Sin embargo, el cifrado es opcional en SMTP, lo que implica que los correos electrónicos pueden enviarse incluso en texto plano. Agente de transferencia de correo-Seguridad de transporte estricta (MTA-STS) es un estándar relativamente nuevo que permite a los proveedores de servicios de correo la capacidad de imponer la seguridad de la capa de transporte (TLS) para asegurar las conexiones SMTP, y especificar si los servidores SMTP remitentes deben rechazar la entrega de correos electrónicos a hosts MX que no ofrezcan TLS con un certificado de servidor fiable. Se ha demostrado que mitiga con éxito los ataques de degradación de TLS y los ataques Man-In-The-Middle (MITM). Informes SMTP TLS (TLS-RPT) es un estándar que permite informar de los problemas de conectividad TLS que experimentan las aplicaciones que envían correos electrónicos y detectar configuraciones erróneas. Permite informar de los problemas de entrega de correo electrónico que tienen lugar cuando un correo electrónico no está cifrado con TLS. En septiembre de 2018 el estándar se documentó por primera vez en el RFC 8460.

¿Por qué sus correos electrónicos requieren encriptación en tránsito?

El objetivo principal es mejorar la seguridad a nivel de transporte durante la comunicación SMTP y garantizar la privacidad del tráfico de correo electrónico. Además, el cifrado de los mensajes entrantes y salientes mejora la seguridad de la información, utilizando la criptografía para salvaguardar la información electrónica. Por otra parte, los ataques criptográficos como el Man-In-The-Middle (MITM) y el TLS Downgrade han ido ganando popularidad en los últimos tiempos y se han convertido en una práctica habitual entre los ciberdelincuentes, que se puede eludir aplicando el cifrado TLS y ampliando el soporte a los protocolos seguros.

¿Cómo se lanza un ataque MITM?

Dado que el cifrado tuvo que ser adaptado al protocolo SMTP, la actualización para la entrega cifrada tiene que depender de un comando STARTTLS que se envía en texto claro. Un atacante MITM puede explotar fácilmente esta característica realizando un ataque de downgrade en la conexión SMTP manipulando el comando de actualización, forzando al cliente a volver a enviar el correo electrónico en texto plano.

Tras interceptar la comunicación, un atacante MITM puede robar fácilmente la información descifrada y acceder al contenido del correo electrónico. Esto se debe a que el SMTP, que es el estándar de la industria para la transferencia de correo, utiliza un cifrado oportunista, lo que implica que el cifrado es opcional y los correos electrónicos pueden seguir entregándose en texto claro.

¿Cómo se lanza un ataque de degradación de TLS?

Dado que el cifrado tuvo que ser adaptado al protocolo SMTP, la actualización para la entrega cifrada tiene que depender de un comando STARTTLS que se envía en texto claro. Un atacante MITM puede explotar esta característica realizando un ataque de downgrade en la conexión SMTP manipulando el comando de actualización. El atacante puede simplemente sustituir el STARTTLS por una cadena que el cliente no identifique. Por lo tanto, el cliente vuelve a enviar fácilmente el correo electrónico en texto plano.

En resumen, un ataque de downgrade se lanza a menudo como parte de un ataque MITM, con el fin de crear una vía para permitir un ataque que no sería posible en caso de una conexión cifrada sobre la última versión del protocolo TLS, sustituyendo o borrando el comando STARTTLS y haciendo retroceder la comunicación a texto claro.

Además de mejorar la seguridad de la información y mitigar los ataques de vigilancia generalizados, el cifrado de mensajes en tránsito también resuelve múltiples problemas de seguridad de SMTP.

Lograr el cifrado TLS reforzado de los correos electrónicos con MTA-STS

Si no transporta sus correos electrónicos a través de una conexión segura, sus datos podrían verse comprometidos o incluso modificados y manipulados por un ciberatacante. Aquí es donde MTA-STS interviene y soluciona este problema, permitiendo el tránsito seguro de sus correos electrónicos, así como mitigando con éxito los ataques criptográficos y mejorando la seguridad de la información mediante la aplicación del cifrado TLS. En pocas palabras, MTA-STS hace que los correos electrónicos se transfieran por una vía cifrada TLS, y en caso de que no se pueda establecer una conexión cifrada, el correo electrónico no se entrega en absoluto, en lugar de entregarse en texto claro. Además, los MTA almacenan archivos de políticas MTA-STS, lo que dificulta a los atacantes el lanzamiento de un ataque de suplantación de DNS.

