¿Qué son SPF, DKIM y DMARC?
SPF, DKIM y DMARC son los tres principales protocolos de autenticación de correo electrónico. Juntos, SPF, DMARC y DKIM evitan que fuentes no autorizadas utilicen su dominio para enviar correos electrónicos fraudulentos a sus clientes potenciales, clientes, empleados, proveedores externos, partes interesadas, etc. SPF y DKIM ayudan a demostrar la legitimidad del correo electrónico, mientras que DMARC indica al servidor de correo electrónico del receptor qué hacer con los correos electrónicos que no superan las comprobaciones de autenticación.
- Marco de directivas del remitente (SPF): Verifica la dirección IP del remitente para garantizar que está autorizado a enviar correos electrónicos en nombre de su dominio.
- DomainKeys Identified Mail (DKIM): Añade una firma digital a los correos electrónicos, verificando la identidad del remitente y evitando la manipulación de los mensajes.
- Autenticación, notificación y conformidad de mensajes basados en dominios (DMARC): Proporciona un marco de políticas para aplicar comprobaciones SPF y DKIM y generar informes sobre los resultados de la autenticación del correo electrónico.
Autenticación del correo electrónico
La autenticación del correo electrónico es el proceso de verificar la legitimidad de las fuentes de correo electrónico. Se trata de una medida de seguridad esencial adoptada por las organizaciones para garantizar que sólo los remitentes legítimos pueden enviar correos electrónicos en nombre de su dominio. SPF, DKIM y DMARC constituyen los pilares de la autenticación del correo electrónico, ya que verifican las fuentes de envío y el contenido del correo electrónico y definen cómo responder a los mensajes que no superan la autenticación.
El informe DBIR de Verizon sugiere que el 94% de todos los ciberataques comienzan con un correo electrónico. Esto pone aún más de relieve la creciente amenaza de la suplantación de identidad y su naturaleza prolífica.
Por qué es importante la autenticación del correo electrónico
La autenticación del correo electrónico es la primera línea de defensa contra la suplantación de identidad. La suplantación de identidad en el correo electrónico consiste en falsificar nombres de dominio y direcciones de correo electrónico con fines maliciosos. Los correos electrónicos falsos son enviados por atacantes que se hacen pasar por empresas legítimas para estafar a víctimas desprevenidas. Al verificar la legitimidad de las fuentes de envío, la autenticación impide que se envíen correos electrónicos falsos. Los clientes han informado de una disminución de más del 90% en los intentos de suplantación de identidad desde su propio dominio tras implantar protocolos de autenticación de correo electrónico.
El papel de SPF, DKIM y DMARC
La autenticación del correo electrónico es importante para proteger su marca contra los ciberataques basados en el correo electrónico que utilizan técnicas de suplantación de identidad y phishing. La autenticación del correo electrónico se basa principalmente en los protocolos SPF, DKIM y DMARC, junto con protocolos adicionales como MTA-STS, BIMI y ARC que pueden mejorar aún más su seguridad. A continuación le explicamos por qué debe implementarlos:
- Garantizan que su nombre de dominio no pueda falsificarse ni utilizarse indebidamente.
- Le ayudan a prevenir ataques de phishing, spam, ransomware, etc. planeados e intentados en nombre de su empresa.
- Mejoran el índice de entregabilidad del correo electrónico de su dominio. Un bajo índice de entregabilidad del correo electrónico repercute en la comunicación interna, el marketing y las campañas de relaciones públicas, la tasa de retención de clientesetc.
¡Simplifique la autenticación del correo electrónico con PowerDMARC!
¿Dónde puede realizar una comprobación SPF, DKIM y DMARC?
Las comprobaciones SPF, DKIM y DMARC pueden realizarse verificando que los registros están almacenados en su Sistema de Nombres de Dominio o DNS. El DNS se conoce popularmente como la guía telefónica de Internet que convierte los nombres de dominio en sus correspondientes direcciones IP. El DNS se utiliza como base de datos para almacenar la información de su dominio en forma de registros DNS.
