S/MIME: ¿Qué es, por qué debería importarme y cómo se relaciona con SparkPost?

Pájaro

19 dic 2018

Correo electrónico

1 min read

S/MIME: ¿Qué es, por qué debería importarme y cómo se relaciona con SparkPost?

Puntos clave

    • Premisa: S/MIME (Secure/Multipurpose Internet Mail Extensions) es un estándar existente desde hace mucho tiempo para enviar correos electrónicos firmados y cifrados, crítico para industrias que manejan datos sensibles como finanzas, salud y gobierno.

    • Objetivo: Explicar qué hace S/MIME, por qué es importante, cómo se diferencia de DKIM/DMARC/TLS y cómo se integra con SparkPost.

    • Aspectos destacados:

      1. Definición: S/MIME habilita dos capacidades fundamentales:

        • Cifrado → Protege el contenido del mensaje (privacidad).

        • Firma → Confirma la identidad del remitente, previene la manipulación y asegura la no repudio.

      2. Uso en la industria: Requerido o preferido por sectores regulados que necesitan privacidad de mensajes de extremo a extremo e identidad verificable.

      3. Comparación con otras protecciones de correo electrónico:

        • TLS: Asegura la transmisión entre servidores (capa de transporte).

        • S/MIME: Asegura el contenido del mensaje en sí (capa de presentación).

        • DKIM/DMARC: Autentican dominios, no individuos, y operan a nivel de administrador/servidor.

      4. Mecánica:

        • Usa pares de claves públicas/privadas y certificados digitales emitidos por cada identidad de correo electrónico (por ejemplo, alice@company.com).

        • Requiere clientes de correo compatibles (Apple Mail, Outlook, Thunderbird, iOS Mail, etc.).

      5. Limitaciones:

        • Las claves y los certificados pueden ser complejos de gestionar.

        • Las cargas cifradas no pueden ser escaneadas para malware.

        • Los encabezados (De, Para, Asunto) permanecen visibles.

      6. Integración con SparkPost:

        • Los usuarios de SparkPost pueden firmar mensajes con S/MIME para mayor autenticidad.

        • Para envío cifrado, los destinatarios deben compartir primero su clave pública (por ejemplo, enviando un mensaje firmado).

        • Socios comerciales como Virtru y Echoworx simplifican esto para flujos de trabajo empresariales.

      7. Siguientes pasos:

        • Parte 2 de la serie demuestra cómo firmar y cifrar mensajes a través de SparkPost.

        • Las partes posteriores muestran configuraciones locales utilizando PowerMTA y Momentum.

Destacados de Q&A

  • ¿Por qué es importante S/MIME si ya uso TLS o DKIM?

    TLS protege la conexión entre servidores, mientras que S/MIME protege el contenido en sí mismo, asegurando que permanezca privado y verificable incluso después de la entrega.

  • ¿Quién necesita S/MIME más?

    Industrias reguladas (finanzas, gobierno, salud) y cualquier organización que envíe correo electrónico confidencial, legalmente vinculante o sensible a la identidad.

  • ¿Qué problemas resuelve S/MIME?

    Previene la intercepción y suplantación, garantiza la autenticidad del remitente y proporciona prueba de que un mensaje no fue alterado.

  • ¿SparkPost admite S/MIME de forma nativa?

    SparkPost admite el envío de mensajes con formato S/MIME; solo necesitas firmar/encriptar tu contenido antes de enviarlo a través de API o SMTP.

  • ¿Cómo obtengo certificados?

    Los certificados pueden ser emitidos por proveedores como Comodo (gratuito para uso no comercial) o autogenerados para pruebas internas.

  • ¿Qué ocurre si mi destinatario no puede leer correos electrónicos cifrados?

    Ellos todavía verán el encabezado del mensaje firmado, pero para descifrarlo, deben instalar un cliente compatible y tener su clave privada importada.

  • ¿Cómo se gestiona el intercambio de claves para los correos electrónicos generados por la app?

    Los destinatarios pueden enviar un correo electrónico a su servicio con un signed message; su clave pública se puede extraer automáticamente a través de webhooks de retransmisión entrante.

S/MIME es un método establecido desde hace tiempo para enviar correos electrónicos cifrados y firmados, basado en estándares públicos de Internet. Regularmente nos encontramos con requisitos para S/MIME, especialmente de industrias reguladas como la banca, la salud y las finanzas. S/MIME a menudo es requerido al comunicarse entre negocios y agencias gubernamentales, por ejemplo.

Otro estándar de correo seguro, PGP (divertidamente llamado "Pretty Good Privacy"), se utiliza más para comunicaciones seguras de persona a persona. Es menos popular ahora porque las versiones para consumidores de clientes de correo web populares como Gmail y Outlook/Hotmail no pueden mostrar correo cifrado. Esa es una razón por la cual mucha comunicación de persona a persona que requiere privacidad se ha trasladado a plataformas como WhatsApp (y muchas otras) que ofrecen cifrado nativo de extremo a extremo.

Tanto PGP como S/MIME requieren un cliente de correo que pueda usar claves y certificados. Muchos clientes de escritorio y móviles, incluidos Apple Mail, Microsoft Outlook y Mozilla Thunderbird, cumplen con los requisitos, al igual que las versiones empresariales de algunos clientes web como Microsoft Office 365. Configurar las claves requiere trabajo, pero muchas organizaciones aún lo consideran valioso, a pesar de las recientes revelaciones de vulnerabilidades que requieren soluciones para bloquear la carga de contenido remoto.

