Cómo SPF, DKIM, DMARC impulsan la entrega de correo electrónico y la seguridad

Un trío de estándares de autenticación de correo electrónico trabajan juntos para mejorar la capacidad de entrega del correo electrónico para el remitente y la seguridad del correo electrónico para el destinatario.

Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) y Domain-based Message Authentication, Reporting, and Conformance (DMARC) ayudan a garantizar que los correos electrónicos enviados desde su empresa sean reales y que los actores maliciosos no estén falsificando o manipulando de otra manera. a ellos.

FPS, DKIM, DMARC

SPF, DKIM y DMARC muestran al servidor de correo electrónico receptor que un mensaje determinado se envió desde una dirección IP autorizada, que el remitente es auténtico y que el remitente es transparente sobre su identidad.

Tomemos cada uno por turno.

La configuración de registros SPF para su dominio implica agregar un tipo de registro TXT que contiene una lista autorizada de servidores de correo saliente al Sistema de nombres de dominio (DNS). SPF verifica que los correos electrónicos del dominio de su empresa provengan de una fuente autenticada, no de un impostor.

Las claves DKIM constan de dos partes: una clave pública almacenada en el DNS y una clave privada almacenada en el servidor de correo de envío. Los servidores de correo de los destinatarios utilizan la firma DKIM adjunta a cada correo electrónico saliente para verificar su autenticidad. DKIM también puede indicar si un mensaje de correo electrónico dado ha sido alterado.

DMARC es un mecanismo de política que permite a una empresa controlar cómo deben manejarse los correos electrónicos entrantes de su dominio si fallan la autenticación SPF o DKIM. Las opciones son "rechazar", "cuarentena" o "ninguna". Esto puede ser como una campana de alarma si un malhechor está tratando de usar su dominio.

Registros SPF

La configuración de un registro SPF requiere acceso a los registros DNS de su dominio en el registrador, como GoDaddy o similar. Si alguna vez tuvo que verificar su dominio o moverlo a un nuevo servidor, probablemente actualizó su registro DNS.

Un registro SPF es simplemente un registro TXT en el DNS de su dominio.

El registro SPF será del tipo “TXT”. Y comenzará con la versión de SPF que está utilizando.

 v=spf1

La versión va seguida de una lista de direcciones IP4 o IP6 autorizadas, como en:

 v=spf1 ip4:192.168.0.1

Este registro SPF autorizaría correos electrónicos desde la dirección IP 192.168.0.1. Para permitir un rango de direcciones IP, puede usar la notación de enrutamiento entre dominios sin clase (CIDR) (a veces llamada notación de "barra oblicua").

 v=spf1 ip4:192.168.0.0 /16

El registro SPF anterior autorizaría un rango de direcciones IP de 192.168.0.0 a 192.168.255.255; esto es lo que indica "/16".

Usando el prefijo "a", un registro SPF puede autorizar un dominio por nombre. El registro a continuación autoriza un servidor asociado con el dominio example.com.

 v=spf1 a:ejemplo.com

Del mismo modo, el prefijo “mx” (“intercambio de correo”) autoriza servidores de correo específicos.

 v=spf1 mx:mail.ejemplo.com

Para autorizar a un remitente externo, use el prefijo "incluir". El siguiente ejemplo permite tanto un rango de IP como servidores de Google.

 v=spf1 ip4:192.168.0.0/16 incluye:_spf.google.com

También hay dos calificadores SPF. El primero es ~todo con tilde (~). El segundo es -todo con un guión (-).

La versión de tilde (~all) es un calificador de falla suave. En la mayoría de los casos, el servidor de correo electrónico receptor aceptará mensajes de remitentes que no estén en el registro SPF asociado pero que los considere sospechosos.

La versión con guiones (-all) es un calificador de fallas fuertes. El servidor de correo electrónico receptor probablemente etiquetará los mensajes enviados desde un servidor no autorizado en el registro SPF como spam y los rechazará.

Finalmente, todos estos pueden usarse juntos para autorizaciones relativamente complejas.

 v=spf1 ip4:192.168.0.0/16 a:ejemplo.com include:_spf.google.com

Recuerde, los registros SPF ayudan a los servidores de correo electrónico de recepción a identificar los mensajes de correo electrónico auténticos del dominio de su empresa.

