Puestos

DMARC La delegación de subdominios puede ayudar a los propietarios de dominios a delegar subdominios o un dominio de nivel superior a un tercero de manera que cumpla con DMARC. Esto puede ayudar a que el nombre de dominio del propietario se refleje en la dirección Mail From: del remitente.

Cuando se delegan subdominios a un proveedor de DNS externo, la organización delegada se hace responsable de todas las solicitudes de DNS relacionadas con esos subdominios. La organización delegada también tiene acceso a los registros MX y a los registros TXT del subdominio, aunque no puede ver estas configuraciones a menos que esté configurada específicamente para ello.

¿Qué es la delegación de zonas DNS?

La delegación de DNS es el proceso por el cual un servidor DNS autoriza a otro servidor DNS a realizar acciones autoritativas en nombre de ese servidor. Esto permite un uso más eficiente de los recursos, especialmente cuando se trata de despliegues a gran escala.

Por ejemplo, si su empresa tiene cientos de servidores en muchos sitios diferentes, puede querer delegar la autoridad sobre esos servidores para que sólo un servidor sea responsable de todos los registros de una zona. Esto significa que si un sitio se cae, los otros sitios seguirán siendo capaces de resolver sus servidores de nombres y acceder a sus datos sin problemas.

¿Por qué es importante o beneficiosa la delegación de zona?

La delegación de zonas DNS es una parte importante de su infraestructura DNS.

La zona DNS, o dominio, es una colección de uno o más servidores DNS que son autoritativos para un determinado dominio. Cuando se tiene un único servidor DNS, se le llama servidor DNS primario. Si tienes varios servidores DNS, se llaman servidores secundarios.

La delegación de zona permite designar uno o más servidores de nombres como servidores secundarios para la zona. El objetivo principal de la delegación de zonas, como señala acertadamente Microsoft en su Documento sobre la delegación de zonases crear redundancia en su entorno DNS y permitirle añadir nuevos servidores de nombres o cambiar su configuración sin perturbar el resto de su red.

¿Qué es la delegación de subdominios?

La delegación de subdominio es una buena forma de delegar el control de tu dominio a otra persona o entidad. También se conoce como transferencia de subdominio, gestión de subdominio y proxy de subdominio, y se puede utilizar para muchos propósitos diferentes.

¿Qué significa para usted la delegación de subdominios?

Cuando delegas tu dominio, básicamente estás dando permiso a otra persona para que gestione tu dominio en tu nombre. Esto significa que la persona que reciba tu dominio podrá hacer lo que quiera con él, ya sea añadir dominios adicionales, cambiar la configuración de los DNS o incluso eliminarlo por completo. Depende de ellos.

¿Cómo funciona la delegación de subdominios?

Los subdominios son como los dominios normales: tienen nombres y una dirección IP. La diferencia entre un dominio y un subdominio es que los subdominios están bajo otro nombre de dominio (como "ejemplo.com"). Para utilizarlos eficazmente, se necesitan tres cosas: un nombre de host que coincida con el nombre de dominio original, una dirección IP que coincida con la que se asignó cuando se creó el dominio original (que puede ser o no la misma que la actual) y los derechos de acceso otorgados por quien lo controla. 

¿La delegación de subdominios DMARC le facilita la vida?

Hay varias razones por las que puede querer delegar sus subdominios a un proveedor externo. A continuación se indican algunas de ellas: 

  • Quiere que la identidad y el nombre de su dominio se reflejen en los correos electrónicos que sus terceros envían a través de sus servidores de nombres
  • Sus correos electrónicos serán compatibles con DMARC, ya que parecerán proceder de su dominio, y como tendrá el control total del subdominio, podrá realizar cambios de DNS a voluntad
  • Todos los correos electrónicos procedentes de servidores de nombres con sus subdominios delegados pasarán SPF y por tanto DMARC
  • Esto garantizará una entrega de correo electrónico fluida e ininterrumpida 

¿Cómo delegar un subdominio en un proveedor externo?

Nota: Para la delegación de subdominios, necesitará tener un subdominio registrado con su actual proveedor de DNS y la información del servidor de nombres del tercero.

  • Acceda al panel de control de su registrador de DNS 
  • En su archivo de zona DNS, cree un nuevo registro NS (servidor de nombres) 
  • Introduzca el nombre de su subdominio en el campo Nombre, la información de su servidor de nombres seguida de un punto (.) en el campo Valor, y un TTL de 1800 o 3600 
  • Guarde los cambios en su registro y espere a que su DNS actualice los cambios

Puede seguir el mismo procedimiento para delegar el subdominio en todos los servidores de nombres de su proveedor externo. 

