Cómo funciona la autenticación de correo electrónico

La autenticación de correo electrónico es un tema desalentador. A menudo hay una sopa de letras de siglas e iniciales. Pero los conceptos básicos no son complicados, y la mayoría de las personas podrán comprenderlos rápidamente.

La autenticación de correo electrónico se ha vuelto cada vez más necesaria a medida que los spammers y los phishers continúan usando el correo electrónico para distribuir mensajes no deseados o dañinos. La mayoría de los servidores de correo electrónico ahora usan una serie de protocolos para verificar los mensajes de correo electrónico antes de que lleguen al destinatario previsto. Es probable que los correos electrónicos que no estén debidamente autenticados tengan problemas de capacidad de entrega y terminen sin entregarse o en la carpeta de correo no deseado.

Entonces, hablemos de los 3 protocolos de autenticación de correo electrónico más importantes en un lenguaje sencillo, usando analogías del mundo real.

SPF: marco de políticas del remitente

El primero y más antiguo se llama Sender Policy Framework (SPF). SPF permite que un remitente verifique su autenticidad. Pensémoslo de esta manera: si recibe una carta en su buzón impresa en papel con membrete oficial, puede estar razonablemente seguro de que es auténtica. Entonces, otra forma de pensar en un correo electrónico que pasa SPF es una carta certificada de la oficina de correos. Se proporciona un número de seguimiento y puede verificar quién es el remitente llamando a la oficina de correos.

SPF también es similar a confirmar una dirección de remitente. Si recibió una carta en la que el nombre de la empresa no coincidía con ninguna de las empresas enumeradas en la dirección del remitente de la carta, sería escéptico con razón de esa carta. Este tipo de verificación generalmente no es necesaria para el correo físico, pero también es necesaria para los mensajes de correo electrónico porque es fácil enviar un mensaje que dice ser de otra persona.

Durante SPF, un servidor de correo electrónico receptor puede solicitar al dominio del que dice provenir el correo electrónico una lista de direcciones IP que pueden enviar correo electrónico en nombre de ese dominio. Si el dominio no incluye el servidor de origen como un remitente válido, lo más probable es que el correo electrónico no sea genuino y la verificación de SPF fallará.

DKIM: correo identificado con claves de dominio

DomainKeys Identified Mail (DKIM) es una forma más nueva y sólida de autenticar mensajes. DKIM es como un sello de cera en una carta. Antes de una infraestructura postal fiable, las cartas se autentificaban con un lacre grabado en relieve con un anillo de sello perteneciente al remitente. La cera endurecida se adhirió al pergamino e hizo casi imposible alterar la carta sin dejar evidencia.

El símbolo grabado en la cera servía como una especie de firma, ya que solo una persona habría tenido acceso al anillo de sello. Al inspeccionar el sobre, el destinatario podía verificar tanto la autenticidad del remitente como que el contenido no estaba alterado.

Imaginemos otra forma de garantizar la autenticidad del remitente y la integridad del contenido del mensaje durante el tránsito. Piense en una caja con un cajón con cerradura y una tapa con cerradura. El cajón solo puede cerrarse con la llave del remitente. Llamaremos a esta clave la clave privada del remitente.

La tapa se puede bloquear y desbloquear con una llave que está disponible gratuitamente. Cualquiera puede solicitar una copia de la llave. De hecho, el remitente ha proporcionado una copia de esta clave a todas las oficinas de correos a lo largo de la ruta de entrega. Llamaremos a esto la clave pública.

Debajo de la tapa hay un panel de vidrio. Al abrir la tapa, cualquiera puede inspeccionar el paquete a través del vidrio, pero no puede manipularlo sin romper el vidrio y dejar evidencia. Tras la inspección, un interesado puede confirmar el membrete oficial, ver que el vidrio esté intacto y verificar que el cajón esté cerrado con la llave que solo tiene el remitente. Cada oficina de correos en el camino abre la tapa para asegurarse de que el paquete aún esté intacto.

