Registros SPF, DKIM y DMARC: ¡Protege tus emails de espías y ladrones!

Por Javier 1 mes atrásSin comentarios
Inicio  /  Mantenimiento web  /  Registros SPF, DKIM y DMARC: ¡Protege tus emails de espías y ladrones!
Protege tu email configurando los registros SPF, DKIM y DMARC

Defiende y protege los emails de tu empresa contra el Spoofing (suplantación de identidad) y el Phishing (obtención de información personal para estafas) mediante los registros SPF, DKIM y DMARC para detectar el Spam y validar la auténtica identidad de los correos electrónicos.

¡Tu correo electrónico podría estar en peligro! No quiero ser alarmista, pero las víctimas del Spoofing (suplantación de identidad) y el Phishing (estafas y robo de información personal) son cada vez más comunes. Afortunadamente, ¡hay algo que se puede hacer! Se trata de los registros SPF, DKIM y DMARC, con los cuales puedes mantener tu correo electrónico a salvo y librarte del spam y los piratas online. Estos protocolos te indican si un correo que recibes es real o es un engaño.

El Spoofing (suplantación de identidad) y Phishing (estafas y robo de información personal) están al orden del día, cualquiera somos blanco de ellas, ¡así que ponte a salvo mediante los registros SPF, DKIM y DMARC!

Seguramente no has oído mucho sobre estos registros, ¿cierto? ¡Como la mayoría! Pero los registros SPF, DKIM y DMARC son indispensables si deseas tener tu empresa a salvo y evitarte dolores de cabeza.

Entender y aplicar estos registros requiere asimilar algunos tecnicismos, por lo que tal vez te interese contar con nuestros servicios de mantenimiento Web e Email, pues así dejas estas tareas técnicas y tan cruciales en manos de profesionales; podemos encargarnos de proteger tu email y hacer tu Web más segura y fiable para tus clientes potenciales, ¡en poco tiempo y con resultados óptimos!

¿Quieres saber de qué te hablo? A continuación te explico qué son los registros SPF, DKIM y DMARC, y cómo blindar tu correo electrónico con ellos.

¿Qué es el Spoofing o Phishing en el correo electrónico?

Spoofing, Phishing o falsificación de correos electrónicos son términos similares que se usan para designar la práctica de falsificar emails con el objeto de engañar al remitente y robarle información personal, financiera y cualquier otro tipo de dato confidencial, para luego chantajearle, estafarle o robarle dinero.

Spoofing y Phishing son prácticas fraudulentas muy comunes con las que un ladrón falsifica emails para engañar al remitente y robarle información personal o financiera, ¡sin que este se dé cuenta!

Internet está plagado de este tipo de piratas informáticos y malintencionados que realizan acciones de Spoofing y Phishing de manera completamente aleatoria, ¡No hace falta ser una gran empresa para que seas su objetivo! Cualquiera puede ser víctima de estos pillos, por lo que hay que tomar cartas en el asunto cuanto antes y proteger nuestra página Web y cuenta email cuanto antes.

Protege tu email configurando los registros SPF, DKIM y DMARC

¿Qué sucede si soy víctima de la suplantación de identidad y falsificación de correos electrónicos?

Las consecuencias del Phishing son muchas. Compromete la confidencialidad de tus clientes y el funcionamiento normal de tu empresa online:

  • Robo de información confidencial de tus usuarios y clientes, algo que la Ley multa severamente a la empresa que no ha tomado todas las medidas requeridas para evitarlo.
  • Pérdida financiera, desviando cobros y pagos a la cuenta personal del pirata informático.
  • Robo de propiedad intelectual (documentos, prototipos, etc.), con las terribles pérdidas que esto supondría para la empresa.
  • Acceso a tus cuentas y contraseñas, de bancos, proveedores, clientes, servicios, nuevamente con unas consecuencias terribles.
  • Mala reputación de tu marca pues, la Ley LOPD y RGPD, obligan a que la empresa que ha sufrido este tipo de ataques informe públicamente de este ataque y sus consecuencias, ofreciendo una muy mala imagen de la empresa a clientes y potenciales clientes.