Por último, para terminar el proceso de delegación de subdominios, tienes que añadir tu subdominio al archivo de zona DNS de tu proveedor externo, y ya está. 

El cumplimiento de DMARC y sus terceros 

Hacer que sus terceros cumplan con el DMARC es una buena manera de asegurarse de que no obtiene falsos negativos. A menudo, un correo electrónico legítimo no se entrega en el lado del receptor y se marca como spam debido a una alineación de origen de terceros mal configurada para el protocolo DMARC. 

Hemos cubierto un blog entero sobre cómo hacer que sus proveedores externos cumplan con DMARC.

Para más información, póngase en contacto con nosotros hoy mismo y reserve una consulta gratuita con un experto en DMARC.

La rotación de claves DKIM es el proceso de actualización de sus claves DKIM. Debe rotar sus claves periódicamente; el período exacto no es importante, pero el proceso en sí lo es. ¿Por qué debería hacerlo? La rotación de claves se refiere a la creación de nuevas claves y a la actualización de los registros DNS con esas nuevas claves. El objetivo de la rotación de las claves DKIM es similar a la razón por la que cambia sus contraseñas periódicamente: es una medida de seguridad que ayuda a evitar que los atacantes se hagan pasar por su dominio y envíen correos electrónicos de spam o phishing.

Veamos por qué se utilizan las claves DKIM en primer lugar.

¿Por qué se utilizan las claves DKIM?

DKIM son las siglas de DomainKeys Identified Mail. Es una forma de añadir una capa adicional de seguridad a tu servidor de correo electrónico para que tus mensajes no sean marcados como spam y acaben en las carpetas de correo basura. La mejor manera de pensar en DKIM es como un identificador encriptado que se adjunta a sus mensajes para que los destinatarios puedan verificar que el mensaje fue realmente enviado por usted, la persona que dice provenir. Este identificador, o clave, es lo que les permite verificarlo.

¿Cómo funciona DKIM?

DKIM funciona añadiendo este identificador a cada correo electrónico que se envía. Cuando alguien recibe uno de estos correos, puede comprobar la cabecera o el pie del mensaje y encontrar una cadena de números y letras, que es el identificador cifrado o la clave DKIM. Antes de enviar un correo electrónico a su destinatario, el servidor de correo electrónico del remitente firma cada correo con una firma digital, que luego es validada por el servidor de correo electrónico receptor. Este proceso demuestra que el correo electrónico no ha sido manipulado ni alterado de ninguna manera. 

Cuando envías tu correo electrónico, la firma se adjunta como cabecera al final del mensaje. Los servidores receptores utilizan claves públicas (proporcionadas por los propietarios de los dominios a través de los registros DNS) para descifrar y verificar estas firmas.

¿Por qué es importante la rotación de claves DKIM para la seguridad de su dominio?

La rotación de claves DKIM se produce cuando se empieza a utilizar un nuevo par de claves privadas/públicas para firmar y autenticar el mensaje, y luego se deja de utilizar el par de claves privadas/públicas antiguo.

¿Por qué es importante? Bueno, si alguien consiguiera acceder a tu clave privada, podría utilizarla para enviar correos electrónicos fraudulentos que parezcan proceder de ti. Para evitar este tipo de actividad maliciosa, es una buena práctica rotar tus claves cada pocos meses.

Para entender mejor la importancia de la rotación de claves DKIM, veamos este ejemplo: 

Supongamos que envías una campaña de correo electrónico para una venta navideña en tu tienda. Utilizas tus claves DKIM para firmar tus correos electrónicos, pero si envías suficientes correos electrónicos utilizando el mismo par de claves a lo largo del tiempo, los malos actores pueden llegar a interceptar y descifrar uno de ellos, ya que cada mensaje utiliza el mismo algoritmo de hash criptográfico. Una vez que tienen tu clave pública, pueden empezar a firmar sus correos electrónicos de phishing con ella sin que lo sepas. Por eso la rotación periódica de la clave DKIM es crucial para la seguridad de tu dominio.

¿Cómo puede rotar sus claves DKIM?

