SPF, DKIM y DMARC: ¿Qué son, para qué sirven y cómo se configuran?
Índice
SPF, DKIM y DMARC son los parámetros principales que necesitas agregar al sistema de nombres de dominio (DNS) antes de lanzar tu campaña de email marketing. Si no, te arriesgas a que tus correos terminen en spam o que nunca lleguen a tus clientes.
Los registros SPF y DKIM impiden que los estafadores usan cuentas para mandar correos electrónicos maliciosos, mientras que DMARC es una armadura adicional a la protección de dominio.
Desde febrero de 2024, los proveedores Gmail y Yahoo han restringido las reglas para los remitentes, por lo que ahora es obligatorio verificar su identidad utilizando SPF, DKIM y DMARC. En este artículo vamos a ver qué es cada uno de estos protocolos y de qué manera se pueden configurar y verificarlos.
Qué significan todas estas siglas
Los protocolos SPF y DKIM son registros de DNS (Sistema de Nombres de Dominio o Domain Name System en inglés), que le hacen saber a las plataformas proveedoras de correo electrónico como Gmail, Hotmail, Yahoo, etc. que los mensajes vienen de un remitente seguro. Así, aumenta el porcentaje de mails recibidos por los clientes.
Para visualizarlo, imagínate que el DNS es una guía telefónica, donde los servidores de destinatario pueden comprobar toda la información necesaria sobre el remitente de correo. Al ver que el sender es de fiar, el sistema de seguridad del servidor le permite a su mail caer en el buzón del destinatario. Otros consejos para que los envíos no caigan en spam los puedes leer aquí.
DMARC es un algoritmo de las acciones que se hacen con los correos si se consideran sospechosos. Todos estos elementos de seguridad se crean como TXT, un tipo de registro DNS que permite asociar información de texto a un dominio.
El SPF confirma que el dominio no es falso
El SPF (Sender Policy Framework) es el registro que contiene la lista de servidores y direcciones IP autorizados para enviar correos de parte de tu dominio. Al configurar el protocolo SPF, cualquier servidor de correo que reciba tu newsletter estará seguro de que la enviaste tú y nadie más. Para configurar el SPF, crea un registro textual de servidores usados para tus campañas de email marketing.
Los pasos para configurar SPF son los siguientes:
- Selecciona los servidores que vas a usar para tu campaña
- Entra en el panel de control del proveedor de alojamiento de tu dominio
- Crea un registro TXT, completando los campos (pueden llamarse de modo diferente). Como ejemplo, te mostramos la configuración para envíos hechos a través de Simla.com
- Espera a que se realicen los cambios: los servidores DNS necesitan hasta 72 horas para intercambiar los datos sobre los nuevos registros entre sí. En algunos paneles de control hay que indicar tu dominio (por ejemplo, Simla.com) en vez de @. Si no puedes indicar nada, deja este campo en blanco
Cómo comprobar la configuración SPF
Para verificar que la autenticación SPF funciona correctamente, usa sus servicios de comprobación o los de representación de registros DNS:
Podemos ejemplificarlo en MxToolBox: accede a mxtoolbox.com e ingresa tu nombre de dominio en el campo correspondiente. Pulsa la flecha a la derecha del botón MX Lookup para ver el menú desplegable.
Elige la opción TXT Lookup y vuelve a pulsar el botón.
La página se actualizará automáticamente y aparecerán los registros TXT y, entre ellos, el registro SPF. La segunda forma es ingresar el comando "txt" en la búsqueda.
DKIM mejora la reputación del remitente
DKIM (DomainKeys Identified Mail) representa la firma digital de los emails e interactúa con dos servidores: el de remitente y el de destinatario. El proceso de la autenticación se controla por dos claves: una pública y otra privada.
La clave privada es el código secreto que está en el servidor del proveedor de correo. Al usarlo, el servidor remitente firma cada mensaje con el DKIM que contiene en forma encriptada email y nombre del destinatario, tiempo de envío e información relacionada al remitente.
La clave pública está en el campo TXT del registro DNS. Al usarla, el servidor destinatario descifra la firma DKIM y compara la información que está adentro con el contenido del correo. Si encuentra cualquier inconsistencia, dirige el mensaje a la carpeta de spam.
