Autenticación SPF, DKIM y DMARC

Cuando envías correos electrónicos, los proveedores del servicio (como Gmail, Outlook, AOL y Yahoo) deben identificar si el mensaje es un correo electrónico legítimo, enviado por el propietario o la dirección de correo electrónico del nombre de dominio, o uno falsificado enviado por un estafador o spammer. Esto incluye los correos electrónicos enviados desde ActiveCampaign.

Antes de profundizar en los métodos de autenticación, asegúrate de usar un dominio de envío válido (existente y establecido) que sea de tu propiedad: tu dominio debe tener más de 30 días de antigüedad y apuntar a un sitio web válido, no a una página en blanco.

Además, es fundamental que el dominio tenga un registro MX. De esta forma, se especifica el servidor de correo electrónico responsable de aceptar mensajes de un dominio. 

¿Tu dominio de envío es válido y tiene un registro MX? Ahora, debes autenticarlo.

Hay tres métodos establecidos que se utilizan para verificar la identidad de un remitente. Estos son SPF, DKIM y DMARC. A partir de febrero de 2024, Gmail y Yahoo comenzarán a exigir autenticación DKIM y DMARC a los usuarios que envíen más de 5000 correos electrónicos al día para lograr la entrega. Sin embargo, ActiveCampaign recomienda ampliamente a todos los remitentes que configuren DKIM y DMARC. Además de este importante requisito, hay mucho beneficios adicionales

• Refuerza la personalización
  Puedes potenciar la personalización al eliminar el encabezado "vía…" de Gmail. Un beneficio secundario de configurar la autenticación DKIM es que este encabezado desaparece.
  
  
• Crea una reputación como remitente de correo electrónico con tu nombre de dominio
  Enviar correos electrónicos sin autenticación es como entregar una tarea si tu nombre. Podrías obtener una nota excelente, pero no puedes atribuirte el mérito si no tiene tu nombre. La autenticación DKIM, en particular, permite crear una reputación como remitente de correo electrónico.
• Aplica una seguridad más estricta en tu nombre de dominio
  Los estándares de autenticación, como DMARC, ayudan a proteger el nombre de dominio de un posible uso fraudulento.

La autenticación de correo electrónico no resuelve todos los problemas de entregabilidad, como si el destinatario quiere recibir el mensaje o no. Sin embargo, sí resuelve el problema de determinar de quién proviene el correo electrónico.

Un remitente que aplica las prácticas recomendadas, como enviar correos electrónicos personalizados y de calidad a una lista de opt-in y hacer limpiezas regulares de la lista, generalmente tendrá una mejor entregabilidad al usar la autenticación de correo electrónico. Su dominio desarrollará una reputación como buen remitente con los destinatarios que desean interactuar con sus correos electrónicos.

Un remitente que no aplica las prácticas recomendadas, por ejemplo, usa una lista alquilada o comprada, no redacta mensajes claros durante el proceso de opt-in sobre el tipo de correos que se enviarán o su frecuencia, o no realiza jamás una limpieza de la lista, tendrá una entregabilidad más baja al usar la autenticación de correo electrónico. Su dominio podría desarrollar una reputación como remitente de correos electrónicos no deseados.

La autenticación les permite a los buenos remitentes consolidar aún más su reputación y proteger su dominio de quienes podrían intentar interceptarlo.

SPF

Los registros SPF (Sender Policy Framework) son registros TXT de tu dominio que autorizan a servidores específicos a enviar correos con tu nombre de dominio. ActiveCampaign configura automáticamente el SPF para todos los clientes. Por lo tanto, no necesitas crear un registro SPF ni modificar uno existente para trabajar con ActiveCampaign. Esto aplica incluso si utilizas un dominio personalizado.

Si aun así deseas añadir a ActiveCampaign (aunque no sea necesario), puedes agregar "include:emsd1.com" a tu registro SPF actual. Por ejemplo, si envías correos electrónicos desde G Suite y ActiveCampaign, tu registro SPF podría ser de la siguiente manera:

v=spf1 include:emsd1.com include:_spf.google.com ~all

Solo puedes crear un registro SPF para tu nombre de dominio. Si ya tienes un registro SPF, tendrás que modificarlo en lugar de crear uno nuevo.

Para obtener más información, consulta esta guía detallada de SPF de nuestro equipo de Postmark.

DKIM

DKIM (Domain Keys Identified Mail) es una firma que cualquier remitente puede aplicar a sus mensajes de correo electrónico. Por medio de esta, se confirma que el supuesto remitente es realmente quien envía el mensaje. Puedes usar cualquier dominio como firma. Por ejemplo, una empresa llamada "Bandanas Caninas" firmaría sus mensajes con el dominio "bandanascaninas.com" para confirmar que el mensaje fue enviado por "Bandanas Caninas".