 

El MTA-STS ofrece protección contra el :

  • Ataques a la baja
  • Ataques Man-In-The-Middle (MITM)
  • Resuelve múltiples problemas de seguridad de SMTP, como los certificados TLS caducados y la falta de compatibilidad con protocolos seguros.

Los principales proveedores de servicios de correo, como Microsoft, Oath y Google, apoyan el MTA-STS. Google, que es el mayor actor del sector, ocupa el centro de la escena al adoptar cualquier protocolo, y la adopción de MTA-STS por parte de Google indica la ampliación del apoyo a los protocolos seguros y destaca la importancia del cifrado del correo electrónico en tránsito.

Solución de problemas en la entrega de correo electrónico con TLS-RPT

Los informes TLS de SMTP proporcionan a los propietarios de dominios informes de diagnóstico (en formato de archivo JSON) con detalles elaborados sobre los correos electrónicos que se han enviado a su dominio y que se enfrentan a problemas de entrega, o que no se han podido entregar debido a un ataque de degradación u otros problemas, de modo que pueda solucionar el problema de forma proactiva. Tan pronto como habilite TLS-RPT, los Agentes de Transferencia de Correo conocidos comenzarán a enviar informes de diagnóstico sobre los problemas de entrega de correo electrónico entre los servidores que se comunican con el dominio de correo electrónico designado. Los informes se envían normalmente una vez al día, cubriendo y transmitiendo las políticas MTA-STS observadas por los remitentes, las estadísticas de tráfico, así como la información sobre fallos o problemas en la entrega del correo electrónico.

La necesidad de desplegar TLS-RPT :

  • En caso de que un correo electrónico no se envíe a su destinatario debido a algún problema de entrega, se le notificará.
  • TLS-RPT ofrece una mayor visibilidad de todos sus canales de correo electrónico para que pueda conocer mejor todo lo que ocurre en su dominio, incluidos los mensajes que no se entregan.
  • TLS-RPT proporciona informes de diagnóstico en profundidad que le permiten identificar y llegar a la raíz del problema de entrega del correo electrónico y solucionarlo sin demora.

Adopción de MTA-STS y TLS-RPT más fácil y rápida gracias a PowerDMARC

MTA-STS requiere un servidor web habilitado para HTTPS con un certificado válido, registros DNS y un mantenimiento constante. PowerDMARC le hace la vida mucho más fácil al gestionar todo eso por usted, completamente en segundo plano: desde la generación de certificados y el archivo de políticas MTA-STS hasta la aplicación de políticas, le ayudamos a eludir las tremendas complejidades que implica la adopción del protocolo. Una vez que le ayudamos a configurarlo con unos pocos clics, no tendrá que volver a pensar en ello.

Con la ayuda de los servicios de autenticación de correo electrónico de PowerDMARC, puede implementar MTA-STS alojados en su organización sin complicaciones y a un ritmo muy rápido, con la ayuda de los cuales puede hacer que los correos electrónicos se envíen a su dominio a través de una conexión cifrada TLS, haciendo así que su conexión sea segura y manteniendo a raya los ataques MITM.

PowerDMARC le facilita la vida haciendo que el proceso de implementación de los informes SMTP TLS (TLS-RPT) sea fácil y rápido, al alcance de su mano. Tan pronto como se registre en PowerDMARC y habilite los informes SMTP TLS para su dominio, nos encargaremos de convertir los complicados archivos JSON que contienen sus informes de problemas de entrega de correo electrónico, en documentos sencillos y legibles (por resultado y por fuente de envío), que podrá revisar y comprender con facilidad. La plataforma de PowerDMARC detecta automáticamente y transmite posteriormente los problemas a los que se enfrenta en la entrega del correo electrónico, para que pueda abordarlos y resolverlos rápidamente.

Regístrese para obtener su DMARC gratuito hoy mismo.

Si estás aquí leyendo este blog, lo más probable es que te hayas encontrado con alguna de las tres indicaciones habituales:

  • No hay registro DMARC 
  • No se ha encontrado ningún registro DMARC 
  • Falta el registro DMARC
  • Registro DMARC no encontrado 
  • No se ha publicado ningún registro DMARC 
  • Política DMARC no habilitada
  • No se puede encontrar el registro DMARC

En cualquier caso, esto sólo implica que su dominio no está configurado con el estándar de autenticación de correo electrónico más aclamado y popularmente utilizado: Autenticación, notificación y conformidad de mensajes basada en el dominio o DMARC. Veamos en qué consiste:

¿Qué es DMARC y por qué necesita la autenticación del correo electrónico para su dominio?