Los pasos para configurar DKIM
- Copiar la clave pública en los ajustes del correo electrónico
- Entrar en el panel de control desde la cuenta de hosting
- Crear un registro TXT. Luego, en el campo Value, introducir la clave pública copiada anteriormente. Más abajo se puede ver un ejemplo de la clave que se usa para envíos hechos a través de Simla.com
- Espera a que se realicen los cambios
Hay varios métodos para verificar la configuración de DKIM
Para comprobar que la clave está disponible, se pueden usar servicios de verificación del registro DKIM:
- MxToolbox comprueba si la clave está correctamente registrada. Para hacerlo introduce el seleccionador y dominio: el servicio encontrará y verificará la clave
- DKIMCore funciona de la misma manera, pero además tiene la posibilidad de introducir la clave manualmente.
Otra posibilidad de comprobarlo es enviar un correo de prueba a buzones diferentes. Vemos el ejemplo de Gmail. Abrimos el correo y encontramos el elemento en el menú “Mostrar el original”.
En una pestaña nueva saldrá una tabla donde aparece la información necesaria sobre el mail. Allí se puede encontrar el DKIM y el estado del registro. PASS en nuestro caso significa una verificación exitosa.
Más abajo de la tabla aparece el código del mail con encabezados del servicio. Entre ellos se encuentra uno que se llama DKIM-Signature.
Más arriba de la firma DKIM verás la línea Authentication-Result. En caso de verificación exitosa debe tener escrito dkim=pass. Si en vez de pass ves fail, comprueba que estés usando las claves correctas.
El DMARC especifica el algoritmo de verificación
El DMARC (Domain-based Message Authentication, Reporting and Conformance) determina qué va a pasar con los emails considerados fraudulentos. Puedes elegir entre tres opciones diferentes:
- Hacer nada
- Marcar como spam
- Rechazar
Antes de pasar a DMARC, repite los pasos del apartado “Cómo configurar SPF” y obtén la firma DKIM para correos. Al recibir el mensaje, el proveedor de correo comprueba que SPF y DKIM sean correctos y correspondan a tu dominio. Si la verificación falla, se activa la política DMARC de tu dominio. Después de la verificación, vas a recibir los reportes.
Cómo configurar y verificar un registro DMARC
- Entra en el panel de control desde tu cuenta de hosting DNS
- Crea un registro TXT, completando los campos con los valores siguientes. Como ejemplo te mostramos nuestra política: especifica la versión del protocolo DMARC1, selecciona “no hacer nada” y “Enviar” el reporte al correo del administrador. En vez del admin@simla.com indica el correo destinatario para todos los reportes sobre los mails no verificados
- Espera a que se realicen los cambios. Se pueden verificar las configuraciones de DMARC aquí
Hay varias maneras de usar registros DMARC
p=none: el servidor destinatario no hace nada, pero recibirás el reporte en tu email. Usa este tipo de registro para saber si generas tráfico no deseado. Por ejemplo:
p=quarantine: los mails no verificados terminan en la carpeta spam. Por ejemplo:
p=reject: rechazar los mails no verificados por DMARC. Puedes elegir el porcentaje de rechazo de mails sospechosos con el tag pct. El valor por defecto es 100%, pero hemos decidido rechazar un 25% de los emails:
Resumen
¿Qué es SPF? SPF es un sistema de seguridad que permite autenticar al remitente del mensaje y proteger al destinatario del phishing. Funciona en conjunto con los protocolos DKIM Y DMARC para proteger a los suscriptores que reciben la newsletter de los maleantes.
¿Qué es la protección SPF? Es un método que impide suplantar la identidad del remitente de un correo a través del uso de la lista donde se guardan todas las direcciones IP y dominios verificados. Con SPF configurado, puedes proteger a tus clientes de emails sospechosos y cuidar tu reputación digital.
¿Cómo funciona el DKIM? El registro DKIM es una firma encriptada dentro de tu email. Para descifrarla, el servidor utiliza una clave específica, compara la información recibida con lo que encuentra en el mensaje y decide si el remitente es fiable o no.
¿Cómo funcionan los protocolos SPF y DKIM en el email marketing? Los protocolos SPF y DKIM comunican a los proveedores de correo electrónico que los mensajes vienen de un remitente seguro aumentando así el porcentaje de los correos recibidos por los clientes.
¿Qué es una política DMARC? La política DMARC determina qué va a pasar con un email considerado como no deseado. Es decir, si este mail no pasa la autenticación SPF y/o DKIM. Hay tres opciones: no hacer nada y enviar un reporte, marcar como spam o rechazar.