Autenticación de SPF, DKIM y DMARC

Cuando envías correos electrónicos, los proveedores de las cuentas (como Gmail, Outlook, AOL y Yahoo) deben identificar si tu mensaje es un correo electrónico legítimo enviado por el propietario del nombre de dominio o de la dirección de correo electrónico, o un correo electrónico falsificado enviado por un spammer o phisher. Esto incluye los correos electrónicos enviados desde ActiveCampaign.

Antes de abordar las cuestiones centrales de los métodos de autenticación, asegúrate de usar un dominio de envío válido (existente y establecido) que sea de tu propiedad. El dominio debe haberse creado hace más de 30 días y debe contar con un "registro A" válido.

También es fundamental que el dominio tenga un registro MX: este registro especifica el servidor de correo responsable de aceptar mensajes de correo electrónico en nombre de un nombre de dominio. 

¿Tu dominio de envío es válido y cuenta con un registro MX? ¡Es hora de autenticarlo!

Hay tres métodos establecidos que se utilizan para verificar la identidad de un remitente. Estos son SPF, DKIM y DMARC. Recomendamos configurar estos métodos de autenticación de correo electrónico por varias razones. Las razones más comunes son:  

  • Consolidar tu marca
    Puedes potenciar tu marca al eliminar el encabezado "a través de..." de Gmail. Un efecto secundario positivo de configurar la autenticación DKIM es que este encabezado desaparece.
    Remove_the_
  • Crear una reputación como remitente de correo electrónico con tu nombre de dominio
    Enviar correos electrónicos sin autenticación es como entregar la tarea sin nombre. Aunque hayas obtenido la nota más alta, no puedes atribuirte el mérito si no pusiste tu nombre. La autenticación DKIM en particular ayuda a desarrollar tu reputación como remitente de correo electrónico.
  • Aplicar una seguridad más estricta en tu nombre de dominio
    Los estándares de autenticación como DMARC ayudan a proteger tu nombre de dominio de un posible uso fraudulento.

La autenticación de correo electrónico no resuelve todos los problemas de entregabilidad, como si el destinatario desea o no recibir el correo electrónico. Sin embargo, la autenticación resuelve el problema de determinar de quién proviene el correo electrónico.

Un remitente que sigue las prácticas recomendadas, como enviar correos electrónicos personalizados de alta calidad a una lista de suscriptores y hacer un mantenimiento de la lista con regularidad, generalmente tendrá una mayor capacidad de entrega con la autenticación de correo electrónico. Su dominio tendrá una reputación como buen remitente con destinatarios que desean interactuar con sus correos electrónicos.

Un remitente que no sigue las prácticas recomendadas, como usar una lista alquilada o comprada, no proporcionar información clara durante el proceso de suscripción sobre qué tipo de correos electrónicos se enviarán y con qué frecuencia, o nunca hacer un mantenimiento de la lista; generalmente tendrá una menor capacidad de entrega con la autenticación de correo electrónico. Su dominio podría tener una reputación como remitente de correos electrónicos no deseados.

La autenticación permite a los buenos remitentes consolidar aún más su reputación y proteger su dominio de los malos remitentes que pueden intentar interceptar su dominio.

​​Como se explica a continuación, ActiveCampaign autentica todo su tráfico con SPF y DKIM. Sin embargo, también puedes autenticar tu dominio de envío con estos estándares.

Ten en cuenta que, aunque no tienes la obligación de hacerlo, te recomendamos firmemente que configures la autenticación en tu dominio de envío.

SPF

Los registros SPF (marco de directivas de remitente) son registros TXT del dominio que autorizan a servidores específicos a enviar correos con tu nombre de dominio. ActiveCampaign configura los SPF automáticamente para todos sus clientes. Esto significa que no necesitas crear un registro SPF o modificar uno existente para trabajar con ActiveCampaign. Esto se aplica incluso si utilizas un dominio personalizado.

Si aún así quieres agregar ActiveCampaign a tu registro SPF existente (aunque no sea necesario), puedes agregar "include:emsd1.com" a tu registro SPF actual. Por ejemplo, si envías correos electrónicos desde G Suite y ActiveCampaign, tu registro SPF podría ser el siguiente:

v=spf1 include:emsd1.com include:_spf.google.com ~all


Solo puedes crear un registro SPF para tu nombre de dominio. Si cuentas con un registro SPF, deberás modificar el existente en lugar de crear uno nuevo.