S/MIME ha existido desde 1995 y ha pasado por varias revisiones; la versión actual está cubierta por RFC 5751. Requiere intercambio de claves públicas, una tarea no trivial que a menudo requiere el apoyo de un equipo de TI o recurso similar. Para las organizaciones que ejecutan infraestructura de correo electrónico en las instalaciones, la implementación de S/MIME requiere consideraciones adicionales para plataformas como PowerMTA y Momentum, que cubrimos en nuestra guía sobre S/MIME para correo seguro en las instalaciones. Sin embargo, hay enfoques automatizados para simplificar este proceso, como recoger claves públicas de los destinatarios a través de sistemas basados en correo electrónico que pueden simplificar la gestión de claves para flujos de correo electrónico generados por aplicaciones. Aquí es donde entran en juego soluciones comerciales de empresas como los socios de SparkPost Virtru y Echoworkx, haciendo la seguridad más fácil para el correo empresarial de persona a persona (vea nuestro manual de SparkPost/Echoworkx para más información).

Dicho esto, profundicemos un poco más en el viejo y sencillo S/MIME y veamos qué podemos hacer con él.

S/MIME es un método establecido desde hace tiempo para enviar correos electrónicos cifrados y firmados, basado en estándares públicos de Internet. Regularmente nos encontramos con requisitos para S/MIME, especialmente de industrias reguladas como la banca, la salud y las finanzas. S/MIME a menudo es requerido al comunicarse entre negocios y agencias gubernamentales, por ejemplo.

Otro estándar de correo seguro, PGP (divertidamente llamado "Pretty Good Privacy"), se utiliza más para comunicaciones seguras de persona a persona. Es menos popular ahora porque las versiones para consumidores de clientes de correo web populares como Gmail y Outlook/Hotmail no pueden mostrar correo cifrado. Esa es una razón por la cual mucha comunicación de persona a persona que requiere privacidad se ha trasladado a plataformas como WhatsApp (y muchas otras) que ofrecen cifrado nativo de extremo a extremo.

Tanto PGP como S/MIME requieren un cliente de correo que pueda usar claves y certificados. Muchos clientes de escritorio y móviles, incluidos Apple Mail, Microsoft Outlook y Mozilla Thunderbird, cumplen con los requisitos, al igual que las versiones empresariales de algunos clientes web como Microsoft Office 365. Configurar las claves requiere trabajo, pero muchas organizaciones aún lo consideran valioso, a pesar de las recientes revelaciones de vulnerabilidades que requieren soluciones para bloquear la carga de contenido remoto.

S/MIME ha existido desde 1995 y ha pasado por varias revisiones; la versión actual está cubierta por RFC 5751. Requiere intercambio de claves públicas, una tarea no trivial que a menudo requiere el apoyo de un equipo de TI o recurso similar. Para las organizaciones que ejecutan infraestructura de correo electrónico en las instalaciones, la implementación de S/MIME requiere consideraciones adicionales para plataformas como PowerMTA y Momentum, que cubrimos en nuestra guía sobre S/MIME para correo seguro en las instalaciones. Sin embargo, hay enfoques automatizados para simplificar este proceso, como recoger claves públicas de los destinatarios a través de sistemas basados en correo electrónico que pueden simplificar la gestión de claves para flujos de correo electrónico generados por aplicaciones. Aquí es donde entran en juego soluciones comerciales de empresas como los socios de SparkPost Virtru y Echoworkx, haciendo la seguridad más fácil para el correo empresarial de persona a persona (vea nuestro manual de SparkPost/Echoworkx para más información).

Dicho esto, profundicemos un poco más en el viejo y sencillo S/MIME y veamos qué podemos hacer con él.

S/MIME es un método establecido desde hace tiempo para enviar correos electrónicos cifrados y firmados, basado en estándares públicos de Internet. Regularmente nos encontramos con requisitos para S/MIME, especialmente de industrias reguladas como la banca, la salud y las finanzas. S/MIME a menudo es requerido al comunicarse entre negocios y agencias gubernamentales, por ejemplo.

Otro estándar de correo seguro, PGP (divertidamente llamado "Pretty Good Privacy"), se utiliza más para comunicaciones seguras de persona a persona. Es menos popular ahora porque las versiones para consumidores de clientes de correo web populares como Gmail y Outlook/Hotmail no pueden mostrar correo cifrado. Esa es una razón por la cual mucha comunicación de persona a persona que requiere privacidad se ha trasladado a plataformas como WhatsApp (y muchas otras) que ofrecen cifrado nativo de extremo a extremo.

Tanto PGP como S/MIME requieren un cliente de correo que pueda usar claves y certificados. Muchos clientes de escritorio y móviles, incluidos Apple Mail, Microsoft Outlook y Mozilla Thunderbird, cumplen con los requisitos, al igual que las versiones empresariales de algunos clientes web como Microsoft Office 365. Configurar las claves requiere trabajo, pero muchas organizaciones aún lo consideran valioso, a pesar de las recientes revelaciones de vulnerabilidades que requieren soluciones para bloquear la carga de contenido remoto.

S/MIME ha existido desde 1995 y ha pasado por varias revisiones; la versión actual está cubierta por RFC 5751. Requiere intercambio de claves públicas, una tarea no trivial que a menudo requiere el apoyo de un equipo de TI o recurso similar. Para las organizaciones que ejecutan infraestructura de correo electrónico en las instalaciones, la implementación de S/MIME requiere consideraciones adicionales para plataformas como PowerMTA y Momentum, que cubrimos en nuestra guía sobre S/MIME para correo seguro en las instalaciones. Sin embargo, hay enfoques automatizados para simplificar este proceso, como recoger claves públicas de los destinatarios a través de sistemas basados en correo electrónico que pueden simplificar la gestión de claves para flujos de correo electrónico generados por aplicaciones. Aquí es donde entran en juego soluciones comerciales de empresas como los socios de SparkPost Virtru y Echoworkx, haciendo la seguridad más fácil para el correo empresarial de persona a persona (vea nuestro manual de SparkPost/Echoworkx para más información).

Dicho esto, profundicemos un poco más en el viejo y sencillo S/MIME y veamos qué podemos hacer con él.

¿Por qué debería I preocuparme?

La versión corta:

  • La encriptación te da privacidad en los mensajes.