Para saber cómo solucionar el problema de "No se ha encontrado ningún registro DMARC", vamos a saber de qué trata el DMARC. DMARC es el estándar de autenticación de correo electrónico más utilizado en la actualidad, que está diseñado para facultar a los propietarios de dominios con la capacidad de especificar a los servidores receptores cómo deben manejar los mensajes que no superan las comprobaciones de autenticación. Esto, a su vez, ayuda a proteger su dominio de accesos no autorizados y ataques de suplantación de identidad. DMARC utiliza protocolos de autenticación estándar populares para validar los mensajes entrantes y salientes de su dominio.

Proteja su empresa de los ataques de suplantación de identidad y del spoofing con DMARC

¿Sabía que el correo electrónico es la forma más fácil de que los ciberdelincuentes abusen de su marca?

Utilizando su dominio y suplantando su marca, los hackers pueden enviar correos electrónicos maliciosos de phishing a sus propios empleados y clientes. Dado que el SMTP no está dotado de protocolos seguros contra los campos "De" falsos, un atacante puede falsificar las cabeceras de los correos electrónicos para enviar correos fraudulentos desde su dominio. Esto no sólo comprometerá la seguridad de su organización, sino que dañará seriamente la reputación de su marca.

La suplantación del correo electrónico puede conducir a BEC (Business Email Compromise), la pérdida de información valiosa de la empresa, el acceso no autorizado a los datos confidenciales, la pérdida financiera y reflejar mal la imagen de su marca. Incluso después de implementar SPF y DKIM para su dominio, no puede evitar que los ciberdelincuentes se hagan pasar por su dominio. Por eso necesita un protocolo de autenticación de correo electrónico como DMARC, que autentifica los correos electrónicos utilizando los dos protocolos mencionados y especifica a los servidores receptores de sus clientes, empleados y socios cómo responder si un correo electrónico procede de una fuente no autorizada y no supera las comprobaciones de autenticación. Esto le proporciona la máxima protección contra los ataques de dominio exacto y le ayuda a tener un control total del dominio de su empresa.

Además, con la ayuda de un estándar de autenticación de correo electrónico eficaz como DMARC, puede mejorar su tasa de entrega de correo electrónico, su alcance y su confianza.

 


Añadir el registro DMARC que falta para su dominio

Puede ser molesto y confuso encontrarse con avisos que digan "El nombre de host devolvió un registro DMARC faltante o inválido" cuando se comprueba el registro DMARC de un dominio al utilizar herramientas en línea.

Para solucionar el problema de "No se ha encontrado ningún registro DMARC" para su dominio, todo lo que tiene que hacer es añadir un registro DMARC para su dominio. Añadir un registro DMARC es esencialmente publicar un registro de texto (TXT) en el DNS de su dominio, en el subdominio _dmarc.ejemplo.com de acuerdo con las especificaciones de DMARC. Un registro TXT DMARC en su DNS puede tener el siguiente aspecto

v=DMARC1; p=nada; rua=mailto:[email protected]

Y ¡Voilà! Ha resuelto con éxito el mensaje "No se ha encontrado ningún registro DMARC", ya que su dominio está configurado con autenticación DMARC y contiene un registro DMARC.

Pero, ¿es esto suficiente? La respuesta es no. El simple hecho de añadir un registro DMARC TXT a su DNS puede resolver la falta de indicación DMARC, pero simplemente no es suficiente para mitigar los ataques de suplantación de identidad y el spoofing.

Implantar DMARC de forma correcta con PowerDMARC

PowerDMARC ayuda a su organización a lograr el 100% de cumplimiento de DMARC alineando los estándares de autenticación, y ayudándole a pasar de la supervisión a la aplicación en poco tiempo, resolviendo el aviso de "no se ha encontrado ningún registro DMARC" en poco tiempo. Además, nuestro panel de control interactivo y fácil de usar genera automáticamente:

  • Informes agregados (RUA) para todos sus dominios registrados, que se simplifican y se convierten en tablas y gráficos legibles a partir del complejo formato de archivo XML para su comprensión.
  • Informes forenses (RUF) con cifrado

Para mitigar el "no se ha encontrado ningún registro DMARC", todo lo que tiene que hacer es

La política DMARC puede configurarse como :

  • p=none (DMARC está configurado sólo para la supervisión, por lo que los correos electrónicos que no se autentifiquen seguirán llegando a las bandejas de entrada de los destinatarios, pero recibirá informes globales que le informarán de los resultados de la autenticación)
  • p=cuarentena (DMARC está configurado en el nivel de aplicación, por lo que los correos electrónicos que no se autentiquen se enviarán a la bandeja de spam en lugar de a la bandeja de entrada del destinatario)
  • p=rechazar (DMARC está configurado al máximo nivel de aplicación, por lo que los correos electrónicos que no se autentiquen se eliminarán o no se entregarán)

¿Por qué PowerDMARC?

