¿Qué son DMARC, DKIM y SPF?

El SPF, el DKIM y el DMARC ayudan a autentificar a los remitentes de correo electrónico verificando que los correos electrónicos proceden del dominio del que dicen proceder. Estos tres métodos de autenticación son importantes para evitar el spam, los ataques de phishing y otros riesgos de seguridad del correo electrónico.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Describe cómo funcionan SPF, DKIM y DMARC
  • Explica cómo estos métodos ayudan a autenticar a los remitentes de correo electrónico
  • Entender los tipos de registros DNS utilizados en SPF, DKIM y DMARC

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué son DMARC, DKIM y SPF?

DMARC, DKIM y SPF son tres métodos de autenticación del correo electrónico . Juntos, ayudan a evitar que los spammers, phishers, y otras partes no autorizadas envíen correos electrónicos en nombre de un dominio* que no poseen.

El DKIM y el SPF pueden compararse a una licencia comercial o a un título de médico expuesto en la pared de una oficina: ayudan a demostrar la legitimidad.

Mientras tanto, el DMARC indica a los servidores de correo qué hacer cuando fallan el DKIM o el SPF, ya sea marcando los correos electrónicos que fallan como " spam," entregando los correos de todos modos, o descartando los correos por completo.

Los dominios que no hayan configurado correctamente el SPF, el DKIM y el DMARC pueden encontrarse con que sus correos electrónicos son puestos en cuarentena como spam, o no son entregados a sus destinatarios. También corren el peligro de que los spammers se hagan pasar por ellos.

*Un dominio, a grandes rasgos, es una dirección web como "example.com". Los dominios forman la segunda mitad de una dirección de correo electrónico: alice@example.com, por ejemplo.

Informe
Informe sobre las amenazas de phishing en 2023
Informe
Consulta el Informe sobre el panorama de las amenazas DDoS en el 4º trimestre de 2023

¿Cómo funciona el FPS?

El Marco de Políticas del Remitente (SPF) es una forma de que un dominio liste todos los servidores desde los que envía correos electrónicos. Piensa en ello como un directorio de empleados disponible públicamente que ayuda a alguien a confirmar si un empleado trabaja para una organización.

Los registros SPF enumeran todas las direcciones IP de todos los servidores que pueden enviar correos electrónicos desde el dominio, al igual que un directorio de empleados enumera los nombres de todos los empleados de una organización. Los servidores de correo que reciben un mensaje de correo electrónico pueden comprobarlo con el registro SPF antes de pasarlo a la bandeja de entrada del destinatario.

Registrarse
Seguridad y velocidad con cualquier plan de Cloudflare

¿Cómo funciona DKIM?

" El Correo Identificado con Claves de Dominio (DKIM) permite a los propietarios de dominios firmar automáticamente los correos electrónicos de su dominio en ", al igual que la firma de un cheque ayuda a confirmar quién lo ha emitido. La firma DKIM "" es una firma digital que utiliza la criptografía para verificar matemáticamente que el correo electrónico procede del dominio.

En concreto, DKIM utiliza la criptografía de clave pública :

  • Un registro DKIM almacena la clave pública del dominio , y los servidores de correo que reciben correos del dominio pueden comprobar este registro para obtener la clave pública
  • La clave privada es mantenida en secreto por el remitente, que firma la cabecera del correo electrónico con esta clave
  • Los servidores de correo que reciben el correo electrónico pueden verificar que se ha utilizado la clave privada del remitente aplicando la clave pública

¿Cómo funciona el DMARC?

La autentificación de mensajes basada en el dominio y la conformidad (DMARC) indica a un servidor de correo electrónico receptor lo que debe hacer en función de los resultados obtenidos tras la comprobación de SPF y DKIM. La política DMARC de un dominio puede establecerse de varias maneras: puede ordenar a los servidores de correo que pongan en cuarentena los correos que no cumplan el SPF o el DKIM (o ambos), que los rechacen o que los entreguen.

Las políticas DMARC se almacenan en registros DMARC. Un registro DMARC también puede contener instrucciones para enviar informes a los administradores del dominio sobre los correos electrónicos que pasan y no pasan estas comprobaciones. Los informes DMARC proporcionan a los administradores la información que necesitan para decidir cómo ajustar sus políticas DMARC (por ejemplo, qué hacer si los correos legítimos se marcan erróneamente como spam).

