Autenticación de SPF, DKIM y DMARC

Cuando envías correos electrónicos, los proveedores de las cuentas (como Gmail, Outlook, AOL y Yahoo) deben identificar si tu mensaje es un correo electrónico legítimo enviado por el propietario del nombre de dominio o de la dirección de correo electrónico, o un correo electrónico falsificado enviado por un spammer o phisher. Esto incluye los correos electrónicos enviados desde ActiveCampaign.

Hay tres métodos establecidos utilizados para verificar la identidad de un remitente. Estos son SPF, DKIM y DMARC. Recomendamos configurar estos métodos de autenticación de correo electrónico por varias razones. Estas son las razones más comunes:

  • Elimina el encabezado "vía..." de Gmail
    Al hacerlo, reforzarás la personalización de tu marca (consulta la imagen a continuación). Un efecto secundario positivo de configurar la autenticación DKIM es que este encabezado desaparece.
  • Construye una reputación como remitente en tu propio nombre de dominio
    Enviar un correo electrónico sin autenticación es como entregar la tarea sin tu nombre. Aunque te hayas sacado la nota más alta, no puedes atribuirte el mérito si no pusiste tu nombre. La autenticación DKIM, en particular, te ayuda a construir tu reputación como remitente de correos electrónicos.
  • Aplica una seguridad más estricta en tu nombre de dominio
    Los estándares de autenticación como DMARC ayudan a proteger tu nombre de dominio del uso fraudulento por parte de spammers y phishers que quieren dañar tu reputación o estafar a tus clientes.

La autenticación de correos electrónicos no es una bala de plata para resolver problemas en la capacidad de entrega. La autenticación resuelve el problema de determinar quién envía el correo electrónico, no si el destinatario desea recibirlo.

Un remitente que sigue las prácticas recomendadas, como enviar correos electrónicos personalizados de alta calidad a una lista que se ha suscripto y limpiar su lista con regularidad, generalmente verá una mayor capacidad de entrega con la autenticación de correos electrónicos. Su dominio tendrá una reputación como buen remitente con destinatarios que desean interactuar con sus correos electrónicos.

Un remitente que no sigue las prácticas recomendadas, como usar una lista alquilada o comprada, no tener mensajes claros durante el proceso de suscripción sobre qué tipo de correos electrónicos se enviarán y con qué frecuencia, o que nunca limpia su lista, generalmente verá una menor capacidad de entrega con la autenticación de correos electrónicos. Su dominio podría tener una reputación como remitente de correos electrónicos no deseados.

La autenticación permite a los buenos remitentes solidificar aún más su reputación y proteger su dominio de los malos remitentes que podrían intentar secuestrarlo.

Por eso, te recomendamos que configures la autenticación, pero no estás obligado a hacerlo. 

SPF

Los registros SPF (marco de política del remitente) son registros TXT en tu dominio que autorizan a ciertos servidores a enviar correos electrónicos utilizando tu nombre de dominio. ActiveCampaign configura los SPF automáticamente para todos sus clientes. Esto significa que no es necesario crear un registro SPF o modificar uno existente para trabajar con ActiveCampaign. Esto se aplica incluso si estás utilizando un dominio personalizado.

Si aún deseas agregar ActiveCampaign a tu registro SPF existente (aunque no sea necesario), puedes hacerlo agregando "include:emsd1.com" a tu registro SPF existente o creando uno nuevo. Por ejemplo, si envías correos electrónicos desde G Suite y ActiveCampaign, tu registro SPF podría ser el siguiente:

v=spf1 include:emsd1.com include:_spf.google.com ~all

Solo puedes crear un registro SPF para tu nombre de dominio. Si tienes un registro SPF existente, deberás modificar el registro existente en lugar de crear uno nuevo.