PowerDMARC es una plataforma SaaS de autenticación de correo electrónico única que combina todas las mejores prácticas de autenticación de correo electrónico, como DMARC, SPF, DKIM, BIMI, MTA-STS y TLS-RPT, bajo el mismo techo. Proporcionamos una visibilidad óptima de su ecosistema de correo electrónico con la ayuda de nuestros detallados informes agregados y le ayudamos a actualizar automáticamente los cambios en su panel de control sin que tenga que actualizar sus DNS manualmente.

Adaptamos las soluciones a su dominio y nos encargamos de todo en segundo plano, desde la configuración hasta la monitorización. Le ayudamos a implementar DMARC correctamente para mantener a raya los ataques de suplantación de identidad.

Así que regístrese en PowerDMARC para configurar correctamente DMARC para su dominio hoy mismo.

Domain-based Message Authentication, Reporting and Conformance es el protocolo de autenticación de correo electrónico más aclamado en los últimos tiempos, que puede ayudar a las pequeñas empresas, así como a las empresas multinacionales, a mitigar la suplantación de identidad, los ataques de falsificación de correo electrónico y BEC. DMARC utiliza dos de los protocolos estándar existentes en el ámbito de la autenticación del correo electrónico, a saber, SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail). Las soluciones DMARC pueden ayudar a validar la autenticidad de cada correo electrónico entrante y saliente y a mitigar los ataques basados en el correo electrónico y las violaciones de la seguridad.

A la hora de seleccionar la mejor solución de software DMARC para su empresa, debe buscar unas cuantas características básicas que la solución debe incluir. Vamos a discutir cuáles son:

Un panel de control fácil de usar

Es imprescindible contar con un panel de control fácil de usar que le ofrezca una visibilidad completa de su ecosistema de correo electrónico y que muestre eficazmente los informes sobre los correos electrónicos que pasan y no pasan la autenticación DMARC de su dominio en un formato legible y comprensible. Este es uno de los puntos clave en los que debe fijarse a la hora de elegir la mejor solución de software DMARC para su empresa.

Informes agregados y forenses detallados

Es indispensable que su solución DMARC disponga de un amplio mecanismo de informes. Tanto los informes agregados como los forenses son imprescindibles para supervisar las amenazas y configurar los protocolos de autenticación.

Los informes agregados detallados de DMARC se generan en formato de archivo XML. Para una persona sin conocimientos técnicos, estos registros pueden parecer indescifrables. La mejor solución de software DMARC para su organización convertirá estos informes agregados incomprensibles de los complejos archivos XML en información fácilmente comprensible que le permitirá analizar sus resultados y realizar los cambios necesarios

Tanto para las PYMES como para las empresas multinacionales, los informes forenses proporcionan una valiosa información sobre su ecosistema de correo electrónico, que se genera cada vez que un correo electrónico enviado desde su dominio falla el DMARC. Proporcionan información detallada sobre los correos electrónicos individuales que han fallado en la autenticación para detectar los intentos de suplantación y solucionar los problemas de entrega del correo electrónico a un ritmo rápido.

Informes forenses DMARC Cifrado

Los informes forenses de DMARC contienen datos sobre cada uno de los correos electrónicos que han fallado en DMARC. Esto implica que podrían incluir información confidencial que estaba presente en esos correos electrónicos. Por eso, al seleccionar la mejor solución de software DMARC para su empresa, debe elegir un proveedor de servicios que valore su privacidad y le permita cifrar sus informes forenses para que solo los usuarios autorizados tengan acceso a ellos.

Alineación de SPF y DKIM

Aunque el cumplimiento de DMARC puede lograrse mediante la alineación de SPF o DKIM, es preferible alinear sus correos electrónicos con ambos estándares de autenticación. A menos que sus correos electrónicos estén alineados y autenticados con los protocolos de autenticación SPF y DKIM y confíen sólo en SPF para la validación, existe la posibilidad de que los correos electrónicos legítimos sigan fallando la autenticación DMARC (como en el caso de los mensajes reenviados). Esto se debe a que la dirección IP del servidor intermediario puede no estar incluida en el registro SPF de su dominio, fallando así el SPF.

