La seguridad del correo electrónico es crucial en el panorama digital actual, y una de las formas más efectivas de proteger tu dominio de ser utilizado en ataques de spam o phishing es configurando los registros SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting & Conformance) en tu Sistema de Nombres de Dominio (DNS). Estos protocolos de autenticación de correo electrónico ayudan a garantizar que solo los remitentes legítimos puedan usar tu nombre de dominio, aumentando la confiabilidad de tus correos electrónicos y protegiendo tu marca de actividades fraudulentas.

Este artículo de la base de conocimientos proporcionará una guía completa sobre cómo configurar los registros SPF, DKIM y DMARC en los DNS, y cómo estos mecanismos funcionan para mejorar la seguridad del correo electrónico.

¿Qué son SPF, DKIM y DMARC? SPF (Sender Policy Framework) SPF es un protocolo de autenticación de correo electrónico utilizado para validar que el servidor de correo remitente está autorizado por los administradores del dominio para enviar correos electrónicos en nombre del dominio. Ayuda a prevenir el falsificación de correos electrónicos, un método comúnmente utilizado en ataques de phishing.

SPF funciona verificando la dirección IP del remitente contra una lista de direcciones IP de envío autorizadas publicadas en los registros DNS del dominio. Si la dirección IP del servidor de envío no está en la lista, el correo electrónico se marca como sospechoso y es más probable que sea rechazado o marcado como spam.

Cómo funciona SPF:

1. El servidor de correo remitente incluye el dominio en el encabezado "MAIL FROM".
2. El servidor de correo receptor consulta los registros DNS del dominio para obtener la entrada SPF.
3. Si la dirección IP del remitente coincide con las direcciones IP permitidas en el registro SPF, el correo electrónico se acepta. De lo contrario, se rechaza o marca como spam.

DKIM (DomainKeys Identified Mail) DKIM es otro método de autenticación de correo electrónico que utiliza firmas criptográficas para verificar que un mensaje de correo electrónico realmente proviene del dominio que afirma representarlo. DKIM permite que el servidor receptor verifique que el contenido del correo no ha sido alterado durante el tránsito y que proviene genuinamente del dominio que afirma ser.

Con DKIM, un servidor de correo remitente usa una clave privada para firmar los correos electrónicos salientes. La clave pública correspondiente se publica en los registros DNS del dominio. Cuando se recibe el correo electrónico, el servidor de correo receptor usa la clave pública para verificar la firma del correo electrónico.

Cómo funciona DKIM:

1. El servidor de correo remitente genera una firma criptográfica para el correo electrónico utilizando una clave privada.
2. El encabezado del correo electrónico incluye una firma DKIM, que es un valor hash del contenido del mensaje.
3. El servidor receptor utiliza la clave pública, almacenada en DNS, para validar que la firma coincide con el contenido y el encabezado del correo electrónico.
4. Si la firma es válida, prueba que el correo electrónico no ha sido alterado durante el tránsito y proviene de un remitente autorizado.

DMARC (Domain-based Message Authentication, Reporting & Conformance) DMARC es un marco de políticas que se basa en SPF y DKIM para proporcionar una protección más robusta contra el falsificación de correos electrónicos. DMARC ayuda a los propietarios de dominios a especificar cómo se deben manejar los correos electrónicos que no pasen las verificaciones de SPF o DKIM y proporciona un mecanismo de informes sobre los fallos de autenticación de correos electrónicos.

Con DMARC, los propietarios de dominios pueden indicar a los servidores de correo receptores que tomen medidas específicas (por ejemplo, poner en cuarentena o rechazar correos electrónicos) si los correos electrónicos de su dominio no pasan las validaciones de SPF o DKIM. Además, DMARC proporciona informes agregados y forenses, lo que ayuda a los propietarios de dominios a supervisar la efectividad de su seguridad de correo electrónico.

Cómo funciona DMARC:

1. El propietario del dominio crea un registro DMARC en DNS, especificando la política (por ejemplo, rechazar, poner en cuarentena o ninguna) para manejar los correos electrónicos que no pasen las verificaciones de SPF o DKIM.
2. Cuando se recibe un correo electrónico, el servidor de correo receptor verifica los resultados de SPF y DKIM.
3. El servidor de correo aplica la política definida por el propietario del dominio en el registro DMARC.
4. Si el correo electrónico no pasa SPF o DKIM, la política de DMARC determina si se debe rechazar, poner en cuarentena o aceptar el correo electrónico.
5. El servidor receptor envía un informe al propietario del dominio con los resultados de la verificación de DMARC.