DKIM

El registro DKIM (claves de dominio identificadas) es esencialmente una firma que cualquier remitente puede utilizar en sus correos electrónicos. Esta firma deja claro que el supuesto remitente del mensaje es en realidad el remitente del mensaje. Se puede utilizar cualquier dominio como firma. Por ejemplo, una compañía llamada "Pañuelos para Perros" firmará sus mensajes con el dominio pañuelosparaperros.com  para confirmar que el mensaje fue realmente enviado por "Pañuelos para Perros".

Esto se logra al insertar una firma criptográfica oculta en el encabezado de tu correo electrónico (ActiveCampaign se encargará de hacerlo) y luego colocar una clave pública en tu sitio web que verifica la autenticidad de esta firma.

Todo el correo electrónico que envíes desde ActiveCampaign llevará por defecto la firma DKIM de ActiveCampaign. La firma DKIM de ActiveCampaign tiene una muy buena reputación y es suficiente para la mayoría de los remitentes. Sin embargo, es fácil configurar el DKIM para tu propio dominio si así lo deseas.

Para configurar el DKIM:

1. Haz clic en "Configuración".

2. Haz clic en "Avanzado".

3. Haz clic en la opción "Administraré mi propia autenticación de correo electrónico".

 sarahnicholaev

4. Escribe tu dominio de envío en el campo Claves de Dominio Identificadas (DKIM) y haz clic en el botón "Generar".

 sarahnicholaev

Generaremos un nombre de registro TXT y un valor de registro TXT.

sarahnicholaev

Ten en cuenta que los valores generados aquí no se guardarán en la página. Deberás usar estos valores para configurar un registro TXT en tu host DNS.

Tu host DNS suele ser la empresa con la que registraste tu dominio o a través de la cual alojas tu sitio web. La mayoría de los hosts DNS requerirán los siguientes elementos para configurar el registro TXT:

  • Tipo
    Elige TXT.
  • Nombre o Host
    Ingresadk._domainkey (el más común), o el nombre de registro TXT completo que se muestra dentro de ActiveCampaign (menos común).  Lo que elijas depende de si tu proveedor de DNS agrega automáticamente el nombre de dominio a los registros DNS que creas. Si no estás seguro de cuál usar, consulta el formato de otros registros DNS en tu configuración (¿incluyen el nombre de dominio en el campo Nombre o Host?) o pregúntale a tu host DNS.
  • Valor o Registro
    Ingresa el valor de registro TXT que aparece dentro de ActiveCampaign.
  • TTL 
    Significa "Tiempo de vida", por sus siglas en inglés. Utiliza la configuración recomendada o predeterminada de tu host DNS. Si no hay una configuración predeterminada, recomendamos 3600 (una hora).

Para encontrar instrucciones específicas para tu host, usa tu motor de búsqueda preferido para buscar "Agregar registro TXT en _____" y reemplaza la línea en blanco con tu proveedor de DNS. Para serte de más ayuda, hemos incluido algunos proveedores de DNS comunes a continuación:

Una vez que hayas terminado, puedes usar nuestra herramienta de autenticación o probar un correo electrónico en vivo con mail-tester.com para asegurarse de que el DKIM esté funcionando.

Aquí hay un tutorial de video rápido sobre la configuración de DKIM:

DMARC

DMARC (autenticación de mensajes, informes y conformidad basada en dominios) es un estándar que se basa en SPF y DKIM. Permite al propietario del dominio crear una directiva que indique a los proveedores de cuentas (como Google o Microsoft) qué hacer si el correo electrónico no cumple con las comprobaciones SPF y DKIM. 

La DMARC admite tres configuraciones de directiva principales:

  • "Ninguno"
    Indica que los correos electrónicos deben tratarse normalmente si falla la DMARC. Es equivalente a no tener un registro DMARC en absoluto, aunque aún puedes aprovechar los informes generados por DMARC.
  • "Cuarentena"
    Indica que los correos electrónicos deben enviarse a la carpeta de correo no deseado si falla la verificación DMARC.
  • "Rechazar"
    Indica que los correos electrónicos deben ser rebotados (no entregados al destinatario) si falla la verificación DMARC.