1. Rotación manual de la clave DKIM

Puede rotar manualmente sus claves DKIM de vez en cuando creando nuevas claves para su dominio. Para ello, siga estos pasos: 

  • Diríjase a nuestro generador gratuito de registros generador de registros DKIM herramienta
  • Introduzca la información de su dominio e introduzca el selector DKIM que desee 
  • Pulse el botón "Generar". 
  • Copie su nuevo par de claves DKIM 
  • La clave pública se publicará en su DNS, sustituyendo su registro anterior
  • La clave privada debe ser compartida con su ESP (si está subcontratando sus correos electrónicos) o cargada en su servidor de correo electrónico (si maneja la transferencia de correo electrónico en sus instalaciones) 

2. Delegación de la clave DKIM del subdominio

Los propietarios de dominios pueden externalizar la rotación de claves DKIM permitiendo que un tercero se encargue de ello por ellos. Esto es cuando el propietario del dominio delega un subdominio dedicado a un proveedor de correo electrónico y le pide que genere un par de claves DKIM en su nombre. Esto permite a los propietarios evadir la molestia de la rotación de la clave DKIM externalizando la responsabilidad a un tercero. 

Sin embargo, esto puede causar problemas de anulación de políticas con las entradas DMARC. Se recomienda que las claves rotadas sean supervisadas y revisadas por los controladores de dominio para garantizar un despliegue fluido y sin errores. 

3. Delegación de clave DKIM CNAME

CNAME significa nombre canónico, y son registros DNS que se utilizan para apuntar a los datos de un dominio externo. La delegación CNAME permite a los propietarios de dominios apuntar a la información del registro DKIM que mantiene cualquier tercero externo. Esto es similar a la delegación de subdominios, ya que el propietario del dominio sólo tiene que publicar algunos registros CNAME en sus DNS, mientras que la infraestructura DKIM y la rotación de claves DKIM son gestionadas por el tercero al que apunta el registro. 

Por ejemplo, 

"dominio.com" es el dominio desde el que se van a firmar los correos electrónicos de origen, y "tercero.com" es el proveedor que se encargará del proceso de firma. 

s1._dominio.dominio.com CNAME s1.dominio.com.terceros.com

El mencionado registro CNAME debe publicarse en el DNS del propietario del dominio. 

Ahora, s1.domain.com.third-party.com ya tiene un registro DKIM publicado en su DNS que puede ser s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."

Esta información se utilizará para firmar los correos electrónicos procedentes de domain.com. 

Nota: Es necesario publicar varios registros DKIM (recomendado: al menos 3 registros CNAME) con diferentes selectores en su DNS para permitir la rotación de claves DKIM. Esto permitirá a su proveedor cambiar de clave mientras firma y le proporcionará opciones alternativas.

4. Rotación automática de la clave DKIM

La mayoría de los proveedores de correo electrónico y los proveedores de servicios de correo electrónico de terceros permiten la rotación automática de la clave DKIM para los clientes. Por ejemplo, si utiliza Office 365 para enrutar sus correos electrónicos, le alegrará saber que Microsoft admite la rotación automática de claves DKIM para sus usuarios de Office 365. 

Hemos cubierto un documento completo sobre cómo habilitar la rotación de claves DKIM para sus correos electrónicos de Office 365 en nuestra base de conocimientos. 

Ventajas de rotar automáticamente sus claves DKIM

  • No tiene que hacer nada por su parte si su proveedor permite la rotación automática de las claves DKIM. Todo es gestionado por ellos. 
  • Las configuraciones manuales son propensas a los errores humanos.
  • La rotación automática de las llaves es rápida y eficaz, y no requiere ninguna interferencia por su parte. 
  • El sistema de gestión de DKIM está completamente externalizado y gestionado por un tercero.

Implementación de una estrategia de rotación de claves DKIM

Lo llamamos las "3 Ds de la rotación de claves DKIM":

  • Discuta 
  • Decidir
  • Despliegue 

Esto resume una estrategia eficaz de rotación de claves DKIM para sus dominios. Cuando utilice un servicio de terceros para sus correos electrónicos y su proveedor se encargue de la rotación, asegúrese de mantener una conversación abierta y transparente sobre cuándo y con qué frecuencia desea rotar sus claves. Deberías tener voz y voto en lo que respecta a los plazos, así como al tamaño que quieres utilizar para tu clave de selección (si quieres utilizar 1024 bits o 2048 bits para mayor seguridad). 

Una vez pasada la fase de discusión, usted y su proveedor deben decidir mutuamente cuál es su estrategia y finalmente proceder a desplegarla.