  • La firma te proporciona autenticación (del remitente), no repudio del origen, y verificaciones de integridad del mensaje.

  • S/MIME funciona de manera diferente a DKIM y DMARC y puede coexistir con ellos.

Privacidad
Si tus mensajes no contienen nada personal, privado o legalmente importante, entonces probablemente no necesitarás pensar en S/MIME. Los sistemas modernos de entrega de correo electrónico como SparkPost ya utilizan "TLS oportunista" para asegurar el transporte del mensaje desde el servidor de envío al servidor del destinatario.

La parte "oportunista" significa, sin embargo, que si el servidor de envío no puede negociar una conexión segura, enviaremos el correo en texto plano. Esto no es adecuado si deseas asegurar que el mensaje sea seguro todo el camino. Puedes echar un vistazo a qué proveedores de buzón afirman soportar TLS y cuáles realmente lo hacen. Suponiendo que el servidor del destinatario soporte TLS, tu mensaje se asegura así:

Email encryption process highlighting TLS between a gear-labeled "Message Source" on the left, an flame icon representing encryption in the middle, and a envelope-labeled "Recipient" on the right.

TLS asegura las conversaciones entre los servidores de correo (por eso se llama Seguridad de Capa de Transporte). MIME (incluyendo S/MIME) se ocupa del contenido del mensaje y su tratamiento, y puede considerarse parte de la "capa de presentación".

S/MIME asegura el contenido del mensaje todo el camino ("de extremo a extremo") desde el origen del mensaje hasta el cliente de correo del destinatario, encapsulando el cuerpo del mensaje.

A diagram illustrating email security with S/MIME encryption, showing a message source icon leading to an email symbol, both connected by TLS, with a locked envelope symbol representing the recipient, highlighting secure message delivery.

S/MIME encripta el cuerpo del mensaje con la clave pública del destinatario. El cuerpo no puede ser decodificado sin la clave privada del destinatario, ni por ninguna "persona en el medio" como tu ISP, SparkPost, o el servidor de correo del destinatario.

La clave privada nunca se divulga; se mantiene en posesión exclusiva del destinatario. El mensaje encriptado viaja por Internet al servidor de correo receptor. Cuando llega a la bandeja de entrada del destinatario, se descifra (generalmente automáticamente) con su clave privada y se vuelve legible.

Algunas advertencias de S/MIME que debes tener en cuenta:

S/MIME tiene el efecto secundario de impedir el escaneo de mensajes entrantes basado en el servidor para detectar malware, ya que la carga del mensaje está en forma encriptada y por lo tanto es inidentificable.

Ten en cuenta que los encabezados del mensaje (De:, Para:, Asunto:, etc.) no están encriptados, por lo que el contenido de la línea de asunto debe crearse teniendo eso en mente.

Firma – autenticación
S/MIME también proporciona al destinatario la capacidad de verificar que la identidad del remitente del mensaje es quien dicen ser.

El correo electrónico del remitente tiene un certificado adjunto, que, al igual que el certificado de un sitio web seguro, puede rastrearse hasta una autoridad emisora. Para obtener una descripción completa del proceso de firma, vea el PDF del proceso de firma S/MIME.

Adoptaremos el enfoque de firmar el correo primero y luego encriptarlo, para que el proceso se vea así.

Diagram illustrating S/MIME signing and encryption in email communication, featuring icons for message source, email transfer via TLS, and recipient, with visual representations of encryption and security processes.


No repudio
Otro beneficio útil de la firma para el destinatario es el no repudio del origen. Considera una situación en la cual un mensaje de correo electrónico se utiliza para aprobar un contrato. El destinatario recibe el contrato en un mensaje del remitente. Si el remitente posteriormente intenta decir, "No, nunca te envié ese mensaje", entonces el mensaje recibido muestra que el certificado del remitente fue de hecho utilizado.

Integridad del mensaje
El proceso de firma crea una huella digital del mensaje fuente en texto plano (conocido como un resumen del mensaje), encripta el resumen utilizando la clave privada del remitente, y lo incluye en el mensaje entregado. El cliente de correo del destinatario puede saber si el cuerpo del mensaje fue manipulado.

Quizá podrías decir: "Pensé que DKIM me brinda verificaciones de integridad del mensaje". Bueno, sí, DKIM proporciona verificaciones de integridad del cuerpo del mensaje y del encabezado del mensaje – garantías contra manipulaciones. Sin embargo, el fallo de DKIM (o su ausencia) no suele causar que el mensaje entrante se marque como completamente inválido... a menos que una política DMARC de p=reject esté en juego (consulta nuestra entrada de blog DMARC: Cómo proteger tu reputación de correo electrónico). DKIM es uno de los muchos factores utilizados por el ISP para asignar de manera confiable una reputación a un dominio y es, por supuesto, una parte esencial de tu pila de mensajería.

Tu cliente de correo te mostrará de manera prominente si un mensaje S/MIME falla las verificaciones de firma:

Email application window displaying a warning pop-up about a digital signature being invalid, highlighting issues with message encryption and the need to verify the sender's identity, next to a list of emails and a highlighted delete option.

Resumen: de extremo a extremo (S/MIME) vs de servidor a servidor (DKIM, DMARC, TLS)
S/MIME es una capacidad de capa de presentación que puede funcionar entre dos usuarios finales de correo electrónico (con certificados/llaves válidos) sin ninguna acción por parte del administrador de correo electrónico. S/MIME proporciona encriptación y firma y es personal para cada usuario.

S/MIME está vinculado a la dirección completa de envío (parte local y parte del dominio), por lo que, por ejemplo, alice@bigcorp.com y bob@bigcorp.com necesitarían tener diferentes certificados. En contraste, DKIM valida que el correo electrónico proviene del dominio que firma. DKIM es todo un tema en sí mismo; este artículo es un buen lugar para comenzar.