Y otras tantas consecuencias, son sólo algunos de los daños que hace el Phishing, y lo peor es que el suplantador (pirata) no necesita ser un genio en el tema informático para hacer sus fechorías, pues es una práctica sencilla, pero muy perjudicial.

El principal error frente al Spoofing y Phishing, que se paga muy caro, es esperar a ser presa fácil de estos tipos de fraudes para empezar a protegerse de ellos.

¿Cómo protegerse del Spoofing o Phishing?

Detener y prevenir la suplantación de identidad, Spoofing, y las estafas de falsificación de correos electrónicos, Phishing, es posible y deberías empezar hoy mismo ¡quizás mañana sea tarde!

Existen tres registros que, trabajando en conjunto, blindan tu correo electrónico frente a estos fraudes, y son los protocolos SPF, DKIM y DMARC. Este trío será como Batman, Robin y Cat Woman para defenderte de los villanos, y más adelante te cuento sus ventajas y cómo funcionan.

Si te enfocas en mejorar la experiencia de usuario con tu negocio, tanto en la Web como en las comunicaciones por email, una buena forma de lograrlo es haciendo más seguros tus correos electrónicos, y protegiendo los datos que tus clientes y suscriptores te ha confiado, ¡recuerda que debes hacerlo por Ley!

Seguramente, has ejecutado diversas campañas de Email Marketing, o tienes en mente comenzar alguna, así que te recomiendo darle una oportunidad a la autenticación de tus correos electrónicos para que logres mejores resultados y le sumes valor a tu marca.

¡Enamora a tu público con tu superpágina web!

Exprimiremos tu web hasta que enamore: bien posicionada en Google, segura, rápida y, sobretodo, eficaz y rentable para tu empresa; atrayendo potenciales clientes y logrando ventas, ¡de una vez por todas!

¡Quiero mi superweb!

¿Qué es la autenticación de correo electrónico? ¿Por qué es importante?

Con la autenticación de correo electrónico sumas credibilidad a tu email y logras que cada correo sea percibido como un mensaje seguro, fiable y que no pone en peligro la información de los clientes ni del destinatario.

¿Lees todos los correos que llegan a tu bandeja de “Spam” o “Correo no deseado”? Si eres como la mayoría, ¡por supuesto que no los lees! De hecho quizás, cada cierto tiempo, sólo revisas por encima los mensajes de asunto y los borras, sin llegar ni a abrirlos. ¿Quieres que tus clientes hagan esto con tus correos? En ese caso, aunque la autenticación no te asegura en el 100% de todos los emails que envíes lleguen a la bandeja de entrada del destinatario, sí aumenta generosamente esta posibilidad, ¡y por tanto vale la pena!

¿Realmente necesito implementar los registros SPF, DKIM y DMARC?

¡Por supuesto que sí! Ya te he comentado que toda empresa que hacer transacciones, por la Web o correo electrónico, estamos en el punto de mira de los piratas informáticos. Si aún y así no implementas la autenticación de correo electrónico, porque piensas que no estás en el blanco de los villanos, cuando esto te suceda y vulneren la seguridad de tu empresa y la de tus clientes, querrás haber podido contar con los registros SPF, DKIM y DMARC, ¡pero será demasiado tarde!

Estos tres protocolos trabajan como un trío, en unidad, con el único propósito de que tus emails sean enviados de forma segura y dando fe que el remitente sea realmente quien dice ser.

Son muchas las empresas online que han sido víctimas, de la suplantación de identidad de email, y hay muchos grandes nombres incluidos en esta lista, desde Amazon que fue víctima de Phishing, hasta una campaña de Phishing que azotó a PayPal.

Estas empresas son bombardeadas casi diariamente, pues los estafadores buscan engañar a sus clientes enviándoles correos donde les dan instrucciones para ‘mejorar’ su seguridad, y así robarle sus datos confidenciales. ¡No esperes que suceda en tu empresa!