Para obtener más información, consulta esta guía detallada de SPF del equipo de Postmark.

DKIM

DKIM (claves de dominio identificadas) es una firma que cualquier remitente puede utilizar en sus correos electrónicos. Esta firma deja claro que el supuesto remitente del mensaje es en realidad el remitente del mensaje. Puedes usar cualquier dominio como firma. Por ejemplo, una compañía llamada "Pañuelos para Perros" firmará sus mensajes con el dominio "pañuelosparaperros.com" para confirmar que el mensaje fue enviado por "Pañuelos para Perros".

Esto se logra al insertar una firma criptográfica oculta en el encabezado de tu correo electrónico (ActiveCampaign se encargará de hacerlo) y, luego, colocar una clave pública en tu sitio web que verifica la autenticidad de esta firma.

Los correos electrónicos que envíes desde ActiveCampaign llevarán por defecto la firma DKIM de ActiveCampaign. La firma DKIM de ActiveCampaign tiene una excelente reputación y es suficiente para la mayoría de los remitentes. Sin embargo, puedes configurar fácilmente DKIM para tu dominio si lo deseas.

Para configurar DKIM:

  1. Inicia sesión en tu cuenta de ActiveCampaign como usuario administrador de la cuenta.
  2. Haz clic en "Configuración", en el menú de la izquierda.
  3. Haz clic en la pestaña "Avanzado".
  4. Haz clic en la opción "Administraré mi propia autenticación de correo electrónico".
  5. Escribe tu dominio de envío en el campo Domain Keys Identified Mail (DKIM) y haz clic en el botón "Generar".
    DKIM_setup_example_image.png

Generaremos un nombre de registro TXT y un valor de registro TXT.

  Los valores generados aquí no se guardarán en la página. Deberás usar estos valores para configurar un registro TXT en tu host DNS.

Tu host DNS suele ser la empresa con la que registraste tu dominio o a través de la cual alojas tu sitio web. La mayoría de los hosts DNS requerirán los siguientes elementos para configurar el registro TXT:

  • Tipo
    Elige TXT.
  • Nombre o Host
    Ingresa dk._domainkey (el más común) o el nombre de registro TXT completo que se muestra dentro de ActiveCampaign (menos común). Lo que elijas dependerá de si tu proveedor de DNS agrega automáticamente el nombre de dominio a los registros DNS que creas. Si no estás seguro de cuál usar, consulta el formato de otros registros DNS en tu configuración (¿incluyen el nombre de dominio en el campo Nombre o Host?) o pregúntale a tu host DNS.
  • Valor o Registro
    Ingresa el valor de registro TXT que aparece dentro de ActiveCampaign.
  • TTL
    TTL significa "Tiempo de vida", por sus siglas en inglés. Utiliza la configuración recomendada o predeterminada de tu host DNS. Si no hay una configuración predeterminada, recomendamos 3600 (una hora).

Para encontrar instrucciones específicas para tu host, usa tu motor de búsqueda preferido para buscar "Agregar registro TXT en _____" y reemplaza la línea en blanco con tu proveedor de DNS. Para mayor comodidad, hemos incluido algunos proveedores de DNS comunes a continuación:

Una vez que hayas terminado, puedes usar nuestra herramienta de autenticación o probar un correo electrónico en vivo con mail-tester.com para asegurarte de que el DKIM esté funcionando.

Ver un video

Este es un breve tutorial en video sobre la configuración de DKIM:

DMARC

DMARC (autenticación de mensajes, informes y conformidad basada en dominios) es un estándar que se basa en SPF y DKIM. Permite al propietario del dominio crear una directiva que indique a los proveedores de cuentas (como Google o Microsoft) qué hacer si el correo electrónico no cumple con las comprobaciones SPF y DKIM. 

DMARC admite tres configuraciones de directivas principales:

  • "Ninguno"
    Indica que los correos electrónicos deben tratarse normalmente si falla la DMARC. Es equivalente a no tener un registro DMARC, aunque aún puedes aprovechar los informes generados por DMARC.
  • "Cuarentena"
    Indica que los correos electrónicos deben enviarse a la carpeta de correo no deseado si falla la comprobación DMARC.
  • "Rechazar"
    Indica que los correos electrónicos deben rebotar (no deben entregarse al destinatario) si falla la comprobación DMARC.

