DMARC sin DKIM

La respuesta es sí, puede configurar DMARC sin DKIM.

Pero, ¿es una buena idea hacerlo?

Este artículo explora esta cuestión. Y analiza las consecuencias de configurar DMARC sin DKIM.

Comprensión de las normas de autenticación DMARC

DMARC es un protocolo que permite autenticar los mensajes de correo electrónico de su dominio. Utiliza un conjunto de reglas para determinar si un mensaje de correo electrónico es legítimo o no.

SPF y DKIM son otros dos protocolos que se utilizan con fines de autenticación en el contexto de DMARC.

SPF es un acrónimo de Sender Policy Framework (marco de políticas del remitente), que especifica cómo los proveedores de correo pueden verificar la identidad de los remitentes y bloquear los mensajes de spam.

DKIM es un acrónimo de DomainKeys Identified Mail (Correo Identificado por Claves de Dominio). Funciona encriptando el mensaje en el momento en que se envía, y luego utilizando criptografía de clave pública para firmarlo de nuevo cuando llega a su servidor de destino.

DMARC, SPF y DKIM - cuando se combinan, forman tres pilares de la autenticación del correo electrónico. Garantizan que sus correos electrónicos no sean falsificados, manipulados o pirateados por terceros.

Algoritmo de evaluación DMARC 

El algoritmo de evaluación DMARC es un valor booleano que tiene en cuenta los resultados de autenticación de SPF y DKIM. Después determina si acepta o no un mensaje de correo electrónico como legítimo.

El resultado depende de dos posibles resultados:

1. Pasa: El correo electrónico pasa la autenticación SPF y DKIM O sólo una de ellas. Por lo tanto, se considera que está limpio. Y por tanto es aceptado por el servidor receptor.

Para poner el algoritmo de autentificación "pass" en ecuaciones simples:

Pase de autenticación DMARC = registro SPF con una alineación válida del identificador SPF + registro DKIM con una alineación válida del identificador DKIM

O (cuando falta DKIM)

Pase de autenticación DMARC = registro SPF con una alineación válida del identificador SPF

O (cuando falta el FPS)

Pase de autenticación DMARC = registro DKIM con una alineación válida del identificador DKIM

2. Fallo: El mensaje no ha superado las comprobaciones de autenticación SPF y DKIM, lo que indica que está malformado o tiene contenido malicioso.

¿Puedo configurar DMARC sin DKIM?

DMARC pasa en los tres escenarios siguientes:

  1. tanto el SPF como el DKIM son válidos
  2. SPF válido sin DKIM está ahí
  3. DKIM válido sin SPF está ahí

Así que sí, puede configurar DMARC sin DKIM.

DMARC se basa en SPF y DKIM a efectos de autenticación, pero son tecnologías ortogonales.

En un sentido general, SPF es un mecanismo de "autorización de ruta", lo que significa que permite a una IP enviar mensajes en nombre de un determinado dominio. DKIM, por otro lado, es un mecanismo de "integridad del contenido", lo que significa que garantiza que lo que se envía no cambia cuando llega al servidor.

Esto significa que no dependen unos de otros para su eficacia; pueden utilizarse en paralelo o incluso de forma independiente.

Sin embargo, se recomienda utilizar tanto SPF como DKIM junto con DMARC, ya que trabajan juntos para proporcionar capacidades de autenticación DMARC más robustas. DMARC sin DKIM, aunque es posible, no es una práctica recomendada. 

¿Cómo tratan los clientes de correo electrónico los mensajes sin DKIM?

La mayoría de los clientes de correo electrónico tratan los correos electrónicos que no tienen DKIM como spam.

En algunos casos, esto puede dar lugar a que el mensaje sea marcado por el servidor de correo electrónico del destinatario y se marque como spam.

Algunos proveedores de servicios de correo electrónico también pueden mostrar sus mensajes a los destinatarios como procedentes de un dominio diferente al que usted pretendía.