¿Dónde se almacenan los registros SPF, DKIM y DMARC?

Los registros SPF, DKIM y DMARC se almacenan en el Sistema de Nombres de Dominio (DNS) , que es de acceso público. El uso principal del DNS es hacer coincidir las direcciones web con las direcciones IP, para que los ordenadores puedan encontrar los servidores correctos para cargar contenidos en Internet sin que los usuarios humanos tengan que memorizar largas direcciones alfanuméricas. El DNS también puede almacenar una variedad de registros asociados a un dominio, incluyendo nombres alternativos para ese dominio (registros CNAME), direcciones IPv6 (registros AAAA), y registros DNS inversos para la búsqueda de dominios (registros PTR).

Los registros DKIM, SPF y DMARC se almacenan como registros TXT de DNS . Un registro DNS TXT almacena el texto que el propietario de un dominio quiere asociar al mismo. Este registro puede utilizarse de diversas maneras, ya que puede contener cualquier texto arbitrario. DKIM, SPF y DMARC son tres de las diversas aplicaciones de los registros TXT del DNS.

Cómo comprobar si un correo electrónico ha pasado el SPF, DKIM y DMARC

La mayoría de los clientes de correo electrónico ofrecen una opción denominada "Mostrar detalles" o "Mostrar el original" que muestra la versión completa de un correo electrónico, incluida su cabecera. La cabecera -normalmente un largo bloque de texto sobre el cuerpo del correo electrónico- es donde los servidores de correo añaden los resultados de SPF, DKIM y DMARC.

Leer la densa cabecera puede ser complicado. Los usuarios que lo vean en un navegador pueden hacer clic en "Ctrl+F" o "Command+F" y escribir "spf," " dkim," o "dmarc" para encontrar estos resultados.

El texto correspondiente podría ser así:


arc=pass (i=1 spf=pass spfdomain=example.com dkim=pass
dkdomain=example.com dmarc=pass fromdomain=example.com);

La aparición de la palabra "pass" en el texto anterior indica que el correo electrónico ha pasado una comprobación de autentificación. "spf=pass," por ejemplo, significa que el correo electrónico no falló el SPF; procedía de un servidor autorizado con una dirección IP que figura en el registro SPF del dominio.

En este ejemplo, el correo electrónico pasó los tres SPF, DKIM y DMARC, y el servidor de correo pudo confirmar que realmente procedía de example.com y no de un impostor.

Es importante tener en cuenta que estos registros por sí mismos no aplican las políticas del dominio ni autentifican los correos electrónicos. Los servidores de correo tienen que comprobarlos y aplicarlos correctamente para que los registros tengan algún efecto.

También es importante tener en cuenta que los propietarios de los dominios deben configurar ellos mismos sus registros SPF, DKIM y DMARC correctamente, tanto para evitar el spam de su dominio como para asegurarse de que los correos electrónicos legítimos de su dominio no se marquen como spam. Los servicios de alojamiento web no lo hacen necesariamente de forma automática. Incluso los dominios que no envían correos electrónicos deberían tener al menos registros DMARC para que los spammers no puedan fingir que envían correos electrónicos desde ese dominio.

Cómo configurar DMARC, DKIM y SPF para un dominio

DMARC, DKIM y SPF tienen que estar configurados en la configuración DNS del dominio. Los administradores pueden ponerse en contacto con su proveedor de DNS, o su plataforma de alojamiento web puede proporcionar una herramienta que les permita cargar y editar los registros DNS. Para más detalles sobre el funcionamiento de estos registros, consulta nuestros artículos sobre ellos:

El proceso de configuración de estos registros puede ser complicado y llevar mucho tiempo, y las políticas demasiado estrictas o demasiado relajadas pueden tener un impacto muy negativo para un dominio. Por este motivo, Cloudflare ofrece un Asistente DNS de seguridad de correo electrónico que permite a los administradores configurar rápida y correctamente estos registros DNS de autenticación de correo electrónico. El Asistente se encuentra en la pestaña DNS del panel de control de Cloudflare.