Para usar las directivas de "Cuarentena" o "Rechazar", deberás configurar correctamente tu registro DKIM para tu dominio de envío. De lo contrario, ninguno de tus mensajes de ActiveCampaign pasará la comprobación DMARC. Se filtrarán a la carpeta de correos no deseados ("Cuarentena") o se bloquearán por completo ("Rechazar"). Asegúrate de configurar el DKIM para todos tus dominios de envío antes de configurar un registro DMARC estricto.

DMARC no es una herramienta para mejorar la capacidad de entrega y no es necesario que la configures para enviar correos electrónicos desde ActiveCampaign. Sin embargo, te recomendamos usar DMARC en los siguientes casos:

  • Alguien está falsificando tu dominio, enviando correo fraudulento y dañando tu reputación. DMARC te permitirá identificar esta actividad maliciosa y cerrarla.
  • Tu organización tiene una política de seguridad para correos electrónicos que requiere autenticación DMARC, como en el caso de una entidad gubernamental u organización financiera.
  • Deseas mostrar un logotipo de BIMI en tus correos electrónicos.

Para comenzar con DMARC, te recomendamos que selecciones la directiva de "Ninguno" para no afectar tu capacidad de entrega en caso de una configuración incorrecta. Luego, puedes supervisar los informes de DMARC para ver cuál sería el impacto si utilizaras una política más estricta.

A continuación, te presentamos la directiva DMARC inicial que recomendamos. Para configurarla, crea un registro TXT con un Host o Nombre de _dmarc en tu proveedor de DNS e ingresa el valor a continuación para el Valor o Registro. Asegúrate de reemplazar la siguiente dirección de correo electrónico con tu dirección de correo electrónico:

v=DMARC1; p=none; pct=100; rua=mailto:youremail@example.com


Si no reemplazas la dirección de correo electrónico en el ejemplo anterior con la tuya, no recibirás informes de DMARC. Sin embargo, según el volumen de correos electrónicos que envíes, el buzón de la dirección de correo electrónico especificada podría verse desbordado y al límite. Además, dado que los informes DMARC se envían en formato XML, son difíciles de leer. Es por eso que recomendamos encarecidamente trabajar con una solución de supervisión DMARC que se pueda configurar para introducir estos correos electrónicos o informes, y proporcionar resultados más legibles y procesables. Echa un vistazo a DMARC Digests, que ahora forma parte del conjunto de productos de ActiveCampaign.

DMARC_Digests_image.png

Ten en cuenta también que el plazo para investigar y tomar las medidas adecuadas puede variar antes de poder configurar el modo de cumplimiento de DMARC.

Si quieres implementar una seguridad más robusta en tu dominio, puedes configurar un registro DMARC más estricto con una directiva de "Cuarentena" o "Rechazar". Para configurar un registro DMARC estricto, te sugerimos que ingreses a dmarc.org para obtener recomendaciones sobre cómo configurar el registro correctamente.

Métodos de autenticación adicionales

BIMI

BIMI (indicadores de marca para la identificación de mensajes) es un nuevo estándar que se basa en DMARC. Permite a los propietarios de dominios que han implementado DMARC en modo de cumplimiento comprar un Certificado de marca verificada (VMC) para mostrar un logotipo BIMI para su marca en mensajes de correo electrónico. Esto ofrece a los destinatarios una manera fácil de identificar visualmente los mensajes de confianza.

BIMI es un estándar nuevo y, como tal, aún no tiene un uso tan generalizado entre los propietarios de dominios o los proveedores de cuentas, y no es necesario configurarlo. Sin embargo, si deseas obtener más información, puedes consultar los siguientes sitios:

SenderID

SenderID es un estándar de autenticación creado por Microsoft para reemplazar al SPF. Sin embargo, ha quedado obsoleto y ya no se usa; por lo tanto, no es necesario configurarlo.

Si tienes registros de SenderID configurados actualmente en DNS (registro TXT que comienza con spf2.0), debes eliminarlos.

SPF (registro que comienza con v=spf1) sigue siendo el estándar de autenticación de la industria ampliamente admitido y recomendado.

Lecturas adicionales

En este artículo, no intentamos explicar el proceso técnico de cómo funcionan SPF, DKIM y DMARC. Cada uno de estos protocolos de autenticación tiene un sitio web público donde se explica en profundidad la especificación técnica:

¿Fue útil este artículo?
Usuarios a los que les pareció útil: 55 de 67

Have more questions? Submit a request

Start free trial