Por ejemplo, en Outlook y Gmail, su correo electrónico sin DKIM aparecerá en la bandeja de entrada del destinatario con la dirección FROM correcta pero siendo "enviado por" o "a través de" otra persona.

Esto puede confundir a los destinatarios e incluso hacerles creer que otra persona les ha enviado el mensaje en lugar de usted.

Ejemplo 1 (Outlook)

Fig.1 Sin DKIM: Outlook muestra la dirección "enviado por" en la bandeja de entrada del destinatario.

Figura 2 Con DKIM: Outlook sólo muestra la dirección FROM.

Ejemplo #2 (Gmail)

Fig.3 Sin DKIM: Gmail muestra la dirección "vía" en la bandeja de entrada del destinatario.

Figura 4 Con DKIM: Gmail sólo muestra la dirección FROM.

Sin embargo, si el DKIM está presente en su correo electrónico, no es probable que se produzcan los problemas mencionados anteriormente. El servidor remitente ya no aparece en la pantalla del cliente, por lo que hay menos posibilidades de que vaya a parar a las carpetas de spam o basura. Y la única información que tienen es la dirección FROM, lo que supone un alto factor de confianza para las empresas remitentes que buscan clientes mediante estrategias de marketing por correo electrónico.

Consecuencias de configurar DMARC con y DMARC sin DKIM

La configuración de DMARC con DKIM puede ayudar a evitar que sus mensajes de correo electrónico sean marcados por los filtros de spam y bloqueados.

Sin embargo, la configuración de DMARC sin DKIM puede dar lugar a un aumento de los falsos positivos, así como a retrasos cuando un destinatario intenta verificar la dirección de correo electrónico del remitente.

En esta sección, veremos algunas de las posibles consecuencias de configurar DMARC con y DMARC sin DKIM.

1. Al verificar la confianza del correo electrónico

Con el enfoque basado únicamente en SPF, la protección DMARC se limitaría a las direcciones invisibles del "remitente del sobre" (MAIL FROM o Return-path). Estas se utilizan para recibir los rebotes (informes de no entrega) de los remitentes.

Sin embargo, cuando DKIM se combina con SPF, la protección DMARC se habilita para la dirección "header From:" así como para aquellas direcciones que son visibles para los destinatarios. De este modo, se proporciona una mayor sensación de confianza en el correo electrónico que utilizando DMARC con SPF solamente.

2. Al reenviar correos electrónicos

La autenticación SPF funciona enviando un correo electrónico que contiene su registro SPF (la dirección IP del servidor desde el que desea enviar correos electrónicos) a otro servidor. El otro servidor entonces autentifica si esta dirección IP está registrada con ellos o no y regresa con su propio registro SPF; si no tienen uno, rechazan la solicitud.

Ahora bien, en el caso del reenvío de correo electrónico, la autenticación SPF puede fallar porque no hay garantías de que la dirección IP del servidor intermedio esté en la lista SPF del dominio remitente. Como resultado de esto, un correo electrónico legítimo sin una firma DKIM fallará en la autenticación DMARC, dando lugar a un falso negativo.

Si se hubiera configurado DKIM en este dominio, no se habría producido el falso negativo.

¿Pero por qué?

La firma DKIM (d=) se adjunta al cuerpo del correo electrónico, mientras que la SPF se adjunta a la cabecera "Return-Path".

En el caso del reenvío de correo electrónico, el cuerpo del correo electrónico no se toca ni se modifica, por lo que la firma DKIM (d=) contenida en el cuerpo del correo electrónico permanece intacta. Esto significa que la identidad del remitente puede ser verificada con el par de claves públicas y privadas incluidas en el cuerpo del correo electrónico y la autenticación DMARC es aprobada.

En cambio, el SPF se adjunta a la cabecera "Return-Path", que cambia en caso de reenvío de correo electrónico. Por tanto, su validez no se verifica, lo que da lugar a un falso negativo.