DKIM funciona de manera similar a este cuadro. El remitente tiene una clave privada criptográfica que se utiliza para codificar los encabezados del mensaje. La clave pública está disponible en un registro público de Internet descentralizado llamado DNS o Sistema de nombres de dominio. Cualquiera de los servidores involucrados en pasar el mensaje al destino final puede recuperar la clave pública y descifrar los encabezados para verificar que el mensaje es válido. Y al igual que el cuadro cerrado, la clave pública no se puede usar para cifrar los encabezados (y bloquear el contenido del cajón); solo la clave privada puede hacer eso.

También podemos pensar en esto como otra clase de correo postal disponible en la oficina de correos. Si el correo electrónico autenticado por SPF es correo certificado, entonces los mensajes autenticados por DKIM son correo registrado, guardado bajo llave en todo momento a lo largo de la ruta de entrega para evitar la manipulación.

DMARC: informes y conformidad de autenticación de mensajes de dominio

Imagina que alguien te envía una de estas lujosas cajas de seguridad dobles. El mensajero que trae el paquete realiza una última verificación antes de entregarlo. Busca la política de conformidad de entrega del remitente del paquete. Su política dice que el paquete debería haberse originado en una dirección de confianza (SPF).

El paquete también debería haber estado en una caja cerrada con llave de una fuente confiable que posea una clave privada y debe ser verificable sin alteraciones en tránsito (DKIM). La política estipula además que si no se cumplen las condiciones de SPF y DKIM, el servicio de mensajería debe poner en cuarentena el paquete e informar al remitente de la infracción.

Esta política es análoga a una política de Conformidad e informes de autenticación de mensajes de dominio (DMARC). DMARC es la herramienta de autenticación más reciente, basada tanto en SPF como en DKIM. Es una forma de que los remitentes informen a los destinatarios qué métodos de autenticación deben verificar y qué hacer si un mensaje que dice ser de ellos no pasa las verificaciones requeridas. Las instrucciones pueden incluir marcar el mensaje como en cuarentena y, por lo tanto, probable que sea sospechoso o rechazar el mensaje por completo.

Quizás se pregunte por qué los remitentes querrían permitir que se entreguen mensajes que no pasan DMARC. DMARC también proporciona un circuito de retroalimentación para que los remitentes puedan monitorear si los correos electrónicos que parecen originarse en sus dominios cumplen o no con la política.

Revisar

Para repasar, hay tres protocolos de autenticación ampliamente utilizados:

1. Sender Policy Framework (SPF) realiza una verificación similar a la verificación de una dirección de retorno para autenticar la identidad de un remitente.
2. DomainKeys Identified Mail (DKIM) también autentica la identidad del remitente, pero va más allá al garantizar que el contenido del mensaje no se altere mediante el uso de una caja cerrada o un sello de cera.
3. Domain Message Authentication Reporting & Conformance (DMARC) es el mensajero que se asegura de que los mensajes cumplan con los requisitos de SPF y DKIM antes de que se entreguen.

Qué significa la autenticación de correo electrónico para los remitentes

Con DMARC, los propietarios de dominio finalmente tienen control total sobre la dirección "de" que aparece en el cliente de correo electrónico del destinatario. Grandes proveedores de buzones como Yahoo! y AOL ya han implementado políticas estrictas. Los correos electrónicos que parezcan originarse en estos dominios pero que no superen las comprobaciones de autenticación se eliminarán. Puede ver actualizaciones en Gmail aquí y en Microsoft aquí.

Lo que esto significa es que nunca debe enviar desde dominios que no están configurados para permitir su servidor a través de DKIM y SPF. Si envía correos electrónicos en nombre de los clientes, querrá asegurarse de que sus clientes tengan las entradas de DNS correctas para habilitar esto.

Para los destinatarios, la creciente popularidad de estas tecnologías significa una reducción de los correos electrónicos de phishing y spam que se entregan. Y eso siempre es bueno.

Y si desea ayuda con la autenticación de su correo electrónico o tiene dificultades con la capacidad de entrega de su correo electrónico, SendGrid tiene planes de correo electrónico y servicios expertos para ayudarlo con todo.

Recursos adicionales

• https://sendgrid.com/blog/a-dkim-faq/
• https://sendgrid.com/blog/sender-policy-framework-spf-a-layer-of-protection-in-email-infrastructure/
• https://sendgrid.com/blog/que-es-dmarc/