En el mundo de la autenticación del correo electrónico, nos encontramos con términos fugaces como SPF y DKIM. Aunque tanto SPF como DKIM son protocolos de autenticación de correo electrónico, funcionan de manera diferente para proteger, en última instancia, su correo electrónico del spam y la suplantación de identidad. ¿Pero puede DKIM funcionar sin SPF? La respuesta es sí, puede. Como protocolos independientes, no dependen el uno del otro para sus funcionalidades y pueden implementarse sin que el otro esté configurado para los mismos dominios.

En este artículo, analizaremos en profundidad el funcionamiento de DKIM y SPF para que pueda elegir el protocolo que más le convenga, y también ofreceremos nuestras recomendaciones de expertos al final. Empecemos.

¿Qué es el SPF y cómo protege sus correos electrónicos?

SPF (Sender Policy Framework) le permite especificar qué servidores de correo están autorizados a enviar un correo electrónico en nombre de su dominio o subdominio. Un registro SPF es un tipo de registro DNS utilizado para validar el nombre de dominio de un remitente de correo electrónico y para especificar qué hosts están autorizados a enviar correos electrónicos en nombre del dominio.

El SPF se diseñó para evitar que usuarios no autorizados envíen correo saliente desde un dominio diferente al suyo, lo que suele denominarse "spoofing". Además, si una organización tiene varios servidores de correo que aceptan correo para el mismo dominio, un registro SPF ayuda a los sistemas de correo electrónico de los destinatarios a determinar de qué servidor deben recibir el correo entrante. Es uno de los métodos de autenticación de correo electrónico más utilizados por novatos y aficionados.

¿Qué es DKIM y cómo protege sus correos electrónicos?

DomainKeys Identified Mail (DKIM) es un método de autenticación de correo electrónico que demuestra que un correo electrónico ha sido autorizado por el propietario de ese dominio, utilizando un algoritmo criptográfico y una clave.

Al utilizar DKIM, su servidor firmará todos los mensajes salientes, incluidas las campañas de marketing por correo electrónico. Esto permite a los destinatarios de su correo electrónico verificar su identidad para que puedan confiar en que sus mensajes no fueron alterados de ninguna manera. Cuando usted firma un mensaje utilizando DKIM, adjunta su clave privada al valor de una función hash de la cabecera y el cuerpo completos del correo electrónico. Sólo los remitentes autorizados pueden acceder a la clave privada utilizada para la firma.

¿Necesito tanto DKIM como SPF para configurar DMARC para mi dominio?

Pues no. Puede implementar DMARC incluso si tiene SPF o DKIM configurado para su dominio. Esto se debe a que para que sus correos electrónicos pasen la alineación DMARC, es necesario que el DKIM o el SPF pasen la alineación para ellos y no ambos. Por lo tanto, la configuración de cualquiera de los dos protocolos es suficiente para comenzar con su esfuerzo de implementación de DMARC.

Sin embargo, si su pregunta es si la implementación de DMARC es un paso necesario cuando ya ha configurado DKIM o SPF para sus dominios, la respuesta es sí. Con DMARC puede controlar la forma en que sus destinatarios responden a los correos electrónicos falsos que parecen proceder de su dominio, salvando así la reputación y credibilidad de su empresa y también de sus clientes de ser presa de ataques de phishing. Ni DKIM ni SPF por sí solos pueden proteger a las organizaciones de los ataques de ingeniería social como la suplantación de identidad, para eso se necesita DMARC.

Genere el registro DMARC ¡ahora de forma gratuita para detener el spoofing!

¿Qué recomiendan los expertos? ¿Puede funcionar DKIM sin SPF?

Para obtener el 100% de conformidad con DMARCle recomendamos que alinee sus correos electrónicos con los protocolos de autenticación DKIM y SPF en lugar de con uno solo. En algunos casos excepcionales, como las listas de correo y los correos electrónicos reenviados, debido a la participación de servidores intermediarios, el SPF falla inevitablemente para esos correos electrónicos. Si su sistema de correo depende únicamente del SPF para la autenticación, los correos legítimos pueden perderse en el tránsito y fallar la entrega en los casos mencionados. Por lo tanto, contar con ambos protocolos es siempre una opción más segura para garantizar una entrega más fluida y una capa adicional de seguridad del correo electrónico.

¿Quiere probar el DMARC usted mismo? Obtenga un prueba gratuita de DMARC para sus dominios con un simple registro.

Mientras está añadiendo dominios en Microsoft Exchange Online, es posible que se encuentre con el siguiente mensaje de error: " No hay claves DKIM guardadas para estedominio " mientras no encuentra ninguna opción para habilitar las claves DKIM para los dominios.