Para concluir, la autenticación SPF falla debido al reenvío de correo electrónico, pero DKIM sobrevive al reenvío de correo electrónico porque se adjunta al cuerpo del correo electrónico. Por lo tanto, es importante configurar DMARC con DKIM también.

3. Al actualizar la dirección IP

Cuando envías un correo electrónico, el servidor receptor comprueba la cabecera del correo para ver si ha sido manipulada. Si lo ha sido, el servidor receptor rechaza tu mensaje y te envía una notificación.

Aquí es donde entra en juego el SPF. El SPF comprueba que su dirección IP figura como válida en el registro SPF del servidor de envío (en otras palabras, que no hay direcciones IP falsas).

Si su dirección IP cambia, su registro SPF debe actualizarse con la nueva dirección. El tiempo que se tarda en hacerlo depende de la frecuencia con la que cambie su dirección IP; en la mayoría de los casos, el nuevo registro SPF tarda hasta 48 horas en entrar en vigor.

Entonces, ¿qué ocurrirá si su proveedor de correo electrónico añade una nueva IP a su rango? En este caso, la entrega de su correo electrónico puede retrasarse debido al tiempo de propagación de la actualización del registro SPF.

Sin embargo, una vez que tenga configurados tanto DKIM como SPF, puede sortear este problema utilizando la firma criptográfica de DKIM para demostrar que el servidor de correo en [email protected] estaba autorizado a enviarlo.

Esto significa que incluso si su rango de IP cambia, DKIM podrá verificar que los correos electrónicos procedentes de determinados dominios son auténticos y legítimos.

Uso de DMARC sin DKIM: los posibles escenarios de OK/FAIL

Cuando se utilizan los mecanismos DKIM y SPF, se emplean dos herramientas diferentes para lograr el mismo objetivo: evitar la suplantación de identidad.

Ambos funcionan de forma independiente, pero también pueden fallar de forma independiente. Por ejemplo, SPF puede fallar independientemente de DKIM, y DKIM puede fallar independientemente de SPF.

Estos son los cuatro posibles escenarios de OK/FAIL de la configuración de DMARC con o sin DKIM:

 

Escenario Significado Estado de entrega del correo electrónico
SPF ok, DKIM ok Garantiza que los correos electrónicos se envían desde una fuente legítima. El servidor está autorizado a enviar correo porque tiene un registro SPF válido y una firma DKIM válida. Entregado en la bandeja de entrada
SPF correcto, DKIM falla Significa que el correo es entregado por un servidor autorizado, pero la validación de su firma DKIM falla. Entregado en la carpeta de spam o basura
El SPF falla, el DKIM está bien Significa que la firma DKIM del correo es válida, pero el servidor remitente no tiene autorización para entregar el correo. Entregado en la carpeta de spam o basura
SPF falla, DKIM falla Si tanto el SPF como el DKIM fallan, el correo electrónico se considera falsificado y será rechazado por cualquier servidor de correo habilitado para DMARC del destinatario. No entregado / Rechazado

La implementación completa de DMARC es la necesidad del momento.

SPF y DKIM son los mecanismos de protección de correo electrónico más comunes utilizados para implementar un registro DMARC adecuado para evitar la falsificación de correo electrónico. Cuando se aplica una implementación adecuada de DMARC a su infraestructura de correo electrónico existente, sus mensajes de correo electrónico se entregan según lo previsto. Esto significa menos quejas por spam, menos falsos positivos en las listas negras y mejores estadísticas de entrega para todos sus suscriptores.

PowerDMARC ofrece una completa DMARC con DKIM, SPF y políticas DMARC creadas para su dominio. De este modo, le ayuda a conseguir resultados más fiables de sus correos electrónicos.

Generar registro DKIM en línea o tome su prueba gratuita de DMARC para obtener una solución completa para el complejo y siempre cambiante mundo de la seguridad del correo electrónico.

Últimas publicaciones de Ahona Rudra (ver todas)