¿Qué es el registro SPF?

El registro SPF (Sender Policy Framework) o Marco de Política del Remitente es un protocolo que consiste en crear una lista de servidores autorizados desde los que se envían correos electrónicos de un determinado dominio Web.

Este tipo de registro es agregado sólo por los dueños o administradores de la página Web, por lo que ningún extraño podría alterarlo.

Registro SPF de la configuración de Email

Cuando se envía un email desde una dirección de correo electrónico, siendo la dirección email del emisor del envío, esta dirección está asociada a un dominio Web, por lo tanto a una la configuración de DNS (Domain Name System o Sistema de Nombre de Dominio) del propio dominio. Y es dentro de esta configuración DNS donde se añade el registro SPF con las direcciones IP de los servidores autorizados para el envío de correos electrónicos bajo este dominio Web.

Luego, el servidor receptor, donde se encuentra la dirección de email del destinatario, analiza el correo entrante, así como la dirección IP desde donde fue enviado, y verifica que esta IP esté incluida en la lista de direcciones IP autorizadas, dentro del registro SPF del dominio Web. De ser así, el el email entrante es autorizado y llega al destinatario sin ningún problema.

Como puedes, el registro SPF es como una especie de invitación para entrar a una fiesta en la bandeja de entrada de tu destinatario; si no lo tienes, o el servidor destinatario, como buen guarda de seguridad de la fiesta, no comprueba que fue enviado desde una dirección IP autorizada, ¡no puedes entrar!

Al contar con el registro SPF podrás pasar todos los filtros y llegar a los destinatarios de forma segura pero, lo más importante, evitarás que tu negocio esté ligado al malware, Phishing, Spam y otros tipos estafas que suelen adoptar los piratas y sus correos con malas intenciones.

¿Qué es el registro DKIM?

El registro DKIM, DomainKeys Identified Mail o Claves de Dominio de Correo Electrónico Identificado, es un protocolo que añade mayor seguridad a los correos para prevenir la falsificación.

Registro DKIM de la configuración de Email

El registro DKIM cuenta con dos claves de cifrado de los correos electrónicos desde las direcciones email bajo un dominio Web:

  • La primera clave es absolutamente privada, lo que significa que está reservada al propietario o administrador del dominio Web, y crea una firma encriptada que va incluida en cada correo electrónico que se envía.
  • La segunda clave es pública y sirve para que el servidor receptor, donde se encuentra la dirección email del destinatario del envío, verifique si el email entrante fue enviado desde una dirección de correo fiable y que tiene acceso a la clave privada del registro DKIM del dominio Web.

Como puedes imaginar por lo comentado, si el servidor receptor verifica que el cifrado DKIM, adjunto en el correo email entrante es compatible con la clave DKIM pública del dominio Web, entonces el correo electrónico pasa el control de seguridad, se considera que es enviado desde una fuente fiable, y le llega al destinatario de forma segura.

Por lo tanto, el registro DKIM es muy útil para evitar las suplantaciones de identidad de correo electrónico y para que el servidor que lo recibe detecte si en realidad está frente un correo autorizado y fiable o, por lo contrario, ante un engaño o un email enviado de forma sospechosa.

¿Qué es el registro DMARC?

El registro DMARC, Domain-based Message Authentication, Reporting and Conformance o “Autenticación, Informes y Cumplimientos de mensajes basados en dominios”, es un protocolo que se encarga de dar instrucciones, al servidor receptor (donde se encuentra la dirección de email del destinatario, sobre cómo tratar el correo electrónico entrante, enviado desde ese dominio Web, si este no supera los controles de seguridad de los registros SPF y DKIM.

Registro DMARC de la configuración de Email

Por lo tanto, esto significa que el registro DMARC no es independiente, sino que está unido a los registros SPF y DKIM.