Configuración de los registros SPF, DKIM y DMARC en DNS Configuración de SPF Los registros SPF se agregan a la configuración DNS de tu dominio como un registro TXT. El registro SPF define qué servidores de correo están autorizados para enviar correos electrónicos en nombre de tu dominio.

Pasos para crear un registro SPF:

1. Inicia sesión en la consola de administración de tu proveedor de DNS: Este es el lugar donde gestionas tu dominio y los registros DNS.
2. Ubica la configuración DNS de tu dominio: Encuentra la sección donde puedes agregar, modificar o eliminar los registros DNS.
3. Agrega un registro TXT para SPF: Un ejemplo de registro SPF podría verse de la siguiente manera:

v=spf1 include:spf.mydomain.com ~all

Desglosado:

• v=spf1: Especifica la versión de SPF.
• include:spf.mydomain.com: Especifica otro dominio que está autorizado para enviar correos electrónicos en nombre de tu dominio.
• ~all: Especifica un fallo suave para todos los servidores de correo no autorizados (es decir, marcar como spam).

Mecanismos comunes de SPF:

• ip4: Especifica una dirección IPv4 permitida.
• ip6: Especifica una dirección IPv6 permitida.
• include: Hace referencia al registro SPF de otro dominio.
• all: Coincide con todas las fuentes.

4. Guarda el registro: Una vez que hayas agregado el registro SPF, guarda los cambios y espera a que el registro DNS se propague.

Configuración de DKIM Para configurar DKIM, necesitas generar un par de claves pública/privada, donde la clave privada será utilizada por tu servidor de correo para firmar los mensajes salientes y la clave pública se publica en los registros DNS. Aquí te explicamos cómo configurarlo:

Pasos para crear un registro DKIM:

1. Genera un par de claves DKIM:

La mayoría de los proveedores de correo o servidores de correo (como Google, Microsoft 365 o Postfix) ofrecen herramientas para generar claves DKIM. Este proceso crea una clave privada que se instalará en tu servidor de correo y una clave pública que se colocará en tu DNS.

2. Crea un registro TXT para DKIM:

Agrega la clave pública a tus registros DNS como un registro TXT. El registro debería verse así: selector._domainkey.mydomain.com IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4G...IDAQAB"

• selector: Un nombre único que identifica el registro DKIM. Comúnmente, usas el año o una cadena aleatoria (por ejemplo, selector2025).
• v=DKIM1: Especifica la versión de DKIM.
• k=rsa: Especifica el tipo de clave.
• p=: La clave pública.

3. Configura tu servidor de correo:

Actualiza la configuración de tu servidor de correo para firmar los correos electrónicos salientes con la clave privada. Si usas un servicio de correo de terceros (por ejemplo, Google, Office 365), ellos proporcionan guías de configuración de DKIM específicas para sus plataformas.

4. Verifica DKIM:

Después de configurar DKIM, usa herramientas como DKIM Validator o Mail-Tester para verificar que la firma DKIM esté funcionando correctamente.

Configuración de DMARC Una vez que SPF y DKIM están configurados, puedes configurar DMARC para aplicar tus políticas de autenticación de correo electrónico.

Pasos para crear un registro DMARC:

1. Crea un registro DMARC en DNS para el subdominio _dmarc. Ejemplo:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@mydomain.com

2. Guarda y aplica el registro: Después de agregar el registro DMARC, guarda los cambios y espera a la propagación.

3. Monitorea los informes DMARC: DMARC enviará informes a las direcciones de correo electrónico especificadas en los campos rua y ruf. Estos informes proporcionarán información sobre los resultados de autenticación del tráfico de correo electrónico de tu dominio, ayudándote a identificar problemas potenciales.

Solución de problemas con los registros SPF, DKIM y DMARC Solución de problemas con SPF Problema: Los correos electrónicos se marcan como spam a pesar de que el registro SPF está configurado. Solución: Verifica que todas las IPs de envío estén incluidas en tu registro SPF. Puedes usar herramientas de diagnóstico SPF para probar tu registro SPF.

Solución de problemas con DKIM Problema: Los correos electrónicos no pasan la verificación de DKIM. Solución: Verifica si la clave pública DKIM en DNS coincide con la clave privada utilizada por tu servidor de correo. Asegúrate de que el selector DKIM sea correcto.