Este es un obstáculo común al que se enfrentan los usuarios de Microsoft Exchange Online. Sin embargo, se puede resolver fácilmente utilizando Windows Powershell.

¿Qué es DKIM?

DKIM es un correo identificado con claves de dominio, que es un método por el cual una organización puede afirmar la responsabilidad de un mensaje de una manera que puede ser validada por el destinatario. La firma digital funciona de forma similar al proceso utilizado para verificar las firmas digitales en el correo electrónico firmado o en los formularios web, con la excepción de que la firma digital se añade a cada mensaje enviado por el sistema de correo habilitado para DKIM, en lugar de a un solo mensaje.

Supone varias ventajas, entre ellas la reducción de la suplantación de identidad, por ejemplo, el spam y el phishing. Esto permite al receptor poder confirmar que el mensaje es auténtico. Cuando un mensaje enviado por, o en nombre de, su organización ha sido autentificado, ese mensaje proporciona al receptor la seguridad de que el contenido no ha sido alterado en tránsito.

Pasos para habilitar DKIM mediante Windows Powershell en Microsoft 356 Exchange Online

  • En su aplicación Windows Powershell, seleccione "Ejecutar como administrador"

  • En la ventana del símbolo del sistema de Windows Powershell, debe ejecutar los siguientes cuatro comandos:

1. $UserCredential = Get-Credential

Aparecerá un cuadro de diálogo solicitando tu nombre de usuario y contraseña. Asegúrate de iniciar sesión en Powershell con tus credenciales de Office 365, como administrador.

2. $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

3. Importar-PSSession $Session -Desactivar comprobación de nombre

4. New-DkimSigningConfig -DomainName "yourdomain.com" -Enabled $true

[Nota: Recuerde sustituir "sudominio.com" por su propio nombre de dominio, ya que éste es sólo un dominio de ejemplo para este artículo].

Solución del error "No hay claves DKIM guardadas para este dominio".

  • Ahora, si vuelve a entrar en el portal de administración de Exchange Online, debería poder ver la opción de habilitar DKIM para su dominio

5. Finalmente, después de haber habilitado sus claves DKIM, necesita ejecutar el último comando: Remove-PSSession $Session para finalizar su sesión de Powershell

¿Por qué necesita habilitar DKIM para sus dominios de Office 365?

DKIM utiliza la criptografía de clave pública para vincular un texto a un remitente autorizado añadiendo una firma a las cabeceras del correo electrónico y otros componentes del mensaje. La firma se verifica mediante una clave privada cuando se recibe el mensaje, y el remitente es entonces responsable de su identidad de correo electrónico publicada en Internet. Es un protocolo esencial para garantizar la entrega segura e inalterada de sus mensajes. Microsoft recomienda habilitar DKIM para mejorar la seguridad del correo electrónico de sus dominios registrados en su portal.

Espero que este artículo te haya ayudado a resolver el mensaje "No hay claves DKIM habilitadas para este dominio" en Microsoft 365 Exchange Online. Si quieres saber más sobre cómo configurar DKIM en Office 365, puedes consultar nuestro artículo office 365 DKIM de Office 365.

Para detener los ataques de suplantación de identidad en su dominio, obtenga informes diarios sobre los resultados de la autenticación DKIM de Office 365 configurando nuestro analizador de informes DMARC hoy mismo.

Los ataques de suplantación de identidad, como el phishing y la suplantación de identidad, pueden tener un impacto dramático en la salud de su dominio y conducir a fallos de autenticación, compromiso del correo electrónico y mucho más. Por ello, debe mejorar sus defensas contra ellos, empezando hoy mismo. Hay varios métodos que puede implementar para asegurarse de que sus correos electrónicos están adecuadamente protegidos contra los ataques de phishing y spoofing. Vamos a hablar de ellos.

Protocolos de autenticación del correo electrónico para evitar ataques de suplantación de identidad

  1. Marco de Políticas de Remitentes (SPF)
    Una buena manera de empezar es desplegando el SPF. Sender Policy Framework, que se basa en el DNS de su nombre de dominio, puede certificar que la IP utilizada para enviar un correo electrónico tiene derecho a hacerlo. Impide el uso fraudulento de su nombre de dominio y evita que terceros se hagan pasar por usted. El protocolo SPF es especialmente eficaz contra los ataques de phishing y spoofing porque suelen aprovecharse de estos errores. Si un servidor de correo declara que ha sido enviado por un servidor de correo cuya dirección IP puede atribuirse a su dominio, en general los sistemas operativos comprobarán dos veces antes de entregar un correo electrónico. De este modo, los servidores de correo que no respetan el SPF son ignorados con éxito. En pocas palabras, el "Protocolo SPF" permite al propietario de un dominio (por ejemplo, [email protected]) enviar una autorización a su autoridad DNS.