Para lograr esto, debes insertar una firma cifrada oculta en el encabezado del correo electrónico (ActiveCampaign se encarga de esto) y, luego, colocar una clave pública en tu sitio web que verifique la autenticidad de esta firma.

Todo correo electrónico enviado desde ActiveCampaign usará su firma DKIM de forma predeterminada. La firma DKIM de ActiveCampaign tiene una excelente reputación y es suficiente para la mayoría de los remitentes. Sin embargo, si quieres configurar DKIM para tu dominio, puedes hacerlo de una manera sencilla.

Para obtener más información sobre DKIM, consulta esta guía detallada de DKIM de nuestro equipo de Postmark.

Actualizamos nuestro proceso DKIM de registros TXT a registros CNAME. Si configuras tu DKIM antes del 23 de febrero de 2023, tus registros TXT seguirán funcionando y teniendo validez. No obstante, te recomendamos configurar tu DKIM con las siguientes instrucciones de registros CNAME porque es más seguro.

Para configurar DKIM, haz lo siguiente:

1. Inicia sesión en tu cuenta de ActiveCampaign como usuario administrador principal.
2. Haz clic en la sección de Configuración, ubicada en el menú de la izquierda.
3. Haz clic en la pestaña Avanzada.
4. Haz clic en la opción "Gestionaré mi propia autenticación de correo electrónico".
5. Generaremos dos registros CNAME. Configura ambos registros CNAME en el proveedor de DNS de tu dominio (p. ej., GoDaddy).
   
   

     Los dominios que introduzcas no se guardarán en esta página. Una vez que elijas "Gestionaré mi propia autenticación de correo electrónico", todos los dominios verificados incluirán la firma DKIM. Haz clic en "Verificar DNS" para asegurarte de que todos tus dominios tengan el DNS adecuado.

   En general, el host DNS es la empresa con la que registraste tu dominio o que aloja tu sitio web, por ejemplo, GoDaddy. También puedes usar esta herramienta para confirmar quién es tu proveedor de DNS. La mayoría de los hosts DNS requerirán los siguientes elementos para configurar los registros CNAME:
   
   • Tipo
     Elige CNAME.
   • Nombre o host
     Copia y pega el "nombre" de CNAME de ActiveCampaign para cada registro CNAME, como acdkim1._domainkey (opción más común) o el "nombre" completo de CNAME, como acdkim1._domainkey.mydomain.com (opción menos común). La opción que debas usar depende de si tu proveedor de DNS agrega automáticamente el nombre de dominio a los registros DNS que crees. Si no sabes con seguridad cuál usar, observa el formato de otros registros DNS en tu configuración (¿incluyen el nombre de dominio en el campo "Nombre o host"?) o pregúntale a tu proveedor de DNS.
   • Valor o registro
     Copia y pega el "valor" CNAME que se muestra en ActiveCampaign para cada CNAME.
   • TTL
     TTL significa "Time Till Live", es decir, "Tiempo de vida". Utiliza la configuración recomendada o predeterminada de tu host DNS. Si no hay una configuración predeterminada, recomendamos "300" (5 minutos).
     
     Este proceso variará ligeramente en función de tu host web. Para encontrar instrucciones específicas para tu host, usa el motor de búsqueda que prefieras para buscar "Agregar el registro CNAME en _____" y reemplaza el espacio en blanco por tu proveedor de DNS. Para tu conveniencia, incluimos algunos proveedores de DNS comunes a continuación:
     • GoDaddy
     • Cloudflare
     • Amazon Route 53
6. Una vez que hayas configurado ambos registros CNAME en tu proveedor de DNS, regresa a ActiveCampaign y ve a Configuración > Avanzada. Luego, haz clic en "Comprobar DNS" para verificar que hayas configurado correctamente tus registros DNS. Conoce cómo solucionar los mensajes de error de DKIM.
   
   Por otro lado, puedes probar un correo electrónico en directo con mail-tester.com para asegurarte de que DKIM funciona.
   
   
7. Después de configurar correctamente los registros DNS para todos los dominios de la dirección de remitente, haz clic en "Guardar configuración" en la parte superior de la página.
   
   Ten en cuenta que, para enviar correos electrónicos desde diferentes dominios, se debe configurar cada dominio con los registros DNS adecuados para DKIM.

Ver video

A continuación, encontrarás un breve video tutorial sobre cómo configurar DKIM:

DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance) es un estándar basado en SPF y DKIM. Le permite al propietario del dominio crear una política que indique a los proveedores de correo electrónico (como Google o Microsoft) qué hacer si el mensaje no supera las comprobaciones SPF y DKIM. 