Solución de problemas con DMARC Problema: Los informes de DMARC muestran fallos de autenticación para correos electrónicos que deberían pasar. Solución: Revisa la configuración de SPF y DKIM. Si el correo electrónico pasa un método de autenticación pero no el otro, asegúrate de que ambos SPF y DKIM se alineen correctamente con el dominio en el encabezado "From".

Mejores prácticas para SPF, DKIM y DMARC

1. Monitorea regularmente los informes: Monitorea continuamente los informes proporcionados por DMARC para mantenerte informado sobre el estado de seguridad del correo electrónico de tu dominio.
2. Prueba los registros DNS: Usa herramientas como MXToolbox, Mail-Tester o DMARC Analyzer para validar tus registros DNS.
3. Usa un subdominio para probar: Antes de implementar nuevas políticas SPF, DKIM o DMARC en tu dominio principal, pruébalas usando un subdominio para asegurarte de que todo funcione correctamente.
4. Aumenta gradualmente la aplicación de DMARC: Comienza con una política de "none" para monitorear el tráfico y, gradualmente, cambia a "quarantine" o "reject" una vez que estés seguro de tu configuración.

Campo de uso, problemas técnicos y preguntas frecuentes técnicas para la configuración personalizada de los registros SPF, DKIM y DMARC en DNS Campo de uso para la configuración personalizada de SPF, DKIM y DMARC en DNS Proveedores de alojamiento web Autenticación de correo electrónico: Los proveedores de alojamiento web a menudo configuran los registros SPF, DKIM y DMARC para asegurar el tráfico de correo electrónico de sus clientes y prevenir el uso fraudulento del dominio. Servicios de soporte: Los proveedores de alojamiento suelen ofrecer la configuración personalizada de SPF, DKIM y DMARC como parte de sus ofertas de seguridad de correo electrónico gestionado para garantizar que el tráfico de correo electrónico saliente de sus clientes esté seguro. Configuración DNS: Los registradores de dominios permiten a los usuarios crear y gestionar registros SPF, DKIM y DMARC directamente en la configuración DNS a través de un panel de control.

Negocios de Comercio Electrónico
Correos Electrónicos Transaccionales: Las plataformas de comercio electrónico utilizan SPF, DKIM y DMARC para proteger correos electrónicos de confirmación, restablecimientos de contraseñas y actualizaciones de pedidos de ser falsificados.
Protección de Marca: Al usar estos registros DNS, las empresas de comercio electrónico pueden reducir el riesgo de ataques de phishing hacia los clientes que podrían dañar su reputación.

Proveedores de Servicios de Correo Electrónico (ESPs) y Marketing Digital
Entregabilidad de Correos Electrónicos: Los ESPs y los profesionales del marketing digital utilizan configuraciones DNS de SPF, DKIM y DMARC para asegurar que sus campañas de correo electrónico lleguen a las bandejas de entrada en lugar de ser marcadas como spam.
Seguimiento de Campañas: Estos registros también ayudan a monitorear el rendimiento de los correos electrónicos a través de los informes DMARC, asegurando que las campañas sean autenticadas correctamente y estén en cumplimiento.

Grandes Empresas y Organizaciones
Cumplimiento de Seguridad: Las empresas con operaciones de correo electrónico a gran escala implementan SPF, DKIM y DMARC para cumplir con los protocolos de seguridad y asegurar la autenticidad del correo electrónico en diversos departamentos y plataformas.
Seguridad del Correo Electrónico: Las grandes organizaciones usan estos registros para prevenir la suplantación de identidad, el phishing y otros ataques maliciosos en su infraestructura de correos electrónicos.

Instituciones Gubernamentales
Comunicaciones Confidenciales: Las entidades gubernamentales utilizan SPF, DKIM y DMARC para proteger los correos electrónicos que contienen información sensible como declaraciones de impuestos, resultados electorales o notificaciones legales.
Cumplimiento de Regulaciones: Algunos departamentos gubernamentales requieren una estricta adhesión a los estándares de seguridad del correo electrónico, lo que hace que la configuración de SPF, DKIM y DMARC sea crucial.

Plataformas SaaS y en la Nube
Comunicación con Clientes: Las plataformas SaaS y en la nube suelen comunicarse con los usuarios por correo electrónico (restablecimientos de contraseñas, actualizaciones, notificaciones). Asegurar que estos correos electrónicos estén autenticados ayuda a mantener la integridad de la marca y la confianza.
Seguridad de Correos Electrónicos Automáticos: Las plataformas SaaS integran los registros SPF, DKIM y DMARC para sus usuarios para asegurar que todos los correos electrónicos automáticos estén protegidos de suplantaciones.