  2. Correo Identificado con Clave de Dominio (DKIM)
    DomainKeys Identified Mail, o DKIM, es un sistema de autenticación de correo electrónico que utiliza firmas digitales para verificar el origen y el contenido de un mensaje. Se trata de un conjunto de técnicas criptográficas para verificar el origen y el contenido de los mensajes de correo electrónico con el fin de reducir el spam, el phishing y otras formas de correo electrónico malicioso. En concreto, utiliza claves de cifrado privadas compartidas para autenticar al remitente de un determinado mensaje (el aspecto clave aquí es que sólo el destinatario previsto debe estar en posesión de esta clave privada), garantizando que el correo electrónico no pueda ser "suplantado", o representado falsamente por impostores. También permite a un destinatario autorizado detectar cualquier cambio realizado en un mensaje después de su envío; si la organización responsable de validar estas firmas detecta corrupción de datos en un correo electrónico, puede simplemente rechazarlo como falso y notificar a su remitente como tal.

  3. Autenticación, notificación y conformidad de mensajes basada en el dominio (DMARC)
    DMARC existe por varias razones. En primer lugar, DMARC le proporciona una forma de indicar a los servidores de correo qué mensajes son legítimos y cuáles no. En segundo lugar, DMARC le proporciona informes sobre el grado de protección de su dominio frente a los ataques. En tercer lugar, DMARC ayuda a proteger su marca de ser asociada con mensajes que podrían dañar su reputación. DMARC proporciona más protección contra el phishing y la suplantación de identidad, ya que verifica que un mensaje de correo electrónico se ha originado realmente en el dominio del que dice proceder. DMARC también permite a su organización solicitar informes sobre los mensajes que recibe. Estos informes pueden ayudarle a investigar posibles problemas de seguridad y a identificar posibles amenazas, como la infección por malware o los ataques de phishing dirigidos a su organización.

¿Cómo puede PowerDMARC ayudarle a proteger su dominio contra los ataques de phishing y spoofing?

La suite de autenticación de seguridad del correo electrónico de PowerDMARC no sólo le ayuda a incorporar sin problemas sus protocolos SPF, DKIM y DMARC, sino que le proporciona muchas más ventajas adicionales, entre ellas

  • Aplanamiento SPF para garantizar que su registro SPF siga siendo válido y esté por debajo del límite duro de 10 búsquedas de SPF
  • BIMI para la identificación visual de los correos electrónicos de su empresa. BIMI garantiza que los correos electrónicos que llegan a sus clientes contienen el logotipo de su marca que puede ser detectado por ellos incluso antes de que abran el mensaje
  • MTA-STS para cifrar sus correos electrónicos en tránsito

Para disfrutar de DMARC gratuitosólo tiene que registrarse y crear una cuenta PowerDMARC sin ningún coste adicional. ¡Comience su viaje de autenticación de correo electrónico con nosotros para una experiencia de correo electrónico más segura!

El spoofing es uno de los tipos de ataques más universales hoy en día. A los estafadores les encanta apoderarse de nombres y direcciones de correo electrónico en una red de correo electrónico (por ejemplo, Hotmail, Gmail) para enviar miles de correos electrónicos falsos que parecen enviados por alguien conocido, como el director general o un ejecutivo de otra empresa de su sector.

No permita que los ladrones de identidad suplanten su dirección de correo electrónico. Aprenda a protegerse de la suplantación de direcciones de correo electrónico y por qué debería preocuparse por esta grave amenaza a la seguridad de la información. ¡Vamos a ello!

Correos electrónicos falsos: ¿Qué son?

La falsificación de correos electrónicos no es algo nuevo, pero tampoco parece que vaya a desaparecer pronto. En algunos casos, el avance de la tecnología realmente ayuda a los estafadores a hacer trampa. Hay muchas razones por las que un correo electrónico puede considerarse falsificado. El escenario más común es cuando un atacante secuestra un servidor genuino y lo utiliza para enviar correos electrónicos falsos. El método más común para enviar correos electrónicos es explotando un servidor SMTP vulnerable. Una vez que han comprometido el servidor SMTP, pueden enviar correos electrónicos falsos a cualquier persona.

