El SPF, el DKIM y el DMARC ayudan a autentificar a los remitentes de correo electrónico verificando que los correos electrónicos proceden del dominio del que dicen proceder. Estos tres métodos de autenticación son importantes para evitar el spam, los ataques de phishing y otros riesgos de seguridad del correo electrónico.
Después de leer este artículo podrás:
Contenido relacionado
¿Qué es la seguridad del correo electrónico?
Cómo detener correos no deseados
Cómo evitar el phishing
Compromiso de correo electrónico empresarial (BEC)
Seguridad de los archivos adjuntos de correo electrónico
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
DMARC, DKIM y SPF son tres métodos de autenticación del correo electrónico. Juntos, ayudan a evitar que los spammers, phishers, y otras partes no autorizadas envíen correos electrónicos en nombre de un dominio* que no poseen.
El DKIM y el SPF pueden compararse a una licencia comercial o a un título de médico expuesto en la pared de una oficina: ayudan a demostrar la legitimidad.
Mientras tanto, el DMARC indica a los servidores de correo qué hacer cuando fallan el DKIM o el SPF, ya sea marcando los correos electrónicos que fallan como "spam," entregando los correos de todos modos, o descartando los correos por completo.
Los dominios que no hayan configurado correctamente el SPF, el DKIM y el DMARC pueden encontrarse con que sus correos electrónicos son puestos en cuarentena como spam, o no son entregados a sus destinatarios. También corren el peligro de que los spammers se hagan pasar por ellos.
*Un dominio, a grandes rasgos, es una dirección web como "example.com". Los dominios forman la segunda mitad de una dirección de correo electrónico: alice@example.com, por ejemplo.
El Marco de Políticas del Remitente (SPF) es una forma de que un dominio liste todos los servidores desde los que envía correos electrónicos. Piensa en ello como un directorio de empleados disponible públicamente que ayuda a alguien a confirmar si un empleado trabaja para una organización.
Los registros SPF enumeran todas las direcciones IP de todos los servidores que pueden enviar correos electrónicos desde el dominio, al igual que un directorio de empleados enumera los nombres de todos los empleados de una organización. Los servidores de correo que reciben un mensaje de correo electrónico pueden comprobarlo con el registro SPF antes de pasarlo a la bandeja de entrada del destinatario.
El Correo Identificado con Claves de Dominio (DKIM) permite a los propietarios de dominios "firmar" automáticamente los correos electrónicos de su dominio, al igual que la firma de un cheque ayuda a confirmar quién lo ha emitido. La "firma" DKIM es una firma digital que utiliza la criptografía para verificar matemáticamente que el correo electrónico procede del dominio.
En concreto, DKIM utiliza la criptografía de clave pública:
La autentificación de mensajes basada en el dominio y la conformidad (DMARC) indica a un servidor de correo electrónico receptor lo que debe hacer en función de los resultados obtenidos tras la comprobación de SPF y DKIM. La política DMARC de un dominio puede establecerse de varias maneras: puede ordenar a los servidores de correo que pongan en cuarentena los correos que no cumplan el SPF o el DKIM (o ambos), que los rechacen o que los entreguen.
Las políticas DMARC se almacenan en registros DMARC. Un registro DMARC también puede contener instrucciones para enviar informes a los administradores del dominio sobre los correos electrónicos que pasan y no pasan estas comprobaciones. Los informes DMARC proporcionan a los administradores la información que necesitan para decidir cómo ajustar sus políticas DMARC (por ejemplo, qué hacer si los correos legítimos se marcan erróneamente como spam).
Los registros SPF, DKIM y DMARC se almacenan en el Sistema de Nombres de Dominio (DNS), que es de acceso público. El uso principal del DNS es hacer coincidir las direcciones web con las direcciones IP, para que los ordenadores puedan encontrar los servidores correctos para cargar contenidos en Internet sin que los usuarios humanos tengan que memorizar largas direcciones alfanuméricas. El DNS también puede almacenar una variedad de registros asociados a un dominio, incluyendo nombres alternativos para ese dominio (registros CNAME), direcciones IPv6 (registros AAAA), y registros DNS inversos para la búsqueda de dominios (registros PTR).
Los registros DKIM, SPF y DMARC se almacenan como registros TXT de DNS. Un registro TXT de DNS almacena el texto que el propietario de un dominio quiere asociar al mismo. Este registro puede utilizarse de diversas maneras, ya que puede contener cualquier texto arbitrario. DKIM, SPF y DMARC son tres de las diversas aplicaciones de los registros TXT de DNS.
La mayoría de los clientes de correo electrónico ofrecen una opción denominada "Mostrar detalles" o "Mostrar el original" que muestra la versión completa de un correo electrónico, incluida su cabecera. La cabecera -normalmente un largo bloque de texto sobre el cuerpo del correo electrónico- es donde los servidores de correo añaden los resultados de SPF, DKIM y DMARC.
Leer la densa cabecera puede ser complicado. Los usuarios que lo vean en un navegador pueden hacer clic en "Ctrl+F" o "Command+F" y escribir "spf," " dkim," o "dmarc" para encontrar estos resultados.
El texto correspondiente podría ser así:
arc=pass (i=1 spf=pass spfdomain=example.com dkim=pass
dkdomain=example.com dmarc=pass fromdomain=example.com);
La aparición de la palabra "pass" en el texto anterior indica que el correo electrónico ha pasado una comprobación de autentificación. "spf=pass," por ejemplo, significa que el correo electrónico no falló el SPF; procedía de un servidor autorizado con una dirección IP que figura en el registro SPF del dominio.
En este ejemplo, el correo electrónico pasó los tres SPF, DKIM y DMARC, y el servidor de correo pudo confirmar que realmente procedía de example.com y no de un impostor.
Es importante tener en cuenta que estos registros por sí mismos no aplican las políticas del dominio ni autentifican los correos electrónicos. Los servidores de correo tienen que comprobarlos y aplicarlos correctamente para que los registros tengan algún efecto.
También es importante tener en cuenta que los propietarios de los dominios deben configurar ellos mismos sus registros SPF, DKIM y DMARC correctamente, tanto para evitar el spam de su dominio como para asegurarse de que los correos electrónicos legítimos de su dominio no se marquen como spam. Los servicios de alojamiento web no lo hacen necesariamente de forma automática. Incluso los dominios que no envían correos electrónicos deberían tener al menos registros DMARC para que los spammers no puedan fingir que envían correos electrónicos desde ese dominio.
DMARC, DKIM y SPF tienen que estar configurados en la configuración DNS del dominio. Los administradores pueden ponerse en contacto con su proveedor de DNS, o su plataforma de alojamiento web puede proporcionar una herramienta que les permita cargar y editar los registros DNS. Para más detalles sobre el funcionamiento de estos registros, consulta nuestros artículos sobre ellos:
Para configurar estos registros en Cloudflare, utiliza el Asistente de DNS de Email Security.