Como estamos hablando de instrucciones, son varias las opciones que contempla un registro DNS de DMARC, pero las instrucciones son básicamente dos:

  • V le indica al servidor que debe verificar el protocolo DMARC.
  • P le indica al servidor qué hacer en caso de que la verificación falle. Dentro de las acciones de P, se contemplan tres situaciones distintas que el servidor debe ejecutar:
    • P=none” indica al servidor no ejecute ninguna acción si la verificación del protocolo DMARC falla.
    • P=cuarentena” indica al servidor considere el correo de forma sospechosa y lo envíe a la carpeta de correo no deseado o Spam. Esta opción da cierta seguridad al receptor para que esté alerta y no confíe por completo en un email desde ese dominio Web que no haya sido enviado de manera completamente segura.
    • “P=rechazar” indica al servidor que rechace todo correo que no supere la autenticación SPF y DKIM. Esta opción da total seguridad al receptor para que sólo pueda recibir correos de ese dominio Web enviados de manera totalmente segura.

Además de esto, el registro DMARC resulta muy útil para obtener informes sobre los correos electrónicos que son enviados en nombre de tu empresa o dominio. Si activas la opción de avisos, que veremos más adelante, al aplicar el registro DKIM en tu dominio Web, podrás conocer qué intentos de Phishing o Spoofing se han hecho en tu nombre o el de tu empresa, así como también conocerás si algunos de tus socios, u otros miembros de tu negocio, han enviado correos electrónicos a terceros, o a tus clientes, desde direcciones email no autorizadas de tu dominio Web.

Los informes resultan indispensables para detectar cualquier forma de suplantación de identidad o estafa que pueda haber estado rodeando a tu empresa, y tú ni cuenta te habías dado.

¿Cómo implementar los registros SPF, DKIM y DMARC?

¿Cómo implementar los registros SPF, DKIM y DMARC?

Ahora que ya sabes en qué consiste la autenticación de correo electrónico y por qué te urge implementarla, es momento de explicarte cómo implementarlos estos tres registros en la configuración de tu dominio Web.

Registro SPF

Para implementar el registro SPF hay que agregar un registro TXT a la zona DNS de tu dominio Web y, para iniciar la configuración, necesitas conocer el host (que la mayoría de los casos es “@” pero varía según cada dominio) y el TXT Value (código SPF) según como quieres que se comporte.

Por lo tanto, a la hora de crear en registro SPF tendrás dos columnas; una, donde va el host, y la otra, con el nombre TXT Value, donde vas a modificar el texto para que tu correo email trabaje correctamente con el registro SPF.

Por ponerte un ejemplo, en el caso de trabajar con Google Apps, el valor del registro SPF sería:

v=spf1include: _spf.google.com~all

En ese código de arriba, se permitiría enviar emails autorizados por tu dominio Web desde las aplicaciones de Google, como es por ejemplo Gmail.

Si además necesitas agregar otras IP autorizadas autorizaciones, que de seguro será así, bastará con incluirlas en este mismo texto.

Por ejemplo, si también envías emails desde alguna plataforma externa que utilice tu nombre de dominio, como hacemos en Xplora, vía protocolo SMTP (en nuestro caso siendo ‘mail.xplora.eu’), el código TXT del registro SPF sería:

v=spf1include:mail.xplora.eu include:_spf.google.com~all

Y así sucesivamente con todas las autorizaciones que tengas que conceder.

Además, puedes añadir direcciones IP autorizadas adicionales, agregándolas directamente a este mismo código TXT. Por ejemplo, supongamos que, adicionalmente a todo lo comentado, trabajas con una aplicación de gestión comercial, desde donde se envían correos automáticos en nombre de tu empresa, y que tiene la dirección IP con número 150.100.150.100. En ese caso código TXT pasaría a ser:

v=spf1ip4: 150.100.150.100 include:mail.xplora.eu include:_spf.google.com~all

Esta es la forma más sencilla de implementación, y la más común, pero en total puede hacerse mediante la aplicación de ocho mecanismos distintos, los cuales, más que indicar qué acciones seguirá el servidor receptor, al evaluar si el correo es validado según el registro SPF o no, tienen que ver con las coincidencias de las direcciones IP autorizadas.