La suplantación de identidad es un problema grave que no hace más que empeorar. Las implicaciones de la suplantación de identidad pueden ser de gran alcance y perjudiciales para las grandes marcas, pero la reciente avalancha de suplantación de identidad ya había causado pánico entre los usuarios. Al proporcionar una guía sobre cómo evitar la suplantación de identidad por correo electrónico, estás ayudando a tus usuarios (y a ti mismo) a deshacerse de esta amenaza, y estableciendo las mejores prácticas para los que están en tu lista de soporte técnico.

¿Cómo pueden perjudicarle los correos electrónicos falsos?

¿Recuerda la última vez que hizo clic en un enlace de un correo electrónico que decía ser de una empresa en la que confiaba? Probablemente te encontraste en un sitio web que nunca habías visitado antes porque el remitente te indicó que hicieras clic en un enlace. ¿Cómo supo que esa nueva dirección no era un nefasto intento de espiar sus datos personales? La respuesta es sencilla: Las empresas legítimas nunca pedirán información privada como nombres de usuario, contraseñas y números de tarjetas de crédito por correo electrónico.

Sin embargo, si una fuente fraudulenta falsifica su dirección para enviar esos mensajes maliciosos a sus clientes, tenga por seguro que perjudicará a su negocio. La credibilidad y la reputación que tanto le ha costado construir sufrirán los golpes de tales ataques, y sus clientes dudarían antes de abrir sus correos electrónicos de marketing legítimos.

¿Cómo impedir que se envíen continuamente correos electrónicos falsos desde mi dirección de correo electrónico?

Haga que los protocolos de autentificación del correo electrónico formen parte de su suite de correo electrónico.

  1. SPF: Uno de los fundamentos de la autenticación del correo electrónico que le ayudará a evitar la falsificación de correos electrónicos es el SPF. Aunque configurarlo no supone ningún esfuerzo, mantenerlo es un reto. A menudo se corre el riesgo de superar el límite de 10 búsquedas de DNS, lo que hace que los correos electrónicos no se autentiquen a pesar de su autenticidad demostrada. Le ofrecemos una solución rápida para evitar este problema con nuestra herramienta de aplanamiento SPF dinámico.Cree un registro SPF hoy mismo de forma gratuita, con nuestro Generador de registros SPF.
  2. DKIM: DKIM es un método para firmar todos los mensajes salientes para ayudar a prevenir la suplantación del correo electrónico. La suplantación de identidad es un uso no autorizado del correo electrónico, por lo que algunos servidores de correo electrónico requieren DKIM para evitar la suplantación de identidad. Con su uso, todo su correo saliente será autenticado con una firma digital que permite a los servidores de correo saber que realmente proviene de usted.
  3. DMARC: DMARC es un estándar de autenticación de correo electrónico para ayudar a las organizaciones a protegerse de los ataques de suplantación y phishing que utilizan el correo electrónico para engañar al destinatario para que realice alguna acción. DMARC funciona como una capa sobre SPF y DKIM para ayudar a los receptores de correo electrónico a reconocer cuando un correo electrónico no proviene de los dominios aprobados de una empresa, y proporcionar instrucciones sobre cómo eliminar de forma segura el correo electrónico no autorizado.

Si quiere empezar a construir sus defensas contra el spoofing, le recomendamos que haga una prueba de nuestro analizador de informes DMARC. Le ayudará a incorporar los protocolos a la velocidad más rápida del mercado, a estar al tanto de los errores y a supervisar sus dominios fácilmente en un panel de control DMARC polivalente.

El límite de búsquedas nulas de SPF especificado en la RFC es actualmente de 2. Puede encontrar esta especificación en la RFC 7208 (sección 11.1) que pone un límite al número de búsquedas nulas de SPF permitidas por comprobación de SPF. Si está aquí leyendo este artículo, lo más probable es que se haya encontrado con el siguiente mensaje de error mientras manejaba el protocolo o revisaba los datos del informe DMARC de sus correos electrónicos:

PermError Error permanente del SPF: Se ha superado el límite de búsqueda de vacíos de 2

Para entenderlo mejor, hablemos de lo que son las búsquedas de vacíos SPF:

¿Qué es una búsqueda de vacíos en el FPS?

Cuando una búsqueda de DNS devuelve una respuesta nula o no válida al realizar una comprobación de autenticación SPF, se denomina búsqueda nula SPF. No se debe confundir con el límite de 10 búsquedas DNS, las búsquedas nulas SPF son una categoría distinta de respuesta de error que se puede encontrar al manejar SPF, en conjunto.

¿Por qué ocurre esto? Si su registro SPF contiene un mecanismo de inclusión que hace referencia a un dominio o dirección IP errónea o maliciosa, que cuando se busca puede devolver una respuesta vacía o nula (NOERROR sin respuestas, o NXDOMAIN). La RFC recomienda la limitación de las búsquedas nulas de SPF como éstas a un máximo de 2 para evitar que los registros SPF erróneos se conviertan en factores que contribuyan al inicio de ataques de denegación de servicio.