La configuración de DKIM y DMARC es realizada por el administrador de correo electrónico (trabajando en el servidor de correo y los registros DNS). Una vez configurados, están activos para los dominios, en lugar de para usuarios individuales.

La versión corta:

  • La encriptación te da privacidad en los mensajes.

  • La firma te proporciona autenticación (del remitente), no repudio del origen, y verificaciones de integridad del mensaje.

  • S/MIME funciona de manera diferente a DKIM y DMARC y puede coexistir con ellos.

Privacidad
Si tus mensajes no contienen nada personal, privado o legalmente importante, entonces probablemente no necesitarás pensar en S/MIME. Los sistemas modernos de entrega de correo electrónico como SparkPost ya utilizan "TLS oportunista" para asegurar el transporte del mensaje desde el servidor de envío al servidor del destinatario.

La parte "oportunista" significa, sin embargo, que si el servidor de envío no puede negociar una conexión segura, enviaremos el correo en texto plano. Esto no es adecuado si deseas asegurar que el mensaje sea seguro todo el camino. Puedes echar un vistazo a qué proveedores de buzón afirman soportar TLS y cuáles realmente lo hacen. Suponiendo que el servidor del destinatario soporte TLS, tu mensaje se asegura así:

Email encryption process highlighting TLS between a gear-labeled "Message Source" on the left, an flame icon representing encryption in the middle, and a envelope-labeled "Recipient" on the right.

TLS asegura las conversaciones entre los servidores de correo (por eso se llama Seguridad de Capa de Transporte). MIME (incluyendo S/MIME) se ocupa del contenido del mensaje y su tratamiento, y puede considerarse parte de la "capa de presentación".

S/MIME asegura el contenido del mensaje todo el camino ("de extremo a extremo") desde el origen del mensaje hasta el cliente de correo del destinatario, encapsulando el cuerpo del mensaje.

A diagram illustrating email security with S/MIME encryption, showing a message source icon leading to an email symbol, both connected by TLS, with a locked envelope symbol representing the recipient, highlighting secure message delivery.

S/MIME encripta el cuerpo del mensaje con la clave pública del destinatario. El cuerpo no puede ser decodificado sin la clave privada del destinatario, ni por ninguna "persona en el medio" como tu ISP, SparkPost, o el servidor de correo del destinatario.

La clave privada nunca se divulga; se mantiene en posesión exclusiva del destinatario. El mensaje encriptado viaja por Internet al servidor de correo receptor. Cuando llega a la bandeja de entrada del destinatario, se descifra (generalmente automáticamente) con su clave privada y se vuelve legible.

Algunas advertencias de S/MIME que debes tener en cuenta:

S/MIME tiene el efecto secundario de impedir el escaneo de mensajes entrantes basado en el servidor para detectar malware, ya que la carga del mensaje está en forma encriptada y por lo tanto es inidentificable.

Ten en cuenta que los encabezados del mensaje (De:, Para:, Asunto:, etc.) no están encriptados, por lo que el contenido de la línea de asunto debe crearse teniendo eso en mente.

Firma – autenticación
S/MIME también proporciona al destinatario la capacidad de verificar que la identidad del remitente del mensaje es quien dicen ser.

El correo electrónico del remitente tiene un certificado adjunto, que, al igual que el certificado de un sitio web seguro, puede rastrearse hasta una autoridad emisora. Para obtener una descripción completa del proceso de firma, vea el PDF del proceso de firma S/MIME.

Adoptaremos el enfoque de firmar el correo primero y luego encriptarlo, para que el proceso se vea así.

Diagram illustrating S/MIME signing and encryption in email communication, featuring icons for message source, email transfer via TLS, and recipient, with visual representations of encryption and security processes.


No repudio
Otro beneficio útil de la firma para el destinatario es el no repudio del origen. Considera una situación en la cual un mensaje de correo electrónico se utiliza para aprobar un contrato. El destinatario recibe el contrato en un mensaje del remitente. Si el remitente posteriormente intenta decir, "No, nunca te envié ese mensaje", entonces el mensaje recibido muestra que el certificado del remitente fue de hecho utilizado.

Integridad del mensaje
El proceso de firma crea una huella digital del mensaje fuente en texto plano (conocido como un resumen del mensaje), encripta el resumen utilizando la clave privada del remitente, y lo incluye en el mensaje entregado. El cliente de correo del destinatario puede saber si el cuerpo del mensaje fue manipulado.

Quizá podrías decir: "Pensé que DKIM me brinda verificaciones de integridad del mensaje". Bueno, sí, DKIM proporciona verificaciones de integridad del cuerpo del mensaje y del encabezado del mensaje – garantías contra manipulaciones. Sin embargo, el fallo de DKIM (o su ausencia) no suele causar que el mensaje entrante se marque como completamente inválido... a menos que una política DMARC de p=reject esté en juego (consulta nuestra entrada de blog DMARC: Cómo proteger tu reputación de correo electrónico). DKIM es uno de los muchos factores utilizados por el ISP para asignar de manera confiable una reputación a un dominio y es, por supuesto, una parte esencial de tu pila de mensajería.

Tu cliente de correo te mostrará de manera prominente si un mensaje S/MIME falla las verificaciones de firma:

Email application window displaying a warning pop-up about a digital signature being invalid, highlighting issues with message encryption and the need to verify the sender's identity, next to a list of emails and a highlighted delete option.

Resumen: de extremo a extremo (S/MIME) vs de servidor a servidor (DKIM, DMARC, TLS)
S/MIME es una capacidad de capa de presentación que puede funcionar entre dos usuarios finales de correo electrónico (con certificados/llaves válidos) sin ninguna acción por parte del administrador de correo electrónico. S/MIME proporciona encriptación y firma y es personal para cada usuario.

S/MIME está vinculado a la dirección completa de envío (parte local y parte del dominio), por lo que, por ejemplo, alice@bigcorp.com y bob@bigcorp.com necesitarían tener diferentes certificados. En contraste, DKIM valida que el correo electrónico proviene del dominio que firma. DKIM es todo un tema en sí mismo; este artículo es un buen lugar para comenzar.