Una comprobación SPF, DKIM y DMARC se utiliza para revisar los registros DNS existentes que puede publicar y almacenar en su DNS. Durante las comprobaciones de autenticación de correo electrónico, los MTA receptores consultan su DNS para buscar estos registros y tomar medidas en función de las instrucciones o la información definida en ellos. Puede utilizar el comprobador gratuito de registros SPF, DKIM y DMARC de PowerDMARC para ver al instante si sus DNS contienen estos registros.
¿Cómo configurar SPF, DKIM y DMARC?
Siga estas instrucciones para configurar SPF, DKIM y DMARC para proteger su dominio y sus correos electrónicos.
- Cree un registro DNS SPF.
- Cree su clave pública DKIM.
- Cree su política DMARC Registre y active los informes DMARC
- Configure un buzón dedicado para recibir sus informes DMARC o utilice una plataforma de análisis de informes DMARC.
- Publique sus registros SPF, DKIM y DMARC en el DNS
SPF: Verificación de los remitentes de correo electrónico
Marco de política de remitentes o SPF es un protocolo de autenticación de correo electrónico en el que los propietarios de dominios enumeran todos los servidores autorizados a enviar correos electrónicos utilizando su dominio. Esto se hace creando un registro TXT registro SPF que se publica en el DNS. Si una IP remitente no está en la lista, la autenticación falla y el correo electrónico puede marcarse como spam o sospechoso. Sin embargo, SPF tiene algunas limitaciones; se rompe cuando se reenvía un mensaje o se supera el límite de 10 búsquedas DNS.
Si ya tiene un registro SPF, puede utilizar nuestro comprobador de registros SPF para asegurarse de que no contiene errores.
Configuración del SPF
- Identifique todas sus fuentes de envío de correo electrónico (incluidos los proveedores externos).
- Crear un registro SPF con un generador SPF gratuito. El registro debe autorizar todas sus fuentes de envío.
- Copia la sintaxis del registro.
- Inicie sesión en su consola de gestión de DNS.
- .pegue el registro en su sección de registros DNS bajo el tipo de recurso "TXT".
Espere unas horas a que se apliquen los cambios. Una vez hecho esto, puede utilizar nuestro Búsqueda de registros SPF herramienta para garantizar un registro sin errores.
Desafíos comunes de los FPS
Al conocer los retos que plantean SPF, DKIM y DMARC, cabe destacar que existen algunos retos comunes a los que se enfrentan los propietarios de dominios específicamente con la implementación de SPF. Son los siguientes:
- Superar el límite de 10 búsquedas DNS rompe el SPF
- Exceder el límite de búsqueda de vacíos de 2 puede romper SPF
- Los registros SPF tienen un límite de 255 caracteres
- SPF falla en los mensajes reenviados
Para resolver estos errores, los registros SPF deben optimizarse con Macros para mantenerse por debajo de los límites definidos. Combinar SPF con DKIM y DMARC también garantiza una autenticación y entregabilidad más fluidas.
DKIM: Protección del contenido de su correo electrónico
Correo identificado con claves de dominio o DKIM, permite a los propietarios de dominios firmar automáticamente los correos electrónicos enviados desde su dominio. DKIM funciona de forma similar a como se firman los cheques bancarios para validar su autenticidad. Las firmas DKIM garantizan que el contenido de su correo electrónico permanezca seguro y sin cambios durante el proceso de entrega.
Procede almacenando una clave pública en un registro DNS DKIM. El servidor de correo receptor puede acceder a este registro para obtener la clave pública. Por otro lado, hay una clave privada almacenada en secreto por el remitente, que firma con ella la cabecera del correo electrónico. Los servidores de correo receptores verifican la clave privada del remitente comparándola con la clave pública de fácil acceso.
Configuración de DKIM
- Puede configurar DKIM fácilmente generando un registro DKIM mediante el generador gratuito de registros DKIM de PowerDMARC generador de registros DKIM.
- Introduzca su nombre de dominio en la caja de herramientas y haga clic en el botón Generar registro DKIM .
- Obtendrá un par de claves DKIM privadas y públicas.
- Publique la clave pública en las DNS de su dominio.
