Autenticación de SPF, DKIM y DMARC

Cuando envías correos, los proveedores de correo electrónico (como Gmail, Outlook, AOL y Yahoo) deben identificar si el mensaje es un correo electrónico legítimo que envía el propietario del nombre de dominio o la dirección de correo electrónico, o bien, si se trata de un correo electrónico falsificado que envía alguien dedicado a hacer spam o phishing. Esto incluye los correos electrónicos enviados desde ActiveCampaign.

Hay tres métodos establecidos que se usan para comprobar la identidad de un remitente. Estos son SPF, DKIM y DMARC. Se recomienda configurar estos métodos de autenticación de correo electrónico por varias razones. Las razones más comunes son:

  • Borrar “por…” del encabezado de Gmail
    Al hacerlo, refuerzas tu personalización (consulta la imagen a continuación). Un efecto secundario positivo de configurar la autenticación DKIM es que este encabezado desaparece.
  • Crea reputación como remitente de correo electrónico con tu nombre de dominio
    Enviar correos electrónicos sin autenticación es como entregar la tarea sin tu nombre. Es posible que hayas hecho un trabajo excelente, pero no puedes llevarte el crédito de la tarea sin tu nombre. La autenticación DKIM en particular ayuda a crear tu reputación como remitente de correo electrónico.
  • Aplica una seguridad más estricta en el nombre de tu dominio
    Los estándares de autenticación como DMARC ayudan a proteger tu nombre de dominio contra el uso fraudulento por parte de personas dedicadas a hacer spam y phishing que quieren dañar tu reputación o estafar a tus clientes.

La autenticación por correo electrónico no es una bala de plata para resolver problemas de entrega. La autenticación resuelve el problema de determinar de quién proviene el correo electrónico, pero no si el destinatario desea el correo electrónico.

Normalmente, los remitentes que siguen las prácticas recomendadas, tales como enviar correos electrónicos personalizados de alta calidad a una lista de opt-in y limpiar la lista regularmente, ven una mayor entrega eficaz al usar la autenticación de correo electrónico. Su dominio crea una reputación de buen remitente con los destinatarios que quieren interactuar con sus correos electrónicos.

Normalmente, los remitentes que siguen prácticas no recomendadas, tales como usar una lista alquilada o comprada, no tener mensajes claros durante el proceso de opt-in sobre qué tipo de correos electrónicos se enviarán y con qué frecuencia o no limpiar nunca la lista, ven una menor entrega eficaz con la autenticación de correo electrónico. Su dominio puede crear una reputación de remitente de correos electrónicos no deseados.

La autenticación permite a los buenos remitentes solidificar aún más su reputación y proteger su dominio contra remitentes defectuosos que pueden intentar secuestrar su dominio.

Por ello, te recomendamos configurar la autenticación, pero no es obligatorio que lo hagas. 

SPF

Los registros de marco de políticas del remitente (SPF, por sus siglas en inglés) son registros TXT en tu dominio que autorizan a ciertos servidores a enviar correos utilizando tu nombre de dominio. ActiveCampaign configura automáticamente el SPF para todos los clientes. Esto significa que no es necesario crear un registro SPF o modificar uno existente para trabajar con ActiveCampaign. Esto se aplica incluso si usas un dominio personalizado.

Si de cualquier modo quieres agregar ActiveCampaign a tu registro SPF existente (aunque no es necesario), puedes hacerlo agregando “include:emsd1.com” a tu registro SPF existente o creando uno nuevo. Por ejemplo, si envías correos electrónicos desde G Suite y ActiveCampaign, tu registro SPF podría ser como el siguiente:

v=spf1 include:emsd1.com include:_spf.google.com ~all

Solo puedes crear un registro SPF para tu nombre de dominio. Si tienes un registro SPF existente, tendrás que modificar el registro existente en lugar de crear uno nuevo.