Claves DKIM

DKIM protege su dominio y ayuda a evitar que alguien se haga pasar por su empresa. Las dos claves DKiM permiten que el servidor de correo electrónico del destinatario verifique que su empresa envió el mensaje y que no se modificó después de que usted lo envió.

El primer paso para configurar DKIM es generar las claves, una pública y otra privada. La clave privada está segura en el servidor utilizado para enviar correos electrónicos desde su dominio. La clave pública se agrega al DNS como un registro TXT.

La parte complicada es generar las claves, ya que el procedimiento exacto para crearlas varía de un proveedor de servicios de correo electrónico a otro. Y es completamente diferente si su empresa aloja su propio servidor de correo.

Los proveedores de servicios de correo electrónico ofrecen instrucciones. Aquí hay varios ejemplos sin ningún orden en particular.

• Mailchimp: configurar la autenticación de dominio de correo electrónico,
• Klaviyo: Cómo configurar un dominio de envío dedicado,
• Zoho Campaigns: cómo autenticar mi dominio,
• MailerLite: autenticación de dominio de correo electrónico,
• Activista: DKIM, SPF y DMARC,
• ConvertKit: uso de un dominio verificado para el envío de correo electrónico,
• MailUp: maximizando la capacidad de entrega de sus correos electrónicos,
• ActiveCampaign: autenticación SPF, DKIM y DMARC,
• Mantener: DKIM.

En cada caso, el DKIM se completa cuando agrega, copia y pega, el registro CNAME del proveedor de correo electrónico al DNS de su dominio. Este(s) registro(s) representa(n) la clave pública para autenticar los mensajes de marketing por correo electrónico salientes de su empresa.

DMARC

DMARC proporciona otra capa de protección y también indica a los servidores de correo electrónico qué hacer con los mensajes que fallan en la autenticación SPF o DKIM.

La base de DMARC es un registro TXT colocado en el DNS de su dominio. Esto contendrá la política DMARC con al menos dos elementos:

• Una dirección de correo electrónico para recibir informes agregados de autenticación de correo electrónico, y
• La acción a realizar en los correos electrónicos que fallan en la autenticación (es decir, rechazar o poner en cuarentena).

Aquí hay un registro TXT DMARC de ejemplo en un DNS:

 v=DMARC1; p=cuarentena; rua=mailto:[email protected]; ruf=mailto:[email protected].

El registro comienza con la versión DMARC.

 v=DMARC1;

El elemento "p" asigna la acción para los correos electrónicos que fallan en la autenticación. En este caso, se establece en "cuarentena", lo que indica al servidor receptor que traslade dichos mensajes a un área de espera. Otras opciones incluyen "ninguno", que no detiene el correo electrónico pero monitorea las fallas de SPF o DKIM, o "rechazar".

 p=cuarentena;

Los prefijos "rua" y "ruf" le indican al servidor receptor dónde enviar informes agregados (rua: URI de informes para datos agregados) e informes forenses (ruf: URI de informes para datos de fallas). Estos informes pueden revelar a un delincuente que intenta hacerse pasar por su empresa.

Los modificadores adicionales incluyen:

• pct: el porcentaje de mensajes de correo electrónico sujetos a la política DMARC.
• sp: la política DMARC para subdominios.
• adkim — asigna el modo estricto (adkim:s) o relajado (adkim:r) para DKIM.
• aspf — asigna el modo estricto (adkim:s) o relajado (adkim:r) para SPF.

Los servicios de terceros pueden ayudar a generar un registro DMARC basado en el estándar oficial. Estos servicios incluyen:

• MXToolBox,
• poderDMARC,
• Dmarciano,
• EasyDMARC.

Proteger remitentes y destinatarios

La configuración de registros SPF, DKIM y DMARC para su dominio garantiza que los servidores de correo electrónico reconozcan los mensajes de su empresa como auténticos y rechacen a los impostores. El resultado protege la reputación de su empresa y protege a los clientes de los ataques de phishing y otros tipos de fraude por correo electrónico.