- Configure su servidor de correo para que utilice la clave privada DKIM para firmar las cabeceras de todos los correos electrónicos salientes. Este proceso de firma añade una firma DKIM a cada correo electrónico, que los servidores de correo de los destinatarios verificarán utilizando la correspondiente clave pública DKIM publicada en sus DNS. Asegúrese de mantener su clave privada a salvo y de no publicarla ni divulgarla.
Por último, verifique su clave pública DKIM mediante una búsqueda DKIM para asegurarse de que es correcta.
Ventajas de DKIM
A la hora de añadir autenticación SPF, DKIM y DMARC, DKIM tiene varias ventajas específicas en la autenticación de correo electrónico, entre las que se incluyen:
- DKIM autentica correctamente los mensajes reenviados en la mayoría de los casos.
- DKIM impide que los ciberatacantes alteren el contenido del correo electrónico.
- DKIM permite a cada dominio gestionar sus propios pares de claves públicas y privadas de forma independiente, lo que proporciona a las organizaciones un control más detallado de la seguridad de su correo electrónico.
DMARC: Prevención del phishing y la suplantación de identidad en el correo electrónico
Autenticación, notificación y conformidad de mensajes basada en dominios o DMARC indica al servidor del receptor qué hacer con los correos electrónicos que no cumplen SPF, DKIM o ambos. La acción tomada por el receptor depende de la política DMARC configurada por el remitente: ninguna, cuarentena o rechazo.
Las políticas DMARC se establecen en un registro DMARC que también almacena instrucciones para enviar informes a los administradores de dominio sobre todos los correos electrónicos que superan o no las comprobaciones de validación. Si ya ha implementado una política DMARCutilice nuestra herramienta gratuita herramienta de búsqueda de registros DMARC para verificar si es correcta.
Configuración de DMARC
- Puede crear su registro DMARC utilizando un generador DMARC.
- Elija su política DMARC (por ejemplo, p=quarantine) y active los informes DMARC definiendo una dirección de correo electrónico en la etiqueta "rua" (por ejemplo, rua=mailto:[email protected]).
- Haga clic en Generar.
- Copie el registro TXT en el portapapeles y péguelo en su DNS para activar el protocolo.
Compruebe su implementación de DMARC mediante un comprobador DMARC para validar sus configuraciones.
Políticas y acciones de aplicación de DMARC
Existen 3 tipos de políticas DMARC que los propietarios de dominios pueden configurar para tomar medidas contra los correos electrónicos no autenticados. Son las siguientes:
- Ninguna: Denotada por p=none, la política none es una política de no acción que entrega mensajes no autenticados sin tomar ninguna acción contra ellos. Es ideal para principiantes.
- Cuarentena: Denotada por p=quarantine, la política de cuarentena es una política DMARC aplicada que pone en cuarentena los correos electrónicos no autenticados.
- Rechazo: Denotada por p=reject, la política reject es una política de aplicación máxima para DMARC que rechaza mensajes no autenticados.
Su dirección política DMARC desempeñan un papel importante en la prevención de las amenazas basadas en el correo electrónico. Con las políticas aplicadas, los propietarios de dominios están mejor protegidos contra los ataques de suplantación de identidad y phishing.
Técnicas avanzadas de autenticación de correo electrónico
La autenticación del correo electrónico no termina en SPF, DKIM y DMARC. Para mejorar aún más la seguridad de su dominio y del correo electrónico, puede implementar técnicas de autenticación avanzadas. Analicemos algunas de ellas:
MTA-STS, BIMI y ARC
El protocolo MTA-STS de autenticación garantiza la entrega cifrada mediante TLS de los mensajes de correo electrónico a la bandeja de entrada. Evita los ataques man-the-middle y DNS spoofing, negociando una conexión SMTP cifrada entre los servidores de correo electrónico que se comunican.
BIMI, o Indicadores de Marca para la Identificación de Mensajes, ayuda a las empresas a adjuntar los logotipos de sus marcas a los mensajes de correo electrónico. Actúa como verificación visual y autenticación, mejorando el recuerdo y la credibilidad de la marca.
ARC (Authenticated Received Chain) crea un mecanismo de reserva durante el reenvío de correo electrónico, ayudando a preservar las cabeceras de autenticación SPF y DKIM originales. Esto evita fallos de autenticación innecesarios en los mensajes reenviados.