DKIM

Básicamente, DKIM (Domain Keys Identified Mail) es una firma que cualquier remitente puede poner en sus mensajes de correo electrónico. Esta firma deja claro que el supuesto remitente del mensaje es el legítimo remitente del mensaje. Cualquier dominio se puede utilizar como firma. Por ejemplo, una empresa llamada “Dog Bandanas” firmará sus mensajes con el dominio dogbandanas.com para confirmar que el mensaje de verdad fue enviado por “Dog Bandanas”.

Esto se logra insertando una firma criptográfica oculta en el encabezado de correo electrónico (ActiveCampaign hará esto) y luego colocando una clave pública en tu sitio web que verifique la autenticidad de dicha firma.

Todos los correos enviados desde ActiveCampaign usarán la firma DKIM de ActiveCampaign de forma predeterminada. La firma DKIM de ActiveCampaign tiene una muy buena reputación y es suficiente para la mayoría de los remitentes. Sin embargo, es fácil configurar DKIM para tu propio dominio, si quieres hacerlo.

Para configurar DKIM:

1. Haz clic en “Configuración”.

2. Haz clic en “Avanzado”.

3. Haz clic en la opción “Administraré mi propia autenticación de correo electrónico”.

sarahnicholaev

4. Escribe el dominio de envíoen el campo DomainKeys Identified Mail (DKIM) y haz clic en el botón “Generar”.

sarahnicholaev

Generaremos un nombre de registro TXT y un valor de registro TXT.

sarahnicholaev

Ten en cuenta que los valores generados aquí no se guardarán en la página. Necesitarás usar estos valores para configurar un registro TXT en su host DNS.

Tu host DNS suele ser la empresa con la que registraste tu dominio o la empresa host de tu sitio web. La mayoría de los hosts DNS requerirán los siguientes elementos para configurar el registro TXT:

  • Tipo
    Elige TXT.
  • Nombre o host
    Ingresa dk._domainkey (lo más común) o el nombre completo del registro TXT mostrado dentro de ActiveCampaign (que es menos común).  Cuál tienes que usar depende de si tu proveedor de DNS anexa automáticamente el nombre de dominio a los registros DNS que creas. Si no sabes cuál debes usar, consulta el formato de otros registros DNS en la configuración (¿incluyen el nombre de dominio en el campo Nombre o Host?) o pregunta a tu host de DNS.
  • Valor o registro
    Ingresa el valor del registro TXT mostrado dentro de ActiveCampaign.
  • TTL 
    Este acrónimo se refiere a “tiempo de vida”. Utiliza la configuración recomendada o predeterminada del host de DNS. Si no hay una configuración predeterminada, recomendamos usar 3600 (una hora).

Para consultar instrucciones específicas para tu host, utiliza tu motor de búsqueda preferido y busca “Agregar registro TXT en _____”, poniendo en la línea en blanco a tu proveedor de DNS. Para mayor comodidad, a continuación incluimos algunos proveedores de DNS comunes:

Una vez que hayas terminado, puedes utilizar nuestra herramienta de autenticación o enviar un correo electrónico de prueba con mail-tester.com para asegurarte de que DKIM esté funcionando.

A continuación podrás ver un video paso a paso sobre cómo configurar DKIM:

DMARC

La autenticación de mensajes, creación de informes y conformidad basada en dominios (DMARC, por sus siglas en inglés) es un estándar que se basa en SPF y DKIM. Permite al propietario del dominio crear una directiva que indique a los proveedores de correo electrónico (como Google o Microsoft) qué hacer si el correo electrónico produce un error en las verificaciones de SPF y DKIM. 

DMARC admite tres configuraciones de políticas principales:

  • “Ninguno”
    Indica que los correos electrónicos deben tratarse con normalidad si se produce un error en DMARC. Es equivalente a no tener un registro DMARC en absoluto, aunque puedes aprovechar las funciones de creación de informes de DMARC.
  • “Cuarentena”
    Indica que los correos electrónicos deben enviarse a la carpeta de spam si se produce un error en la verificación de DMARC.
  • “Rechazar”
    Indica que los correos electrónicos deben ser rebotados (no entregados al destinatario) si se produce un error en la verificación de DMARC.