La configuración de DKIM y DMARC es realizada por el administrador de correo electrónico (trabajando en el servidor de correo y los registros DNS). Una vez configurados, están activos para los dominios, en lugar de para usuarios individuales.

La versión corta:

  • La encriptación te da privacidad en los mensajes.

  • La firma te proporciona autenticación (del remitente), no repudio del origen, y verificaciones de integridad del mensaje.

  • S/MIME funciona de manera diferente a DKIM y DMARC y puede coexistir con ellos.

Privacidad
Si tus mensajes no contienen nada personal, privado o legalmente importante, entonces probablemente no necesitarás pensar en S/MIME. Los sistemas modernos de entrega de correo electrónico como SparkPost ya utilizan "TLS oportunista" para asegurar el transporte del mensaje desde el servidor de envío al servidor del destinatario.

La parte "oportunista" significa, sin embargo, que si el servidor de envío no puede negociar una conexión segura, enviaremos el correo en texto plano. Esto no es adecuado si deseas asegurar que el mensaje sea seguro todo el camino. Puedes echar un vistazo a qué proveedores de buzón afirman soportar TLS y cuáles realmente lo hacen. Suponiendo que el servidor del destinatario soporte TLS, tu mensaje se asegura así:

Email encryption process highlighting TLS between a gear-labeled "Message Source" on the left, an flame icon representing encryption in the middle, and a envelope-labeled "Recipient" on the right.

TLS asegura las conversaciones entre los servidores de correo (por eso se llama Seguridad de Capa de Transporte). MIME (incluyendo S/MIME) se ocupa del contenido del mensaje y su tratamiento, y puede considerarse parte de la "capa de presentación".

S/MIME asegura el contenido del mensaje todo el camino ("de extremo a extremo") desde el origen del mensaje hasta el cliente de correo del destinatario, encapsulando el cuerpo del mensaje.

A diagram illustrating email security with S/MIME encryption, showing a message source icon leading to an email symbol, both connected by TLS, with a locked envelope symbol representing the recipient, highlighting secure message delivery.

S/MIME encripta el cuerpo del mensaje con la clave pública del destinatario. El cuerpo no puede ser decodificado sin la clave privada del destinatario, ni por ninguna "persona en el medio" como tu ISP, SparkPost, o el servidor de correo del destinatario.

La clave privada nunca se divulga; se mantiene en posesión exclusiva del destinatario. El mensaje encriptado viaja por Internet al servidor de correo receptor. Cuando llega a la bandeja de entrada del destinatario, se descifra (generalmente automáticamente) con su clave privada y se vuelve legible.

Algunas advertencias de S/MIME que debes tener en cuenta:

S/MIME tiene el efecto secundario de impedir el escaneo de mensajes entrantes basado en el servidor para detectar malware, ya que la carga del mensaje está en forma encriptada y por lo tanto es inidentificable.

Ten en cuenta que los encabezados del mensaje (De:, Para:, Asunto:, etc.) no están encriptados, por lo que el contenido de la línea de asunto debe crearse teniendo eso en mente.

Firma – autenticación
S/MIME también proporciona al destinatario la capacidad de verificar que la identidad del remitente del mensaje es quien dicen ser.

El correo electrónico del remitente tiene un certificado adjunto, que, al igual que el certificado de un sitio web seguro, puede rastrearse hasta una autoridad emisora. Para obtener una descripción completa del proceso de firma, vea el PDF del proceso de firma S/MIME.

Adoptaremos el enfoque de firmar el correo primero y luego encriptarlo, para que el proceso se vea así.

Diagram illustrating S/MIME signing and encryption in email communication, featuring icons for message source, email transfer via TLS, and recipient, with visual representations of encryption and security processes.


No repudio
Otro beneficio útil de la firma para el destinatario es el no repudio del origen. Considera una situación en la cual un mensaje de correo electrónico se utiliza para aprobar un contrato. El destinatario recibe el contrato en un mensaje del remitente. Si el remitente posteriormente intenta decir, "No, nunca te envié ese mensaje", entonces el mensaje recibido muestra que el certificado del remitente fue de hecho utilizado.

Integridad del mensaje
El proceso de firma crea una huella digital del mensaje fuente en texto plano (conocido como un resumen del mensaje), encripta el resumen utilizando la clave privada del remitente, y lo incluye en el mensaje entregado. El cliente de correo del destinatario puede saber si el cuerpo del mensaje fue manipulado.

Quizá podrías decir: "Pensé que DKIM me brinda verificaciones de integridad del mensaje". Bueno, sí, DKIM proporciona verificaciones de integridad del cuerpo del mensaje y del encabezado del mensaje – garantías contra manipulaciones. Sin embargo, el fallo de DKIM (o su ausencia) no suele causar que el mensaje entrante se marque como completamente inválido... a menos que una política DMARC de p=reject esté en juego (consulta nuestra entrada de blog DMARC: Cómo proteger tu reputación de correo electrónico). DKIM es uno de los muchos factores utilizados por el ISP para asignar de manera confiable una reputación a un dominio y es, por supuesto, una parte esencial de tu pila de mensajería.

Tu cliente de correo te mostrará de manera prominente si un mensaje S/MIME falla las verificaciones de firma:

Email application window displaying a warning pop-up about a digital signature being invalid, highlighting issues with message encryption and the need to verify the sender's identity, next to a list of emails and a highlighted delete option.

Resumen: de extremo a extremo (S/MIME) vs de servidor a servidor (DKIM, DMARC, TLS)
S/MIME es una capacidad de capa de presentación que puede funcionar entre dos usuarios finales de correo electrónico (con certificados/llaves válidos) sin ninguna acción por parte del administrador de correo electrónico. S/MIME proporciona encriptación y firma y es personal para cada usuario.

