Seguro que has escuchado a gente hablar de los protocolos SPF, DKIM o DMARC, de forma resumida estos verifican que un remitente esté autorizado a enviar correos electrónicos en nombre de un sitio web o dominio.
Implementar esta autenticación demuestra que está autorizado a enviar desde el dominio y ayuda a garantizar que ningún atacante pueda hacerse pasar por usted .
La autenticación de correo electrónico consiste en configurar registros DNS específicos para evitar que los correos electrónicos se marquen como spam y, además, aumentar su tasa de entrega. Al configurarlos, usted:
- Mejora tu tasa de apertura;
- Aumente la interacción con sus lectores;
- Mejore su reputación como remitente.
En este artículo, vamos a explicar detenidamente qué son y todas sus caracyeristicas para hacer tus envíos de correos más seguros.
¿Qué es el SPF?
El Sender Policy Framework, o SPF, es un estándar de autenticación que vincula un nombre de dominio a una dirección de correo electrónico.
Consiste en definir cuál es el remitente (o remitentes) autorizado para enviar emails con un dominio determinado.
Así, los clientes de email como Gmail o Outlook y los servidores de correo electrónico pueden comprobar que el email entrante procede de direcciones IP o servidores autorizados por el administrador del dominio del remitente.
Para esto, los servidores DNS comprueban con los registros SPF si la IP del servidor desde el que se envía tiene relación con el dominio.
¿Qué es el DKIM?
El DomainKeys Identified Mail, o DKIM, es un protocolo de autenticación que vincula un nombre de dominio a un mensaje. Habilitar DKIM te permite utilizar una clave privada en tus emails salientes a modo de firma digital.
El objetivo del protocolo DKIM no es sólo demostrar que el nombre de dominio no ha sido usurpado, sino también que el mensaje no ha sido alterado durante la transmisión.
¿Qué es DMARC?
El Domain-based Message Authentication, Reporting and Conformance, o DMARC, es un estándar de autenticación que complementa a SPF y DKIM para combatir más eficazmente el phishing y otras prácticas de spamming.
Permite a los propietarios de dominio indicar a los ISP (proveedores de servicios de internet) y a los clientes de email qué hacer cuando un mensaje firmado de su dominio no está formalmente identificado por un estándar SPF o DKIM.
¿Cómo funcionan técnicamente?
Para cada correo que entra en un servidor receptor:
- SPF:
- Se observa la dirección del remitente en el “envelope” SMTP (MAIL FROM) o Return-Path.
- El servidor receptor consulta el registro SPF del dominio correspondiente al MAIL FROM.
- Verifica si la IP que envía está autorizada. Si sí → SPF pasa; si no → falla. dmarcian+1
- Nota: SPF puede fallar legítimamente (por ejemplo, cuando correo es reenviado) porque la IP cambiada puede no estar en el registro.
- DKIM:
- El servidor de envío firma el correo con su clave privada, incluyendo en la firma ciertos encabezados como “From:” + partes del cuerpo del correo.
- En el DNS del dominio del “d=” de la firma (selector._domainkey.dominio) se publica la clave pública.
- El servidor receptor recupera esa clave y verifica la firma: si concuerda y el contenido no ha sido alterado → DKIM pasa. Si se modificó algo, la firma falla.
- DMARC:
- Verifica que al menos uno de los mecanismos (SPF o DKIM) pase y que haya alineación con el dominio en el encabezado “From:”. La alineación significa que el dominio autenticado por SPF (MAIL FROM) o por DKIM (d=) debe corresponder con el dominio del From; ya sea de forma estricta (exacta) o relajada (subdominios permitidos) según lo que se especifique.
- Se publica un registro TXT en DNS bajo _dmarc.tu_dominio.com. Ese registro incluye políticas como:
- p=none → sólo monitoreo, no rechazo.
- p=quarantine → correos que fallan son marcados como spam o puestos en cuarentena.
- p=reject → correos que fallan se rechazan.
- También incluye direcciones para recibir reportes (rua, ruf) donde los servidores receptores pueden enviar informes agregados o forenses.
¿Por qué deberías utilizar los protocolos SPF, DKIM y DMARC?
La razón es bastante simple: estos son los principales protocolos para verificar la identidad de los remitentes. Esta es una de las formas más efectivas de evitar que los phishers se hagan pasar por un remitente legítimo y suplanten su identidad utilizando el mismo nombre de dominio.
Pero evitar ataques de phishing no es la única ventaja. De hecho, la implementación de estos protocolos mejora la entregabilidad del email marketing.
Gracias a estos protocolos, tus correos podrán ser identificados mejor por los ISP y los clientes de email de tus destinatarios, lo que mejora las posibilidades de que tus emails lleguen a la bandeja de entrada de tus contactos y no a la carpeta de Spam o Correo no deseado.
Además, estos protocolos se han convertido en estándares para el email. Un mensaje enviado sin firma SPF y/o DKIM puede ser considerado sospechoso por las diferentes herramientas de análisis de email.
Recomendaciones para implementar correctamente
- Empieza publicando buen registro SPF y DKIM. Asegúrate de que SPF no exceda límite de consultas DNS, que incluya sólo las IPs necesarias.
- Configura DMARC en modo monitor (p=none) para ver cómo está el tráfico: qué correos fallan, origen, etc.
- Analiza los reportes DMARC, corrige errores, revisa remitentes legítimos que fallan (terceros, servicios externos, listas de correo).
- Avanza a políticas más estrictas: primero p=quarantine, luego p=reject, cuando estés seguro de que los correos legítimos pasan autenticación/alineación.
- Mantén rotación de claves DKIM, asegúrate que las firmas cubran suficientes encabezados, cuida los reenvíos/listas de correo.
- Usa herramientas como las de dmarcian para verificar, monitorizar, generar reportes automáticos, etc.
¿Le fue útil este artículo?
¡Qué bueno!
Gracias por sus comentarios
¡Sentimos mucho no haber sido de ayuda!
Gracias por sus comentarios
Comentarios enviados
Agradecemos su iniciativa, e intentaremos corregir el artículo