Entender SPF y DKIM para mejorar la entregabilidad del correo electrónico

En los primeros días del 'correo electrónico moderno', había mecanismos limitados disponibles para apoyar la verificación del remitente. Casi todo el spam, estafas y virus que se propagaron por correo electrónico lo hicieron utilizando información de remitente falsificada, como algunos todavía lo hacen hoy en día. Verificar quiénes son realmente los remitentes de correo electrónico fue y sigue siendo un proceso difícil.

Toma el ejemplo de visitar www.google.com y enviar una búsqueda. Generalmente, estás bastante seguro de que Google tiene control sobre lo que se te devuelve por tu búsqueda y que los resultados de la búsqueda son seguros. Esto se debe a que el Sistema de Nombres de Dominio (DNS), una red distribuida de servidores que actúan como una guía telefónica, conecta el dominio con una variedad de registros, incluidos dónde encontrar el verdadero google.com.

El correo electrónico utiliza una adaptación posterior de este mismo sistema para verificar remitentes, lo cual es exactamente lo que es un registro de Sender Policy Framework (SPF).

Ventajas e Inconvenientes Potenciales del SPF

El SPF es hábil para prevenir phishing. Sin él, SMTP expondría tu dirección a aquellos que podrían falsificarla con fines de spam. Con SPF implementado, cuando un hacker intenta iniciar un correo electrónico desde tu dirección, la seguridad SPF del servidor receptor lo detecta e identifica como inválido. Usar SPF muestra que tu organización está comprometida con la protección contra amenazas cibernéticas, un signo que impacta positivamente en tu reputación de remitente.

Cuando un usuario fuera de tu dominio reenvía un correo electrónico que se originó en ti, es posible que la entrega no ocurra debido a una discrepancia entre el registro de IP y el registro SPF. Muchos agentes de intercambio y transferencia de correo ahora están usando el Sender Rewriting Scheme (SRS) para mejorar la entregabilidad de los correos reenviados. El registro SPF también debe reflejar cualquier cambio en los proveedores de servicios de correo electrónico de terceros para asegurar que se correspondan para la entregabilidad.

Cómo Funciona el SPF

En el nivel más básico, el correo electrónico SPF establece un método para que los servidores receptores verifiquen que el correo entrante de un dominio fue enviado desde un host autorizado por los administradores de ese dominio. Los siguientes tres pasos delinean cómo funciona el SPF:

1. Un administrador de dominio publica la política que define los servidores de correo autorizados para enviar correo desde ese dominio. Esta política se llama registro SPF y está listada como parte de los registros DNS generales del dominio.

2. Cuando un servidor de correo entrante recibe un correo electrónico, busca las reglas para el dominio de rebote (Return-Path) en DNS. Luego, el servidor entrante compara la dirección IP del remitente de correo con las direcciones IP autorizadas definidas en el registro SPF.

3. El servidor de correo receptor luego usa las reglas especificadas en el registro SPF del dominio remitente para decidir si aceptar, rechazar o de otra manera señalar el mensaje de correo electrónico.

Para dar el primer paso de inspeccionar tu propio registro SPF, puedes hacerlo con la herramienta gratuita de SparkPost – el Inspector SPF.

Resumen de cómo funciona el SPF

Una vez que hayas identificado qué servidores están autorizados para enviar en nombre de un dominio, puedes entonces crear un registro SPF para tu dominio a través del SPF Builder.

Crear un registro SPF te acercará un paso más a asegurar que el correo legítimo que proviene de tu dominio sea entregado con éxito a las bandejas de entrada de los clientes.

Cuando se trata de verificar que un mensaje de correo electrónico fue enviado desde un servidor de correo autorizado, es ahí donde entra en juego DKIM.

Ventajas e Inconvenientes Potenciales de la Autenticación DKIM

El principal beneficio del correo DKIM es su capacidad para proteger contra ataques de spoofing y phishing. La autenticación aparece dentro del mensaje mismo para evitar la falsificación y proteger a los usuarios de responder a correos electrónicos ilegítimos con datos personales sensibles. Tanto el spoofing como el phishing tienen el potencial de dañar tu reputación de envío y la entregabilidad futura, por lo que la protección contra ambos es beneficiosa.

Crear un correo con DKIM tiene el mismo posible inconveniente que SPF cuando se trata de reenviar mensajes. Por ejemplo, un correo que se enruta automáticamente desde una computadora de oficina a un móvil de un usuario puede parecer ilegítimo para el servidor receptor. Muchos servicios de correo electrónico populares han resuelto este problema. Otro desafío que puede presentarse es un DKIM que es demasiado corto en longitud. Con más soporte para claves más largas, las más cortas pueden no pasar la autenticación.

Cómo Funciona el DKIM

En términos simples, DKIM funciona al agregar una firma digital a los encabezados de un mensaje de correo electrónico. Esta firma puede luego ser validada contra una clave criptográfica pública que se encuentra en el registro DNS de la organización.

El propietario del dominio publica una clave criptográfica. Esto está específicamente formateado como un registro TXT en el registro DNS general del dominio.

Después de que un mensaje es enviado por un servidor de correo saliente, el servidor genera y adjunta la firma DKIM única al encabezado del mensaje.

La clave DKIM es luego utilizada por los servidores de correo entrante para detectar y descifrar la firma del mensaje y compararla con una versión nueva. Si los valores coinciden, se puede demostrar que el mensaje es auténtico, sin alteraciones en tránsito y, por lo tanto, no falsificado o alterado.

Puedes validar tu correo con el Validador DKIM.

Resumen de cómo funciona DKIM