S/MIME está vinculado a la dirección completa de envío (parte local y parte del dominio), por lo que, por ejemplo, alice@bigcorp.com y bob@bigcorp.com necesitarían tener diferentes certificados. En contraste, DKIM valida que el correo electrónico proviene del dominio que firma. DKIM es todo un tema en sí mismo; este artículo es un buen lugar para comenzar.

La configuración de DKIM y DMARC es realizada por el administrador de correo electrónico (trabajando en el servidor de correo y los registros DNS). Una vez configurados, están activos para los dominios, en lugar de para usuarios individuales.

¿Cómo se relaciona esto con SparkPost?

Los sistemas de correo para mensajería entre personas, como Microsoft Exchange Server, han apoyado S/MIME durante mucho tiempo.

Si estás utilizando SparkPost para enviar a destinatarios específicos con clientes de correo que pueden leer S/MIME, entonces podría tener sentido firmar tus mensajes con S/MIME. La firma de S/MIME añade una mayor garantía de que el mensaje realmente proviene de ti (o de tu sistema) y no ha sido alterado, lo que puede ser valioso en algunos casos de uso. Todo lo que necesitas para eso es tu propia clave y algún software gratuito que demostraremos en la parte 2 de este artículo.

Usar encriptación S/MIME es una opción diferente a considerar. Necesitarás la clave pública para cada uno de tus destinatarios. Obtener esto podría ser tan fácil como hacer que te envíen (o a tu aplicación) un correo electrónico firmado. Exploraremos una herramienta práctica para enviar correos firmados y encriptados con S/MIME a través de SparkPost en un próximo artículo.

Los sistemas de correo para mensajería entre personas, como Microsoft Exchange Server, han apoyado S/MIME durante mucho tiempo.

Si estás utilizando SparkPost para enviar a destinatarios específicos con clientes de correo que pueden leer S/MIME, entonces podría tener sentido firmar tus mensajes con S/MIME. La firma de S/MIME añade una mayor garantía de que el mensaje realmente proviene de ti (o de tu sistema) y no ha sido alterado, lo que puede ser valioso en algunos casos de uso. Todo lo que necesitas para eso es tu propia clave y algún software gratuito que demostraremos en la parte 2 de este artículo.

Usar encriptación S/MIME es una opción diferente a considerar. Necesitarás la clave pública para cada uno de tus destinatarios. Obtener esto podría ser tan fácil como hacer que te envíen (o a tu aplicación) un correo electrónico firmado. Exploraremos una herramienta práctica para enviar correos firmados y encriptados con S/MIME a través de SparkPost en un próximo artículo.

Los sistemas de correo para mensajería entre personas, como Microsoft Exchange Server, han apoyado S/MIME durante mucho tiempo.

Si estás utilizando SparkPost para enviar a destinatarios específicos con clientes de correo que pueden leer S/MIME, entonces podría tener sentido firmar tus mensajes con S/MIME. La firma de S/MIME añade una mayor garantía de que el mensaje realmente proviene de ti (o de tu sistema) y no ha sido alterado, lo que puede ser valioso en algunos casos de uso. Todo lo que necesitas para eso es tu propia clave y algún software gratuito que demostraremos en la parte 2 de este artículo.

Usar encriptación S/MIME es una opción diferente a considerar. Necesitarás la clave pública para cada uno de tus destinatarios. Obtener esto podría ser tan fácil como hacer que te envíen (o a tu aplicación) un correo electrónico firmado. Exploraremos una herramienta práctica para enviar correos firmados y encriptados con S/MIME a través de SparkPost en un próximo artículo.

¿Qué clientes soportan S/MIME?

Consumer Gmail
El cliente web ordinario de Gmail muestra las firmas de correo entrante (ver abajo), pero no está configurado para mantener tu clave privada para leer mensajes cifrados. Incluso si eso fuera posible a través de complementos de terceros, subir tu clave privada no es una gran idea desde el punto de vista de la seguridad.

Message titled "Test message with signature" from Steve Tuck, featuring a verified email address, date and time, and standard encryption details.

No pude lograr que Yahoo! Mail decodifique las firmas en los mensajes en absoluto.

La versión para consumidores de las cuentas de Microsoft Outlook/Hotmail te alerta sobre la presencia de una firma S/MIME, pero no te da acceso completo para ver o verificar el certificado.

Message titled "Testing attachments etc," with the body text mentioning that S/MIME isn't supported and an attached PDF file.


Correo empresarial alojado
Para organizaciones con correo alojado, Microsoft Office 365 y G Suite Enterprise tienen soporte S/MIME.


Clientes de correo Outlook
Microsoft Outlook basado en cliente (por ejemplo, 2010 para Windows) funciona:

Message with the subject "Here is our declaration" featuring plain text and an orange arrow marking the message as important.


Hacer clic en los iconos te da más información:

Dialog box displaying a valid digital signature, with details about the signer and certificate information, and options for error warnings in digitally signed emails.Message Security Properties window for an email, detailing encryption and digital signature layers, with options to check trust certification, featuring buttons and encryption status displays.


En Outlook 2010 / Windows, el almacén de certificados se accede a través de Archivo / Opciones / Centro de confianza / Configuración del Centro de confianza / Seguridad del correo electrónico / Importar / Exportar.

Microsoft Outlook with an open email about testing attachments, alongside a pop-up window showing security settings for importing certificates, illustrating steps for setting up digital signature encryption.


Thunderbird – multiplataforma y gratuito
Si buscas un cliente gratuito, Mozilla Thunderbird es una buena opción. Está disponible en PC, Mac y Linux, y admite S/MIME en todos ellos. Así es como se ve un mensaje en Mac. El icono de 'sobre sellado' indica que el mensaje está firmado, y el candado indica que fue cifrado.

Email client with a message open, showing an image of a happy golden retriever puppy, with visible email options and browser tabs at the top.