¿Cuándo aplicar estas técnicas?
Una vez que esté seguro de su configuración DMARCpodrá aplicar estas técnicas en la fase 2 de su proceso de autenticación del correo electrónico.
Estas configuraciones avanzadas son ideales para todas las organizaciones que desean establecer la credibilidad de su marca y mejorar aún más su reputación de correo electrónico. Ayudan a proporcionar seguridad adicional además de una configuración de autenticación básica, lo que le permite estar mejor equipado para luchar contra ciberataques sofisticados.
Implementación y mantenimiento de la configuración de autenticación de correo electrónico
Una vez que haya implementado sus protocolos SPF, DKIM y DMARC, ahora es el momento de supervisarlos y mantenerlos para asegurarse de que todo funciona correctamente. Aquí tienes algunas formas de mantener tu configuración de autenticación:
Uso de herramientas de supervisión
Las herramientas de supervisión DMARC son plataformas basadas en la IA y en la nube que permiten una supervisión instantánea y sencilla de las implementaciones de autenticación del correo electrónico desde una única interfaz.
Análisis de los informes DMARC
El análisis de sus informes DMARC puede proporcionar una gran cantidad de información sobre los resultados de autenticación de correo electrónico y las fuentes de envío de su dominio. Esto puede ayudar a detectar incoherencias y evitar intentos de suplantación.
Actualizaciones y mantenimiento periódicos
Es importante comprobar periódicamente sus técnicas SPF, DKIM y DMARC y de autenticación avanzada para asegurarse de que funcionan correctamente. SPF puede requerir actualizaciones periódicas para incluir nuevas fuentes de envío, las claves DKIM deben rotarse con frecuencia para mejorar la seguridad y las políticas DMARC deben aplicarse para evitar ciberataques. Sin actualizaciones o un mantenimiento adecuado, sus implementaciones pueden perder eficacia.
Conclusión
Una vez que hayas configurado estos protocolos de seguridad para tu dominio, tienes que empezar a supervisar tus informes para detectar actividades sospechosas. Si configuras y gestionas correctamente estos protocolos, podrás mejorar significativamente la seguridad y la entregabilidad de tu dominio.
Recuerde que, en conjunto, estos protocolos de autenticación pueden reducir el riesgo de phishing, pero no protegen contra toda la ciberdelincuencia basada en el correo electrónico. Por lo tanto, es importante seguir con la educación y concienciación de los empleados.
Preguntas frecuentes sobre SPF, DKIM y DMARC
¿Puedo crear DMARC sin SPF y DKIM?
La respuesta es no. Para configurar DMARC, primero hay que implementar SPF o DKIM. Sin SPF o DKIM, su configuración DMARC no funcionará.
¿Requiere DMARC tanto SPF como DKIM?
DMARC no requiere tanto SPF como DKIM. Cualquiera de los dos protocolos puede configurarse antes de configurar DMARC. Sin embargo, recomendamos implementar ambos para mejorar la seguridad.
¿Utiliza Gmail SPF o DKIM?
Sí. Las directrices actualizadas para remitentes de Gmail exigen que todos los remitentes implementen SPF o DKIM para enviar correctamente correos electrónicos a las bandejas de entrada de Gmail.
¿Puede un dominio tener 2 registros DKIM?
Un dominio puede tener 2 o más registros DKIM con diferentes selectores para que los servidores receptores puedan localizar fácilmente el registro DKIM correcto durante la autenticación.
¿Cómo puedo saber si los protocolos están activados?
Para saber si los protocolos de autenticación están habilitados para su dominio, puede utilizar nuestras herramientas de comprobación de registros DNS en Powertoolbox, o analizar las cabeceras de su correo electrónico.
- DMARC será obligatorio para el sector de las tarjetas de pago a partir de 2025 - 12 de enero de 2025
- Cambios de NCSC Mail Check y su impacto en la seguridad del correo electrónico del sector público británico - 11 de enero de 2025
- Guía de explicación de la etiqueta aspf DMARC - 7 de enero de 2025