Si analizas el ejemplo que he hecho para mostrarte cómo quedaría el texto configurado para el registro SPF, notarás que incluyo, casi al final el símbolo “~”. Pues bien, este simbolo indica que el registro SPF está configurado para ‘Softail’, lo que significa que si el servidor no logra verificar que el correo fue enviado desde un servidor autorizado, que en este caso sería Google, el propio servidor de xplora.eu o la dirección IP externa especificada, le dará un tratamiento ‘Softail’ al correo; es decir, será entregado igualmente al destinatario pero no gozará de toda la confianza por parte del servidor entrante, por lo que probablemente irá a la bandeja de correo no deseado (Spam).

Además del símbolo “~” (Softail), se puede incluir  “+” (Pass), “?” (Neutral) o “–“ (Fail). Cada uno de estos cuatro símbolos indicará si el correo es entregado como correo no deseado o Spam, pasa igualmente el control SPF, no sigue ninguna política o debe rechazado si no supera el control SPF, respectivamente.

Registro DKIM

Como te decía anteriormente, el registro DKIM casi siempre funciona mediante dos claves, una cifrada o privada, y otra púbica, aunque puede ser que algunos servicios de la nube lo hagan distinto.

Como el estándar es que se usen las dos claves, te muestro cómo se hace añade una entrada CNAME, dentro de la zona DNS de tu dominio Web, para activar tu clave DKIM dentro de tu dominio Web:

CNAME k1._domainkey.xplora.eu {clave pública}

Como ves en el ejemplo, creo un registro CNAME para el subdominio “k1._domainkey.” de mi dominio Web “xplora.eu” y, como valor del registro CNAME, añado la clave pública de mi registro DKIM.

¿Y cuál es esa clave pública? Pues, al igual que con la clave privada, deberás solicitarla a tu proveedor de servidor Web y Email. Es un servicio que la gran mayoría de proveedores de servidores Web y Email ofrecen gratuitamente e, incluso, puedes activar tú mismo desde tu panel de control (por ejemplo cPanel).

Y los registros DKIM agregarás todos los “k” que necesites para autorizar a los servidores que quieras; en este caso, coloqué “k1”, siendo “k1” indicador de un primer registro o autorización. Para el siguiente, en el caso de ser necesario un segundo servidor de verificación (cosa poco probable), lo harás igual pero colocando “k2”, y así sucesivamente.

Registro DMARC

El registro DMARC es otro registro de tipo TXT, y es el último paso para blindar tu correo electrónico de los piratas informáticos que pudieran rondar a tu negocio en Internet.

Este es un protocolo instructivo, que especifica cómo manejar los registros SPF y DKIM, y el valor del registro TXT con el que debes configurar tu registro DMARC sería algo como: v=DMARC1;p=none;rua=mailto:postmaster@xplora.eu;adkim=r;aspf=r;pct=100;sp=ninguno

Los informes XML que genere DMARC, del que ya te he hablado más arriba, serán enviados a la dirección que configures en “rua=”. En este, podrás encontrar toda la información sobre los correos que han sido enviados bajo tu dominio, y sabrás si pasaron los protocolos de seguridad o no, y en qué fallaron en caso de que no pasaran. Son datos muy útiles que te ayudarán a descifrar todos los intentos de suplantación y estafa que pueda haber hecho en tu nombre o el de tu empresa.

En “adkim” puedes escoger entre dos opciones de configuración; “r” (relajado), o “s” (estricto). Lo normal es escoger la opción “r”, ya que es más útil cuando se envían correos desde subdominios, pues de lo contrario estos no pasarían el registro DMARC, aunque realmente verdaderos y fiables.

Configurando los registros SPF, DKIM y DMARC en cPanel

cPanel es un panel de control estupendo para configurar algunos aspectos de tu dominio Web y configuración de tus cuentas de Email, y lo mejor es que es muy fácil de utilizar.