Al hacer clic en el sobre/candado se muestra información sobre el mensaje:

Message notification with text indicating the message is signed with a valid digital signature and encrypted before sending, verified by COMODO RSA Client Authentication and Secure Email CA.

Thunderbird tiene su propio almacén de claves, accesible de formas similares en cada plataforma:
Mac a través de Preferencias / Avanzado / Certificados / Administrar Certificados
PC: menú (“hamburguesa” arriba a la derecha), Avanzado / Certificados / Administrar Certificados
Linux: menú (“hamburguesa” arriba a la derecha), Preferencias / Avanzado / Administrar Certificados


Mac Mail
Mac Mail también soporta S/MIME. Depende de tu llavero de Mac para mantener tus claves.

An email featuring the security status of the message, indicating that it is digitally signed and encrypted.


iOS Mail
Primero, importa el certificado de tu cuenta de correo así, luego puedes ver correos electrónicos firmados y cifrados con S/MIME. Realmente no se ven diferentes en la pantalla de visualización.

"Install Profile" page for an "Identity Certificate," indicating the profile is not signed, with options to view more details or proceed with installation at the top right.iPhone interface prompting the user to enter a password for the "Identity Certificate" in the Mail app.A happy golden retriever with an open mouth and tongue out is shown in the image as part of an email attachment test.

Android
Algunos dispositivos y aplicaciones soportan S/MIME; hay mucha variedad. Samsung tiene una guía.

Consumer Gmail
El cliente web ordinario de Gmail muestra las firmas de correo entrante (ver abajo), pero no está configurado para mantener tu clave privada para leer mensajes cifrados. Incluso si eso fuera posible a través de complementos de terceros, subir tu clave privada no es una gran idea desde el punto de vista de la seguridad.

Message titled "Test message with signature" from Steve Tuck, featuring a verified email address, date and time, and standard encryption details.

No pude lograr que Yahoo! Mail decodifique las firmas en los mensajes en absoluto.

La versión para consumidores de las cuentas de Microsoft Outlook/Hotmail te alerta sobre la presencia de una firma S/MIME, pero no te da acceso completo para ver o verificar el certificado.

Message titled "Testing attachments etc," with the body text mentioning that S/MIME isn't supported and an attached PDF file.


Correo empresarial alojado
Para organizaciones con correo alojado, Microsoft Office 365 y G Suite Enterprise tienen soporte S/MIME.


Clientes de correo Outlook
Microsoft Outlook basado en cliente (por ejemplo, 2010 para Windows) funciona:

Message with the subject "Here is our declaration" featuring plain text and an orange arrow marking the message as important.


Hacer clic en los iconos te da más información:

Dialog box displaying a valid digital signature, with details about the signer and certificate information, and options for error warnings in digitally signed emails.Message Security Properties window for an email, detailing encryption and digital signature layers, with options to check trust certification, featuring buttons and encryption status displays.


En Outlook 2010 / Windows, el almacén de certificados se accede a través de Archivo / Opciones / Centro de confianza / Configuración del Centro de confianza / Seguridad del correo electrónico / Importar / Exportar.

Microsoft Outlook with an open email about testing attachments, alongside a pop-up window showing security settings for importing certificates, illustrating steps for setting up digital signature encryption.


Thunderbird – multiplataforma y gratuito
Si buscas un cliente gratuito, Mozilla Thunderbird es una buena opción. Está disponible en PC, Mac y Linux, y admite S/MIME en todos ellos. Así es como se ve un mensaje en Mac. El icono de 'sobre sellado' indica que el mensaje está firmado, y el candado indica que fue cifrado.

Email client with a message open, showing an image of a happy golden retriever puppy, with visible email options and browser tabs at the top.


Al hacer clic en el sobre/candado se muestra información sobre el mensaje:

Message notification with text indicating the message is signed with a valid digital signature and encrypted before sending, verified by COMODO RSA Client Authentication and Secure Email CA.

Thunderbird tiene su propio almacén de claves, accesible de formas similares en cada plataforma:
Mac a través de Preferencias / Avanzado / Certificados / Administrar Certificados
PC: menú (“hamburguesa” arriba a la derecha), Avanzado / Certificados / Administrar Certificados
Linux: menú (“hamburguesa” arriba a la derecha), Preferencias / Avanzado / Administrar Certificados


Mac Mail
Mac Mail también soporta S/MIME. Depende de tu llavero de Mac para mantener tus claves.

An email featuring the security status of the message, indicating that it is digitally signed and encrypted.


iOS Mail
Primero, importa el certificado de tu cuenta de correo así, luego puedes ver correos electrónicos firmados y cifrados con S/MIME. Realmente no se ven diferentes en la pantalla de visualización.

"Install Profile" page for an "Identity Certificate," indicating the profile is not signed, with options to view more details or proceed with installation at the top right.iPhone interface prompting the user to enter a password for the "Identity Certificate" in the Mail app.A happy golden retriever with an open mouth and tongue out is shown in the image as part of an email attachment test.

Android
Algunos dispositivos y aplicaciones soportan S/MIME; hay mucha variedad. Samsung tiene una guía.

Consumer Gmail
El cliente web ordinario de Gmail muestra las firmas de correo entrante (ver abajo), pero no está configurado para mantener tu clave privada para leer mensajes cifrados. Incluso si eso fuera posible a través de complementos de terceros, subir tu clave privada no es una gran idea desde el punto de vista de la seguridad.

Message titled "Test message with signature" from Steve Tuck, featuring a verified email address, date and time, and standard encryption details.

No pude lograr que Yahoo! Mail decodifique las firmas en los mensajes en absoluto.

La versión para consumidores de las cuentas de Microsoft Outlook/Hotmail te alerta sobre la presencia de una firma S/MIME, pero no te da acceso completo para ver o verificar el certificado.

Message titled "Testing attachments etc," with the body text mentioning that S/MIME isn't supported and an attached PDF file.


Correo empresarial alojado
Para organizaciones con correo alojado, Microsoft Office 365 y G Suite Enterprise tienen soporte S/MIME.