Para usar las directivas de "Cuarentena" o "Rechazar", deberás haber configurado correctamente tu registro DKIM para tu dominio de envío. De lo contrario, ninguno de tus mensajes de ActiveCampaign pasará la verificación DMARC. Esto lo filtrará a la carpeta de correo no deseado ("Cuarentena") o lo bloqueará por completo ("Rechazar"). Asegúrate de haber configurado el DKIM para todos tus dominios de envío antes de configurar un registro DMARC estricto.

DMARC no es una herramienta para mejorar la capacidad de entrega y no es necesario que la configures para enviar correos electrónicos desde ActiveCampaign. Sin embargo, te recomendamos usar DMARC en los siguientes casos:

  • Alguien está falsificando activamente tu dominio, enviando correo fraudulento y empañando tu reputación. DMARC te permitirá identificar esta actividad maliciosa y cerrarla
  • Tu organización tiene una política de seguridad para correos electrónicos que requiere un registro DMARC, como en el caso de una entidad gubernamental u organización financiera
  • Deseas mostrar un logotipo de BIMI en tus correos electrónicos

Para comenzar con DMARC, te recomendamos que selecciones la directiva de "Ninguno" para no afectar tu capacidad de entrega en caso de una configuración incorrecta. Luego, puedes supervisar los informes de DMARC para ver cuál sería el impacto si utilizaras una política más estricta.

A continuación, te presentamos la directiva DMARC inicial que recomendamos. Para configurarla, crea un registro TXT con un Host o Nombre de _dmarc  en tu proveedor de DNS e ingresa el valor a continuación para el Valor o Registro.  Asegúrate de reemplazar la dirección de correo electrónico a continuación con tu propia dirección de correo electrónico:

v=DMARC1; p=none; pct=100; rua=mailto:tucorreo@ejemplo.com

Si no reemplazas la dirección de correo electrónico en el ejemplo anterior con la tuya, no recibirás informes de DMARC.

Si quieres implementar una seguridad más sólida en tu dominio, puedes configurar un registro DMARC más estricto utilizando una directiva de "Cuarentena" o "Rechazar". Para configurar un registro DMARC estricto, te recomendamos ir a dmarc.org para obtener recomendaciones sobre cómo configurar el registro correctamente.

Métodos de autenticación adicionales

BIMI

BIMI (indicadores de marca para la identificación de mensajes) es un nuevo estándar experimental que se basa en DMARC. Permite a los propietarios de dominios que han implementado DMARC comprar un Certificado de marca verificada (VMC, por sus siglas en inglés) para mostrar un logotipo BIMI para su marca en mensajes de correo electrónico. Esto ofrece a los destinatarios una manera fácil de identificar visualmente los mensajes de confianza.

BIMI es un estándar nuevo. Como tal, aún no tiene un uso tan generalizado entre los propietarios de dominios o los proveedores de cuentas y no es necesario configurarlo. Sin embargo, si estás interesado en obtener más información, puedes consultar los siguientes sitios:

SenderID

SenderID es un estándar de autenticación que fue creado por Microsoft para reemplazar al SPF. Sin embargo, SenderID ha quedado obsoleto y la gran mayoría de los servicios de correo electrónico ya no lo utilizan, por lo que no es necesario configurarlo.

Si envías mensajes a sistemas de correo electrónico heredados que dependen de SenderID, te recomendamos que configures un SenderID vacío para evitar posibles conflictos con SPF:

spf2.0/pra

Lectura adicional

En este artículo, no intentamos explicar el proceso técnico de cómo funcionan SPF, DKIM y DMARC. Cada uno de estos protocolos de autenticación tiene un sitio web público donde se explica en profundidad la especificación técnica:

¿Fue útil este artículo?
Usuarios a los que les pareció útil: 32 de 39

Have more questions? Submit a request

Start free trial