¡Configurar en él los registros SPF, DKIM y DMARC es pan comido! Te explico qué debes hacer:

  • Para SPF:
    • En el módulo de correo electrónico, selecciona “Autenticación de correo electrónico”
    • Dentro de esa página, en la sección de SPF, clica en “Activar”.
  • Para DKIM:
    • En el módulo de correo electrónico, selecciona “Autenticación de correo electrónico”
    • Dentro de esa página, en la sección de DKIM, clica en “Activar”.
  • Para DMARC:
    • En el módulo de dominios Web, selecciona “Advanced DNS Zone Editor” o “Editor avanzado de la zona DNS”.
    • Dentro de esa página, seleccionas “Añadir registro”, seleccionas la opción “TXT” y, como te expliqué arriba, insertas un texto parecido al siguiente:_dmarc.xplora.eu IN TXT 14400 «v=DMARC1; p=none; rua=mailto:postmaster@xplora.eu»

¡Te ayudamos a mantener tu web siempre al 110%!

Nos encargamos de todo lo relacionado con tu web para que dé resultados a tu empresa sin causarte molestias ni pérdida de tiempo, con lo que podrás centrarte completamente en tu negocio.

¡Empecemos con tu web!

Conclusión: ¡Los registros SPF, DKIM y DMARC protegen a tu empresa de todo intento de fraude a tus clientes!

Todos estamos cansados del Spam y los correos que intentan engañarnos, ¿verdad? De hecho, aunque creamos que este tipo de engaño está muy lejos de nosotros o de nuestra empresa, porque no somos Amazon ni Paypal, no es así, ¡todos somos objetivo de estos tipos de ataques!

Pero lo más preocupante es cuando la situación se vuelve dramática y eres tú quien envía los correos a tus clientes, pasan los días y no recibas respuesta. En ese caso, es posible que tus clientes no estén recibiendo nunca tus emails, o se queden estos en la carpeta de Spam, por no tener activado tus registros SPF, DKIM Y DMARC.

Tal vez, te has esmerado en una campaña de email marketing fabulosa, pero no estás recibiendo el rendimiento esperado, porque esto no es suficiente para que tus suscriptores vean tus correos. Es por ello que implementar los registros SPF, DKIM Y DMARC podría ser de mucha ayuda para que tus emails se queden en la bandeja de entrada y no escondidos en la bandeja de correo no deseado.

Pero además, como empresa, debes estar sumamente preocupado de que tus suscriptores y cartera de clientes estén a salvo, y no les garantizarás esto hasta que no te pongas manos a la obra con estos protocolos. ¡Recuerda que por Ley (LGPD y RGPD) estás obligado bajo amenaza de fuertes sanciones económicas!

Te desafío a empezar hoy mismo a proteger tu emails de empresa, ganar visibilidad en tus campañas de Email y en cumplir la Ley. ¿Aceptas el reto?

Me encantaría conocer tu opinión, por lo que te invito a hacernos llegar tus útiles comentarios, así como espero que compartas este post con tus amigos en las redes sociales y les ayudes a salvarse de los ataques de Spoofing y Phishing que abundan en internet.

Más abajo te dejaré un formulario, el cual puedes rellenar para contactarnos contigo, ¡y muy pronto tendrás noticias nuestras!

Infografías cortesía de Zendesk.
Fotografía cortesía de Rawpixel – Freepik.

¡El conocimiento debe ser compartido! :-)
Categoría:
  Mantenimiento web

Dejar un comentario

Su dirección de correo electrónico no será publicada.

¡Tenemos muchas cosas chulas que contarte!

Inscríbete gratis y te enviaremos novedades de los Xploradores y de este Blog, ¡junto a promociones y otros secretos! Pero con cero Spam, ¡palabra!  :-)

¡Hey! ¡Gracias! Te hemos enviado un email con un enlace para que confirmes tu suscripción. Sólo enviaremos cosas chulas y 0% de Spam ¡Prometido!  :-)

Powered byRapidology