Cómo proteger los dominios que no envían correos electrónicos

Crear estos registros DNS específicos ayuda a proteger los dominios que no envían correos electrónicos para que no sean utilizados en ataques de suplantación de dominio.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Más información acerca de qué registros DNS pueden ayudar a proteger los dominios que no envían correos electrónicos
  • Describir cómo funcionan estos tipos de registros DNS
  • Entender los principales componentes de estos tipos de registros DNS

Copiar el enlace del artículo

Cómo proteger los dominios que no envían correos electrónicos

Los dominios que no envían correos electrónicos se pueden seguir usando en ataques de suplantación de correo electrónico o de phishing, pero hay tipos específicos de registros de texto (TXT) de DNS que pueden utilizarse para suprimir a los atacantes. Cada uno de estos registros establece reglas sobre cómo deben tratar los servidores de correo los correos electrónicos no autorizados, dificultando que los atacantes se aprovechen de estos dominios.

Un registro TXT de DNS permite que los administradores de dominios introduzcan texto en el Sistema de nombres de dominio (DNS). Los registros TXT de DNS se utilizan para procesos como la autenticación de correos electrónicos, porque pueden almacenar información importante que los servidores pueden utilizar para confirmar si un dominio ha autorizado o no a un remitente de correo electrónico a enviar mensajes en su nombre.

Ejemplos de dominios que no envían correos electrónicos son los adquiridos para proteger una marca o un futuro negocio. Los dominios desaparecidos y heredados tampoco tienen motivos para enviar correos electrónicos y podrían beneficiarse de este tipo de registros.

¿Cuáles son los diferentes tipos de registros TXT de DNS utilizados para la autenticación de correos electrónicos?

Hay tres tipos principales de registros TXT de DNS que se utilizan para la autentificación de correos electrónicos. Cada uno de ellos difiere ligeramente en su funcionamiento:

¿Cómo son estos registros DNS?

Ya que todos estos registros DNS funcionan de forma ligeramente diferente, cada uno de sus componentes es único.

SPF

Los registros SPF se puede formatear para proteger los dominios contra los intentos de ataques de phishing al rechazar cualquier correo electrónico enviado desde el dominio. Para ello, un registro SPF debe usar el siguiente formato.

v=spf1 -all

*Nota, los registros SPF se establecen directamente en el propio dominio, lo cual significa que no requieren un subdominio especial.

A continuación, el significado de los componentes individuales de este registro:

  • v=spf1 permite que el servidor sepa que el registro contiene una política SPF. Todos los registros SPF deben empezar con este componente.
  • El indicador -all indica al servidor qué hacer con los correos electrónicos no conformes o con cualquier remitente que no figure explícitamente en el registro SPF. Con este tipo de registro SPF, no se permiten direcciones IP ni dominios, así que -all indica que se rechazarán todos los correos electrónicos no conformes. Para este tipo de registro, todos los correos electrónicos se consideran no conformes, porque no hay direcciones IP ni dominios aceptados.

DKIM

Los registros DKIM protegen los dominios al garantizar que los correos electrónicos fueron realmente autorizados por el remitente mediante una clave pública y una clave privada. Los registros DKIM almacenan la clave pública que el servidor de correo electrónico utiliza para autenticar que la firma del correo electrónico fue autorizada por el remitente. En el caso de los dominios que no envían correos electrónicos, el registro DKIM debe configurarse sin una clave pública asociada. A continuación, un ejemplo:

nombre Escriba Contenido
*._domainkey.example.com TXT v=DKIM1; p=

 

  • *._domainkey.example.com es el nombre especializado del registro DKIM (en el "example.com" se debe sustituir por tu dominio). En este ejemplo, el asterisco (denominado comodín) se utiliza como selector, que es un valor especializado que el proveedor de servicios de correo electrónico genera y utiliza para el dominio. El selector forma parte de la cabecera DKIM y el servidor de correo electrónico lo utiliza para realizar la búsqueda DKIM en el DNS. El comodín cubre todos los valores posibles para el selector.
  • TXT indica el tipo de registro DNS.
  • v=DKIM1 establece el número de versión e indica al servidor que este registro hace referencia a una política DKIM.
  • El valor p ayuda a autenticar los correos electrónicos al vincular una firma a su clave pública. En este registro DKIM, el valor p debe estar vacío porque no hay firma/clave pública a la que vincularse.
  • DMARC

    Las políticas DMARC también pueden ayudar a proteger los dominios que no envían correos electrónicos al rechazar todos los correos que no pasen los controles de SPF y DKIM. En este caso, todos los correos electrónicos enviados desde un dominio que no esté configurado para enviar correos electrónicos no superarían los controles de SPF y DKIM. A continuación, un ejemplo de cómo formatear una política de esta manera:

    nombre Escriba Contenido
    _dmarc.example.com TXT v=DMARC1;p=reject;sp=reject;adkim=s;aspf=s

     

    • El campo nombre garantiza que el registro se establece en el subdominio conocido como _dmarc.example.com, que es necesario para las políticas DMARC.
    • TXT indica el tipo de registro DNS.
    • v=DMARC1 indica al servidor que este registro DNS contiene una política DMARC.
    • p=reject indica que los servidores de correo electrónico deben rechazar los correos que no pasen los controles de DKIM y SPF.
    • adkim=s representa lo que se conoce como modo de alineación. En este caso, el modo de alineación se establece en "s" para estricto. El modo de alineación estricto implica que el servidor del dominio del correo electrónico que contiene el registro DMARC debe coincidir exactamente con el dominio en la cabecera De del correo electrónico. Si no lo hace, no se supera el control de DKIM.
    • aspf=s tiene el mismo propósito que adkim=s, pero para la alineación de SPF.
    • El Asistente de DNS de seguridad en correo electrónico de Cloudflare facilita la configuración de registros TXT de DNS correctos y evita que los spammers usen un dominio. Más información sobre el Asistente aquí.