DMARC admite la configuración de tres políticas principales:

• "Ninguno"
  Indica que los correos electrónicos deben gestionarse con normalidad si no superan la comprobación DMARC. Es equivalente a no tener un registro DMARC, aunque aun así puedes aprovechar las funciones de informes de DMARC.
• "Cuarentena"
  Indica que los correos electrónicos deben entregarse a la carpeta de spam si no superan las comprobaciones DMARC.
• "Rechazo"
  Indica que los correos electrónicos deben rebotar (no deben entregarse al destinatario) si no superan las comprobaciones DMARC.

Si usa una política DMARC de "Cuarentena" o "Rechazo", deberá tener una configuración de registro DKIM apropiada para el dominio de envío; de lo contrario, todos tus correos electrónicos de ActiveCampaign no superarán la prueba DMARC. De esta forma, se filtrarán a la carpeta de spam ("Cuarentena") o se bloquearán por completo ("Rechazo"). Asegúrate de configurar DKIM para todos tus dominios de envío antes de establecer un registro DMARC estricto.

Estos son algunos de los beneficios de configurar DMARC:

• Los registros DMARC evitan que otra persona falsifique tu dominio.
• Se requiere DMARC para configurar BIMI. Echa un vistazo a esta guía detallada de BIMI de nuestro equipo de Postmark.
• Muchos proveedores de correo electrónico, como Gmail y Yahoo, requieren DMARC para el envío básico.

Para comenzar con DMARC, te recomendamos aplicar una política de "Ninguno", de modo que no afecte la entregabilidad en caso de una configuración incorrecta. Luego, podrás controlar los informes DMARC para saber cuáles serían las consecuencias de utilizar una política más estricta.

A continuación, recomendamos una política DMARC inicial. Para configurarla, debes crear un registro TXT con un Host o nombre de _dmarc en tu proveedor de DNS e introducir el siguiente valor en el campo Valor o registro. Asegúrate de reemplazar la siguiente dirección de correo electrónico con la tuya:

v=DMARC1; p=none; pct=100; rua=mailto:tucorreoelectronico@ejemplo.com

Si no reemplazas la dirección de correo electrónico del ejemplo anterior por la tuya, no recibirás informes DMARC. Sin embargo, de acuerdo con el volumen de correos electrónicos que envíes, el buzón de la dirección de correo electrónico especificada podría sobrecargarse y alcanzar su límite. Además, dado que los informes de DMARC se envían en formato XML, son difíciles de leer. Por eso, recomendamos especialmente trabajar con una solución de gestión DMARC que pueda configurarse para ingerir estos correos electrónicos/informes y proporcionar resultados más legibles y procesables. Echa un vistazo a DMARC Digests, que ahora forma parte de la gama de productos de ActiveCampaign.

Ten en cuenta que investigar y tomar las medidas adecuadas para configurar DMARC en modo de cumplimento puede llevar un tiempo breve o un período prolongado.

Si quieres implementar una seguridad más robusta en tu dominio, puedes establecer un registro DMARC más estricto mediante una política de "Cuarentena" o "Rechazo". Para configurar un registro DMARC estricto, te recomendamos que visites dmarc.org para obtener recomendaciones sobre cómo configurarlo correctamente.

Métodos de autenticación adicionales

BIMI

BIMI (Brand Indicators for Message Identification) es un nuevo estándar basado en DMARC. Les permite a los propietarios de dominios que implementaron DMARC en modo de cumplimiento adquirir un Certificado de marca verificada (VMC) para mostrar un logotipo BIMI de su marca en mensajes de correo electrónico. De esta forma, los destinatarios pueden identificar mensajes confiables a simple vista.

Como BIMI es un estándar tan nuevo, aún no es de uso generalizado entre los propietarios de dominios y los proveedores de correo electrónico, y no es necesario configurar BIMI. Sin embargo, si te interesa obtener más información, puedes consultar los siguientes sitios:

• BIMI
• DMARC Digests
• Brand Indicators for Message Identification 

SenderID

SenderID es un estándar de autenticación creado por Microsoft para reemplazar SPF. Sin embargo, SenderID ha quedado obsoleto y ya no se utiliza; por lo tanto, no tienes que configurarlo.

Si tienes algún registro SenderID actualmente configurado en DNS (registro TXT que comienza con spf2.0), debes eliminarlo.

SPF (registro que comienza con v=spf1) sigue siendo el estándar de autenticación de la industria ampliamente respaldado y recomendado.

Lectura adicional

En este artículo, no intentamos explicar el funcionamiento técnico de SPF, DKIM y DMARC. Cada uno de estos protocolos de autenticación tiene un sitio web público donde se explican en profundidad las especificaciones técnicas:

• SPF
• DKIM
• DMARC
• BIMI
• SPF vs. SenderID