El uso de una directiva DMARC “Cuarentena” o “Rechazar” requerirá que tengas una configuración de registro DKIM adecuada para tu dominio de envío. De lo contrario, todo tu correo de ActiveCampaign no pasará la prueba de DMARC. Esto lo filtrará y enviará a la carpeta de spam (“Cuarentena”) o lo bloqueará por completo (“Rechazar”). Asegúrate de haber configurado DKIM para todos los dominios de envío antes de configurar un registro DMARC estricto.

DMARC no es una herramienta para mejorar la entrega eficaz y no es necesario configurar DMARC para enviar correos electrónicos desde ActiveCampaign. Sin embargo, tienes que utilizar DMARC si:

  • Alguien suplanta activamente tu dominio, envía correo fraudulento y daña tu reputación. DMARC te permitiría identificar esta actividad maliciosa y detenerla.
  • Tu organización tiene una directiva de seguridad de correo electrónico que requiere autenticación DMARC, por ejemplo, una entidad gubernamental u organización financiera.
  • Quieres mostrar un logotipo de BIMI en tus correos electrónicos.

Para empezar a usar DMARC, te recomendamos que comiences con la política “Ninguno” para que no afecte a tu entrega eficaz en caso de que la configuración sea incorrecta. Después, puedes revisar los informes DMARC para ver qué pasaría si utilizaras una directiva más estricta.

A continuación presentamos una política DMARC inicial recomendada. Puedes configurarlo creando un registro TXT con un host o nombre de _dmarc en tu proveedor de DNS e ingresando el siguiente valor en el campo Valor o Registro. Asegúrate de reemplazar la dirección de correo electrónico a continuación con la tuya:

v=DMARC1; p=none; pct=100; rua=mailto:tucorreo@ejemplo.com

Si no reemplazas la dirección de correo electrónico del ejemplo anterior con la tuya, no recibirás informes DMARC.

Si quieres implementar una seguridad más estricta en tu dominio, puedes configurar un registro DMARC más estricto mediante la política “Cuarentena” o “Rechazar”. Para configurar un registro DMARC estricto, te recomendamos que visites dmarc.org para obtener recomendaciones sobre cómo configurar el registro correctamente.

Métodos de autenticación adicionales

BIMI

BIMI (indicadores de marca para la identificación de mensajes) es un nuevo estándar experimental que se basa en DMARC. Permite a los propietarios de dominio que han implementado DMARC comprar un certificado de marca verificada (VMC) para mostrar un logotipo BIMI para su marca en los mensajes de correo electrónico. Esto les ofrece a los destinatarios una manera fácil de identificar visualmente los mensajes de confianza.

Como BIMI es un estándar nuevo, todavía no lo han adoptado todos los propietarios de dominios o proveedores de correo electrónico. Además, no es necesario que configures BIMI. Sin embargo, si quieres obtener más información, puedes consultar los siguientes sitios:

SenderID

SenderID es un estándar de autenticación creado por Microsoft y pensado como reemplazo de SPF. Sin embargo, el ID del remitente ha quedado obsoleto y la gran mayoría de los servicios de correo electrónico ya no lo utiliza. Además, no es necesario configurarlo.

Si haces envíos a sistemas de correo electrónico antiguos que dependen del ID del remitente, se recomienda configurar un ID de remitente vacío para evitar posibles conflictos con SPF:

spf2.0/pra

Lectura adicional

En este artículo, no intentamos explicar el proceso técnico de cómo funcionan SPF, DKIM y DMARC. Cada uno de estos protocolos de autenticación tiene un sitio web público donde la especificación técnica se explica en profundidad:

¿Tiene más preguntas? Enviar una solicitud