Clientes de correo Outlook
Microsoft Outlook basado en cliente (por ejemplo, 2010 para Windows) funciona:

Message with the subject "Here is our declaration" featuring plain text and an orange arrow marking the message as important.


Hacer clic en los iconos te da más información:

Dialog box displaying a valid digital signature, with details about the signer and certificate information, and options for error warnings in digitally signed emails.Message Security Properties window for an email, detailing encryption and digital signature layers, with options to check trust certification, featuring buttons and encryption status displays.


En Outlook 2010 / Windows, el almacén de certificados se accede a través de Archivo / Opciones / Centro de confianza / Configuración del Centro de confianza / Seguridad del correo electrónico / Importar / Exportar.

Microsoft Outlook with an open email about testing attachments, alongside a pop-up window showing security settings for importing certificates, illustrating steps for setting up digital signature encryption.


Thunderbird – multiplataforma y gratuito
Si buscas un cliente gratuito, Mozilla Thunderbird es una buena opción. Está disponible en PC, Mac y Linux, y admite S/MIME en todos ellos. Así es como se ve un mensaje en Mac. El icono de 'sobre sellado' indica que el mensaje está firmado, y el candado indica que fue cifrado.

Email client with a message open, showing an image of a happy golden retriever puppy, with visible email options and browser tabs at the top.


Al hacer clic en el sobre/candado se muestra información sobre el mensaje:

Message notification with text indicating the message is signed with a valid digital signature and encrypted before sending, verified by COMODO RSA Client Authentication and Secure Email CA.

Thunderbird tiene su propio almacén de claves, accesible de formas similares en cada plataforma:
Mac a través de Preferencias / Avanzado / Certificados / Administrar Certificados
PC: menú (“hamburguesa” arriba a la derecha), Avanzado / Certificados / Administrar Certificados
Linux: menú (“hamburguesa” arriba a la derecha), Preferencias / Avanzado / Administrar Certificados


Mac Mail
Mac Mail también soporta S/MIME. Depende de tu llavero de Mac para mantener tus claves.

An email featuring the security status of the message, indicating that it is digitally signed and encrypted.


iOS Mail
Primero, importa el certificado de tu cuenta de correo así, luego puedes ver correos electrónicos firmados y cifrados con S/MIME. Realmente no se ven diferentes en la pantalla de visualización.

"Install Profile" page for an "Identity Certificate," indicating the profile is not signed, with options to view more details or proceed with installation at the top right.iPhone interface prompting the user to enter a password for the "Identity Certificate" in the Mail app.A happy golden retriever with an open mouth and tongue out is shown in the image as part of an email attachment test.

Android
Algunos dispositivos y aplicaciones soportan S/MIME; hay mucha variedad. Samsung tiene una guía.

Finalmente…

Esa es nuestra rápida visión general de los usos prácticos de S/MIME. Si deseas obtener tus propios certificados de correo, hay una lista de proveedores aquí. Encontré que Comodo funciona bien (gratis para uso no comercial – abre esto en Firefox, no en Chrome).

En la parte 2, exploraremos cómo aplicar la firma y cifrado S/MIME a los mensajes que envías a través de SparkPost.

Lectura adicional
Microsoft tiene un buen artículo introductorio sobre S/MIME en su documentación.

Para más información sobre la vulnerabilidad EFAIL y cómo se ha abordado, consulta el sitio web oficial de EFAIL. Otras explicaciones fáciles de seguir están disponibles en la página wiki de EFAIL y en el blog de CipherMail: EFAIL: ¿Qué es vulnerable, PGP, S/MIME o tu cliente de correo?.

Esa es nuestra rápida visión general de los usos prácticos de S/MIME. Si deseas obtener tus propios certificados de correo, hay una lista de proveedores aquí. Encontré que Comodo funciona bien (gratis para uso no comercial – abre esto en Firefox, no en Chrome).

En la parte 2, exploraremos cómo aplicar la firma y cifrado S/MIME a los mensajes que envías a través de SparkPost.

Lectura adicional
Microsoft tiene un buen artículo introductorio sobre S/MIME en su documentación.

Para más información sobre la vulnerabilidad EFAIL y cómo se ha abordado, consulta el sitio web oficial de EFAIL. Otras explicaciones fáciles de seguir están disponibles en la página wiki de EFAIL y en el blog de CipherMail: EFAIL: ¿Qué es vulnerable, PGP, S/MIME o tu cliente de correo?.

Esa es nuestra rápida visión general de los usos prácticos de S/MIME. Si deseas obtener tus propios certificados de correo, hay una lista de proveedores aquí. Encontré que Comodo funciona bien (gratis para uso no comercial – abre esto en Firefox, no en Chrome).

En la parte 2, exploraremos cómo aplicar la firma y cifrado S/MIME a los mensajes que envías a través de SparkPost.

Lectura adicional
Microsoft tiene un buen artículo introductorio sobre S/MIME en su documentación.

Para más información sobre la vulnerabilidad EFAIL y cómo se ha abordado, consulta el sitio web oficial de EFAIL. Otras explicaciones fáciles de seguir están disponibles en la página wiki de EFAIL y en el blog de CipherMail: EFAIL: ¿Qué es vulnerable, PGP, S/MIME o tu cliente de correo?.

Otras noticias

Leer más de esta categoría

A person is standing at a desk while typing on a laptop.

La plataforma completa AI-native que escala con tu negocio.

Contactar con ventas

Empieza gratis

© 2025 Bird

Contactar Soporte

A person is standing at a desk while typing on a laptop.

La plataforma completa AI-native que escala con tu negocio.

Contactar con ventas

Empieza gratis

© 2025 Bird

Contactar Soporte

A person is standing at a desk while typing on a laptop.

La plataforma completa AI-native que escala con tu negocio.

Contactar con ventas

Empieza gratis

© 2025 Bird

Contactar Soporte