Sin embargo, si se excede el límite de búsqueda nula de SPF, se producirá un SPF PermError, lo que provocará un fallo de SPF y, por tanto, la posibilidad de que sus correos electrónicos no se entreguen.

¿Cómo se puede eludir el límite de búsquedas nulas del SPF?

Hay varios métodos y prácticas infalibles que puede aplicar para asegurarse de no superar el límite de búsqueda de vacíos SPF de 2.

  1. Manténgase al día sobre las direcciones IP y los mecanismos de sus fuentes de envío de correo electrónico y de terceros proveedores para asegurarse de que no tiene ninguna inclusión redundante o errónea en su registro para ellos.
  2. Cambiar a aplanamiento SPF con PowerSPF para mantener su registro optimizado y actualizado con un solo clic, sin necesidad de supervisión constante ni de actualizaciones manuales.

Espero que este artículo le haya ayudado a comprender mejor el límite de búsqueda de vacíos SPF y cómo afecta a su flujo de correo electrónico y a los resultados de autenticación. Para obtener una protección avanzada contra el spoofing, considere la posibilidad de implementar DMARC para sus dominios de forma gratuita.

¿Tiene un límite la longitud de su registro SPF? Respuesta corta, sí. El límite de su registro SPF es una cadena de 255 caracteres que se excede, lo que puede romper el SPF y llevar a un fallo de autenticación. Si se ha encontrado con el mensaje "SPF excede el límite máximo de caracteres", eso simplemente implica que el registro SPF en su DNS es más largo que el límite de cadena de caracteres especificado por RFC(RFC 7208). Esto puede ser un problema, especialmente si la entrega de sus correos electrónicos depende en gran medida de la alineación SPF.

¿Ya tiene un registro SPF? Compruebe su validez con nuestro comprobador de SPF.

Optimizar el FPS para no superar el límite de longitud del FPS

  1. Evite utilizar el mecanismo ptr en su registro. Esto se debe a que actualmente no se admite según las directrices RFC para SPF y aumenta aún más el número de caracteres en su cadena SPF
  2. Si quiere saltarse el límite de 255 caracteres para SPF para evitar el mensaje de error sin fallar en SPF, la RFC permite el uso de múltiples cadenas para un único registro DNS SPF. Sin embargo, estas cadenas deben estar conectadas entre sí sin ningún espacio entre ellas para que su registro sea válido. Asegúrese de que es una línea continua y no está dividida en varias líneas, ya que cada línea se trata como un registro independiente. Si hay varios registros para un mismo dominio, el SPF no funcionará.
  3. Asegúrese de eliminar los mecanismos redundantes, repetidos y NULL dentro de su registro SPF, que también se suman al límite de caracteres. Esto garantiza que su registro sea corto, nítido y válido.
  4. Puede utilizar nuestro aplanamiento SPF para optimizar su registro automáticamente y que nunca supere el límite de longitud de registro SPF de 255 caracteres

¿Qué ocurre cuando se supera el límite de caracteres de la cadena SPF?

Si excede el límite de 255 caracteres para SPF, sus correos electrónicos fallarán la autenticación en el lado del receptor, ya que el registro en su DNS se considerará inválido. Dependiendo de su política y modo de alineación, sus correos electrónicos pueden perderse en tránsito y nunca llegar a ser entregados a sus destinatarios. Se recomienda que configure un analizador de informes DMARC para su dominio para obtener informes sobre la autenticación SPF fallida. Con los informes activados en estos escenarios, recibirá un mensaje de error del tipo "SPF excede el límite máximo de caracteres" o su DNS se comunicará con BIND para mostrar el mensaje "formato de rdata no válido: se ha agotado el espacio". Cualquiera de ellos implica simplemente que ha superado el límite de registros SPF. 

Restricción del límite de registros SPF con PowerSPF

 

PowerSPF es su solución única para todos los problemas relacionados con el SPF. Tanto si se trata de mantenerse por debajo del límite de búsqueda de 10, como de restringir la longitud de su registro al límite especificado, PowerSPF lo hace todo de forma instantánea y sencilla.

Optimizar sus registros DNS para disfrutar de una implementación sin errores es una posibilidad con la suite de seguridad de correo electrónico de PowerDMARC. Suscríbase a una prueba de DMARC para disfrutar de un SPF optimizado con un solo clic que nunca supera el límite de 255 caracteres del SPF.