Indie Email - Authenticating my domain with SPF, DKIM and DMARC protocols (es)

Olvídate de los días en que se enviaban correos sin preocuparse si llegaban o no. El spam existe desde que existe el email, lo que dificulta a los destinatarios distinguir qué es legítimo.

¿Y si los remitentes legítimos pudieran destacarse y garantizar que sus correos lleguen a la bandeja de entrada? Ahí entra en juego la autenticación de correo electrónico

Es importante tener en cuenta que algunos proveedores, como Gmail y Yahoo, ya requieren que los usuarios de un dominio estén autenticados para poder enviar correos a sus plataformas.

En este artículo te guiamos para que tus correos lleguen de forma segura a donde corresponden.

Por qué es importante

La autenticación evita que otras personas utilicen tu dominio sin permiso para enviar correos, gracias a tres protocolos que validan la identidad de tus mensajes: SPF, DKIM y DMARC. Estos mecanismos ayudan a proteger tu reputación y mejoran la posibilidad de que tus correos lleguen correctamente.

Enviar desde un dominio no autenticado genera problemas significativos de entregabilidad con todos los proveedores de correo, impidiendo que muchos destinatarios reciban tus mensajes en su bandeja de entrada.

Si tu dominio no está autenticado, Gmail y otros servicios mostrarán un mensaje advirtiendo que el correo podría no ser seguro.

Cómo autenticar el DNS de tu dominio

Para autenticar tu dominio, es necesario acceder a los registros DNS del servicio donde lo tienes alojado y agregar la configuración correspondiente.

1. Inicia sesión en el sitio web de tu proveedor de dominio.
   • Si no estás seguro de dónde se administra, podés consultar con la persona o equipo que gestiona tu sitio web o tus correos.
   • También puedes revisar los principales servicios de hosting de dominios:
     • GoDaddy
     • Network Solutions
     • Domain.com
     • namecheap.com
   • O verificar tu proveedor en: https://lookup.icann.org/
2. En la parte superior derecha del panel, selecciona el icono ⚙️.
3. Ingresa en Remitentes > Autenticar dominio.
4. Sigue los pasos que se muestran para agregar los registros al DNS de tu dominio.
5. Espera a que se complete la verificación.
6. En el último paso podrás ver el estado de autenticación de tu dominio.

Autenticación con DMARC

Asegúrate de haber configurado previamente los registros SPF y DKIM en tu dominio de envío (“From domain”) antes de proceder con la configuración de DMARC.

Una vez listos, te recomendamos crear una cuenta en DMARCIAN y utilizar su herramienta DMARC Record Wizard, que facilita el proceso de creación del registro.

Por qué usar DMARCIAN

DMARCIAN es un aliado de confianza para gestionar este tipo de autenticaciones. Al configurar tu registro DMARC, comenzarás a recibir informes automáticos (en formato XML) que muestran quién está enviando correos usando tu dominio.

Estos reportes te ofrecen una visión clara del recorrido de tus mensajes y te ayudan a identificar si alguien más está utilizando tu dominio sin permiso.

A veces pueden ser muchos y algo complejos de leer. Por eso, la plataforma DMARCIAN no solo le ayuda a crear su registro DMARC fácilmente, sino que su plataforma también permite ver estos informes XML y visualizar cómo se usan sus dominios de correo electrónico para que pueda tomar medidas.

Contar con esta visibilidad es fundamental antes de aplicar políticas más estrictas, como p=quarantine o p=reject.

Quién envía estos reportes

Lo que comenzó con unos pocos proveedores como AOL, Yahoo y Gmail, hoy se ha convertido en una red global que crece constantemente.

Algunos de los servicios que actualmente verifican DMARC incluyen:

Amazon WorkMail AOL Apple ATT BT Mail Cisco Email Security Comcast Gmail Google Apps Hotmail Hover

LaPoste Libero.it Mail.ru Mimecast Office 365 Onet Proofpoint Rackspace Rogers SFR Shaw

Skynet Proximus Sophos SpamExperts Symantec Vade Secure Yahoo! Yahoo! UK Ziggo Zoho

---

Glosario

¿Que es SPF?

Sender Policy Framework (SPF) es un estándar de autenticación que ha existido desde 2003 y funciona publicando una lista de direcciones IP que tienen permiso para enviar en nombre del dominio.

Los servidores de correo receptores usan SPF para verificar que los mensajes enviados desde el dominio fueron enviados por una de estas direcciones IP.

SPF autentica el dominio del Return-Path con la dirección IP utilizada para enviar el correo electrónico.

SPF ayuda a proteger el dominio contra la suplantación y ayuda a prevenir que los mensajes salientes sean marcados como spam por los servidores receptores.

Si SPF pasa (o falla) puede verse en el encabezado Authentication-Results.

Sin embargo, esto solo valida el servidor que envía el correo; no asegura que el contenido no haya sido modificado.

Para eso, se necesita DKIM (DomainKeys Identified Mail).

¿Qué es DKIM?

DKIM (DomainKeys Identified Mail) significa “Correo Identificado por Llaves de Dominio” y es un método complejo de autenticación que cifra el correo electrónico en tránsito al firmarlo con una firma digital que crea una cadena única de caracteres llamada “valor hash”.

Cuando un servidor receptor detecta que un correo electrónico ha sido firmado usando DKIM, autentica el mensaje utilizando un par de “claves”:

• Primera clave (Privada): se mantiene segura por el remitente y no se comparte.
• Segunda clave (Pública): se almacena en el DNS del dominio del remitente.

Cuando el correo es recibido, el servidor receptor usa estas claves para descifrar el valor hash en el encabezado y, si ambas claves coinciden, muestra que el correo no ha sido alterado y la firma DKIM se verifica.

Si las claves no coinciden, la firma DKIM falla y el proveedor del destinatario probablemente colocará el correo electrónico en la carpeta de spam o lo bloqueará completamente. Pero, ¿cómo se puede ver quién está usando el dominio sin permiso?

Ahí entra DMARC.

¿Qué es DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) es un estándar que los servidores de correo utilizan para determinar si un correo electrónico entrante proviene de fuentes que el dominio que envía confía.

DMARC utiliza SPF o DKIM para verificar si el remitente es genuino y lleva la autenticación un paso más allá al enviar un informe sobre quién está usando el dominio al remitente. Para que DMARC apruebe, el correo debe aprobar SPF o DKIM, y el dominio en el encabezado From debe estar alineado con el dominio correspondiente de SPF o DKIM.

La principal ventaja de DMARC es que es el remitente quien controla qué sucede con el correo no deseado enviado en su nombre, no el receptor.

De esta forma, se puede indicar al receptor que bloquee correos que no fueron enviados legítimamente, y además, se recibe un informe del correo que está usando el dominio sin permiso.

Por eso, DMARC es muy poderoso y actualmente es el estándar más utilizado:

• Una descripción rápida de cómo funciona SPF según DMARCIAN.

• Una descripción rápida de cómo funciona DKIM según DMARCIAN.
• Una descripción rápida de cómo funciona DMARC según DMARCIAN.