Sin embargo, a menos que el cuerpo del correo se altere durante el reenvío, el correo electrónico conserva la firma DKIM, que puede utilizarse para validar su autenticidad. La mejor solución de software DMARC para su empresa se asegurará de que todos sus mensajes entrantes y salientes estén alineados tanto con SPF como con DKIM.

Mantener el límite de 10 búsquedas de DNS

Los registros SPF tienen un límite de 10 búsquedas de DNS. Si su organización tiene una amplia base de operaciones o confía en terceros proveedores para que envíen correos electrónicos en su nombre, su registro SPF podría superar fácilmente el límite y llegar al permerror. Esto invalida su implementación de SPF, y hace que sus correos electrónicos fallen inevitablemente el SPF. Por este motivo, debería buscar una solución que le ayude a optimizar instantáneamente su registro SPF para mantenerse siempre por debajo del límite de 10 búsquedas DNS para mitigar el permerror SPF.

Un asistente de configuración interactivo y eficaz

Al elegir la mejor solución de software DMARC para su organización, no hay que olvidar el proceso de configuración. Un asistente de configuración interactivo y eficiente que está diseñado con la simplicidad y la facilidad de uso en mente, que le lleva a través del proceso de introducción de su nombre de dominio a la configuración de su política DMARC a la generación de su propio registro DMARC de una manera sincronizada y metódica, es la necesidad del momento. Le ayudará a establecerse sin problemas, y a entender todas las configuraciones y funcionalidades de su panel de control en el menor tiempo posible.

Programación de informes ejecutivos en PDF

Con una solución DMARC eficaz para su organización, podrá convertir sus informes DMARC en cómodos documentos PDF de fácil lectura que podrá compartir con todo su equipo. Dependiendo de sus necesidades, puede programarlos para que se envíen al correo electrónico con regularidad o simplemente generarlos bajo demanda.

 

Registro BIMI alojado

Los indicadores de marca para la identificación de mensajes, o BIMI, permiten a los destinatarios de su correo electrónico identificar visualmente el logotipo de su marca única en sus bandejas de entrada y tener la seguridad de que el correo electrónico procede de una fuente auténtica. Un proveedor de servicios eficiente puede ayudarle a implementar BIMI junto con protocolos de autenticación estándar como DMARC, SPF y DKIM, mejorando así el recuerdo de su marca y manteniendo su reputación e integridad.

Seguridad y configuración de la plataforma

Una solución DMARC eficaz le facilitará el trabajo al detectar todos sus subdominios automáticamente, además de proporcionar una autenticación de dos factores para permitir la seguridad absoluta de su plataforma de autenticación.

Inteligencia sobre amenazas

Para mejorar la visibilidad y el conocimiento, lo que necesita es un motor de Inteligencia de Amenazas (TI) basado en la IA que elimine activamente las direcciones IP sospechosas, comparándolas con una lista negra actualizada de abusadores conocidos para que pueda eliminarlos. Esto le blindará contra las actividades maliciosas y la repetición de abusos de dominio en el futuro.

Un equipo de apoyo proactivo

A la hora de implantar DMARC en su organización y generar informes agregados, lo que necesita es un equipo de soporte proactivo, disponible las 24 horas del día para ayudarle a mitigar los problemas de configuración, incluso después de la incorporación, durante todo el tiempo que utilice sus servicios.

Herramienta de análisis PowerDMARC

Nuestra herramienta de análisis DM ARC es lo suficientemente eficaz como para llevarle a través de todo el proceso de implementación y ayudarle a pasar de la supervisión a la aplicación de DMARC y al cumplimiento del 100% de DMARC en el menor tiempo posible. Nuestra avanzada solución de software DMARC le ayudará a configurar su dominio, la política DMARC y los informes agregados y le ayudará a obtener una visibilidad completa de su ecosistema de correo electrónico lo antes posible. Desde la generación de registros BIMI alojados hasta la elaboración de informes forenses con cifrado, PowerDMARC es su destino único para la suite definitiva de seguridad del correo electrónico.

A la hora de elegir una solución DMARC para su organización, es importante confiar en un proveedor de servicios que ofrezca tecnología de primera calidad a precios razonables. Regístrese para obtener su prueba gratuita de DM ARC hoy mismo con PowerDMARC!