Instituciones Financieras
Prevención de Phishing: Los bancos y las instituciones financieras utilizan SPF, DKIM y DMARC para evitar el uso fraudulento de sus dominios en intentos de phishing dirigidos a clientes.
Cumplimiento Regulatorio: Las organizaciones financieras a menudo deben cumplir con estrictas regulaciones de seguridad del correo electrónico, y estos protocolos ayudan a mantener el cumplimiento.

Organizaciones No Lucrativas y Caritativas
Comunicación con Donantes: Las organizaciones no lucrativas usan los registros SPF, DKIM y DMARC para asegurar que sus correos electrónicos (como recibos de donaciones o boletines informativos) lleguen a las bandejas de entrada sin ser interceptados o falsificados.
Protección de Marca: Las organizaciones no lucrativas desean proteger su dominio de actores maliciosos que podrían suplantarlas y explotar su reputación.

Problemas Técnicos en la Configuración Personalizada de SPF, DKIM y DMARC en DNS
Problemas con el Registro SPF
Problema: Los correos electrónicos de tu dominio son marcados como spam, aunque los registros SPF estén configurados.
Causa: El registro SPF puede estar faltando algunos servidores de correo autorizados o tener errores de sintaxis.
Solución: Verifica la sintaxis del registro SPF usando una herramienta como MXToolbox. Asegúrate de que todos los servidores autorizados estén listados en el registro SPF y que el registro no exceda el límite de 255 caracteres.

Fallos en la Firma DKIM
Problema: Los correos electrónicos son rechazados debido a fallos en la validación de la firma DKIM.
Causa: La clave pública DKIM en DNS no coincide con la clave privada utilizada por tu servidor de correo o el selector DKIM es incorrecto.
Solución: Verifica que el selector DKIM y la clave pública en DNS estén configurados correctamente. Usa una herramienta de prueba DKIM como DKIMCore para comprobar configuraciones incorrectas.

Política DMARC No Funciona
Problema: Los informes DMARC muestran correos electrónicos fallidos, pero la política está configurada como "rechazar".
Causa: DMARC requiere que tanto SPF como DKIM coincidan con el dominio "From". Si cualquiera de estas verificaciones falla o está desalineada, DMARC no aplicará la política como se espera.
Solución: Asegúrate de que tanto los registros SPF como DKIM estén alineados con el dominio "From". Ajusta la política "p" en el registro DMARC de “none” a “quarantine” o “reject” para una aplicación más estricta.

Registros DNS Faltantes o Incorrectos
Problema: Faltan los registros SPF, DKIM o DMARC, lo que causa problemas en la entrega de correos electrónicos.
Causa: Los registros DNS pueden no haberse agregado o propagado correctamente.
Solución: Verifica que todos los registros DNS necesarios estén correctamente añadidos en la consola de administración DNS. Usa herramientas de búsqueda DNS como What’s My DNS para verificar la propagación.

Problemas con la Longitud de la Clave DKIM y Algoritmos
Problema: Las firmas DKIM no son validadas porque la longitud de la clave es demasiado corta o el algoritmo de hash no es compatible.
Causa: Algunos servidores de recepción pueden requerir una longitud mínima de clave (2048 bits) o algoritmos de hash específicos.
Solución: Genera un nuevo par de claves DKIM con una longitud de clave de al menos 2048 bits y utiliza un algoritmo de hash ampliamente compatible (por ejemplo, SHA256).

Registro SPF Demasiado Largo (Excede el Límite de Búsqueda DNS)
Problema: Los registros SPF son demasiado largos o exceden el límite de 10 búsquedas DNS, lo que causa problemas con la validación.
Causa: Demasiados mecanismos "include" o direcciones IP en el registro SPF.
Solución: Optimiza el registro SPF eliminando entradas innecesarias o utilizando subdominios para dividir registros SPF largos.

Informes DMARC que Muestran Altas Tasas de Fallo
Problema: Los informes DMARC indican que una porción significativa de los correos electrónicos está fallando en la autenticación.
Causa: Los correos electrónicos pueden ser enviados desde servidores no autorizados o la dirección "From" puede no coincidir con el dominio en la verificación SPF/DKIM.
Solución: Analiza los informes DMARC para identificar configuraciones incorrectas. Actualiza los registros SPF y DKIM para incluir todos los remitentes autorizados y asegurar la alineación con el dominio "From".

Retrasos en la Propagación DNS
Problema: Los nuevos registros SPF, DKIM o DMARC no se reflejan inmediatamente.
Causa: Los registros DNS tardan en propagarse por Internet.
Solución: Espera hasta 48 horas para que los cambios en DNS se propaguen. Usa herramientas como DNSstuff o MXToolbox para comprobar el estado de propagación.

Desalineación de SPF/DKIM/DMARC
Problema: Los correos electrónicos pasan la verificación SPF o DKIM pero fallan en la alineación DMARC.
Causa: DMARC requiere que el dominio en el encabezado "From" coincida con el dominio utilizado en la verificación SPF o DKIM.
Solución: Asegúrate de que tanto las verificaciones SPF como DKIM estén alineadas con el dominio en el campo "From", y ajusta tus registros según sea necesario.

Fallos de SPF con Servicios de Correo Electrónico de Terceros
Problema: Los correos electrónicos enviados a través de un servicio de correo electrónico de terceros (por ejemplo, Mailchimp, Google Workspace) fallan en las verificaciones SPF.
Causa: Los servicios de terceros pueden no estar incluidos en el registro SPF, lo que provoca que los correos electrónicos fallen en la autenticación.
Solución: Agrega el mecanismo de inclusión SPF del servicio de correo de terceros a tu registro SPF (por ejemplo, include:_spf.mailchimp.com para Mailchimp).

Preguntas Frecuentes Técnicas para la Configuración Personalizada de SPF, DKIM y DMARC en DNS
¿Cuál es la diferencia entre SPF, DKIM y DMARC?
SPF autentica a los remitentes de correos electrónicos verificando sus direcciones IP.
DKIM utiliza firmas criptográficas para garantizar la integridad del contenido del correo electrónico.
DMARC combina SPF y DKIM, permitiendo a los propietarios de dominios hacer cumplir políticas sobre cómo deben manejarse los correos electrónicos que no superan la autenticación.

¿Cómo configuro SPF para mi dominio?
Para configurar SPF, crea un registro TXT en la configuración DNS de tu dominio. El registro listará los servidores de correo autorizados para enviar correos electrónicos en nombre de tu dominio, como:

v=spf1 include:spf.ejemplo.com -all

¿Cómo configuro DKIM para la autenticación de correos electrónicos?
Genera un par de claves DKIM (clave privada/pública). Agrega la clave pública como un registro TXT en DNS con el selector adecuado. Tu servidor de correo luego firmará los correos electrónicos salientes con la clave privada.

¿Qué es una política DMARC y cómo la configuro?
DMARC define cómo los servidores de correo receptores deben manejar los correos electrónicos que no pasan las verificaciones de SPF o DKIM. Para configurarlo, crea un registro TXT con la política, como:

v=DMARC1; p=reject; rua=mailto:informes-dmarc@misdominio.com

¿Puedo usar DKIM con proveedores de correo electrónico de terceros?
Sí, muchos proveedores de correo electrónico de terceros (por ejemplo, Google, Office 365) soportan DKIM. Necesitarás generar un par de claves DKIM y agregar la clave pública a tus registros DNS.

¿Por qué mis correos electrónicos fallan en las verificaciones SPF a pesar de tener un registro SPF válido?
Las causas comunes incluyen direcciones IP faltantes o nombres de dominio incorrectos en el registro SPF. Usa herramientas de prueba SPF para verificar y corregir cualquier problema.

¿Con qué frecuencia debo revisar y actualizar mis registros SPF, DKIM y DMARC?
Revisa regularmente tus registros, especialmente después de agregar nuevos servicios de correo o cambiar tu infraestructura de correo electrónico. Al menos trimestralmente o cuando agregues una nueva fuente de envío.

¿Puedo usar políticas diferentes para subdominios con DMARC?
Sí, DMARC permite configurar políticas diferentes para subdominios usando la etiqueta “sp”. Por ejemplo:

v=DMARC1; p=reject; sp=none;

¿Qué es un informe DMARC y cómo lo leo?
Un informe DMARC proporciona retroalimentación sobre cómo se desempeñaron tus correos electrónicos en las verificaciones SPF y DKIM. Incluye información sobre los resultados de la autenticación, lo que te permite identificar fuentes de correo no autorizadas.

¿Por qué DMARC requiere que tanto SPF como DKIM estén alineados?
DMARC asegura que la autenticación de los correos electrónicos sea más robusta al verificar tanto SPF como DKIM. Si cualquiera de ellos falla, puede llevar al rechazo o la cuarentena del correo electrónico, según la política establecida.