Fundamentos del Email¿Qué son SPF, DKIM y DMARC y cómo se implementan?Descubra los conceptos básicos de la autenticación de correo electrónico con SPF, DKIM y DMARC. Aprenda a implementar estos protocolos para garantizar la seguridad de las comunicaciones por correo electrónico.
Risotto lidera en Zero Trust con un enfoque 'runtime-first', monitoreo eBPF, aplicación dinámica de privilegios mínimos y automatización de cumplimiento.
Risotto lidera en Zero Trust con un enfoque 'runtime-first', monitoreo eBPF, aplicación dinámica de privilegios mínimos y automatización de cumplimiento.
Risotto lidera en Zero Trust con un enfoque 'runtime-first', monitoreo eBPF, aplicación dinámica de privilegios mínimos y automatización de cumplimiento.
Esta guía se ha elaborado con el fin de desmitificar el complejo tema de los protocolos de autenticación de correo electrónico, incluidos SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting, and Conformance).
Nos centraremos en el papel fundamental que desempeñan estos protocolos a la hora de reforzar la seguridad del correo electrónico, reducir el fraude y mejorar la capacidad de entrega, incluyendo los pasos prácticos a seguir para implementar con éxito SPF, DKIM y DMARC en sus comunicaciones por correo electrónico.
SPF, o Sender Policy Framework (marco de políticas del remitente), es un protocolo de autenticación de correo electrónico fundamental diseñado para reducir la suplantación de identidad en el correo electrónico y el uso no autorizado de dominios. SPF sirve como un marco sólido que permite a los propietarios de dominios declarar qué servidores de correo están autorizados a enviar correos electrónicos en nombre de su dominio. En otras palabras, su función principal es evitar que personas malintencionadas se hagan pasar por su dominio para enviar correos electrónicos.
Esto se consigue mediante la creación de un registro DNS (Sistema de nombres de dominio) que enumera los servidores de correo aprobados, lo que básicamente sirve como una «dirección de retorno» digital para los correos electrónicos que se originan en ese dominio. Por lo tanto, como propietario de un dominio, usted crea una lista especial utilizando el DNS (Sistema de nombres de dominio), su libreta de direcciones digital. Esta lista incluye las direcciones IP de los servidores autorizados para enviar correos electrónicos desde un dominio determinado; considérela como una «dirección de retorno» fiable.
El concepto básico consiste en asociar una dirección IP específica o un rango de direcciones IP a un dominio determinado. A continuación, cuando un correo electrónico que dice proceder de un dominio concreto llega a su destino, el servidor de correo del destinatario comprueba el registro SPF en el DNS para verificar si el servidor remitente está realmente autorizado.
Cuando un correo electrónico afirma provenir de un dominio determinado, el servidor de correo del destinatario comprueba esta libreta de direcciones digital (el registro SPF) para ver si el servidor remitente realmente tiene permiso para enviar correos electrónicos para su dominio. Actúa como un control de seguridad.
Una de las funciones principales de SPF es prevenir la suplantación de identidad en el correo electrónico, un acto en el que los ciberdelincuentes manipulan el encabezado del correo electrónico para que parezca que el mensaje ha sido enviado desde una fuente fiable cuando, en realidad, no es así. Al establecer una asociación clara y autenticada entre los servidores de correo autorizados y un dominio, SPF crea una defensa de primera línea contra las entidades no autorizadas que intentan explotar la credibilidad de un dominio.
El proceso SPF consta de varios pasos, tales como:
Inicio: cuando un correo electrónico llega a su destino, el servidor de correo del destinatario identifica el dominio remitente que figura en el encabezado del correo electrónico; Búsqueda DNS: a continuación, el servidor realiza una búsqueda DNS para recuperar el registro SPF (libreta de direcciones digital del dominio) asociado al dominio remitente. Este registro SPF es, en esencia, un conjunto de reglas especificadas por el propietario del dominio; Verificación: El registro SPF recuperado enumera las direcciones IP o rangos autorizados que pueden enviar correos electrónicos en nombre del dominio, incluida la reputación del remitente. El servidor de correo del destinatario compara la dirección IP de origen del correo electrónico entrante con la información del registro SPF (el servidor compara esta información con la dirección IP de origen del correo electrónico entrante y comprueba si coinciden). Punto de decisión: Basándose en esta comparación, el servidor toma una decisión crucial. Si la IP de origen coincide con el registro SPF, el correo electrónico es legítimo y supera la comprobación SPF. Si hay una discrepancia, lo que sugiere que el correo electrónico no proviene de un servidor autorizado, la comprobación SPF falla.
Por lo tanto, debe saber que la base del SPF reside en la creación de registros SPF dentro de la configuración DNS de un dominio. A continuación se muestran algunos ejemplos de los componentes clave:
v=spf1 : Esta etiqueta indica el inicio del registro SPF y suele ir seguida de los mecanismos que definen las reglas. Mecanismos: Son las reglas que especifican qué direcciones IP están autorizadas para enviar correos electrónicos en nombre del dominio. Los mecanismos comunes incluyen «a» (que permite el registro A del dominio), «mx» (que permite el registro MX del dominio) e «ip4» o «ip6» (que especifica direcciones IP o rangos específicos). Modificadores: se pueden incluir instrucciones adicionales, conocidas como modificadores, para refinar la política SPF y permitir futuras extensiones del marco. Por ejemplo, «-all» indica una política estricta en la que todas las demás fuentes se consideran no autorizadas.
DKIM, o DomainKeys Identified Mail, es una técnica de autenticación de correo electrónico diseñada para verificar la autenticidad de los mensajes de correo electrónico. Se puede describir como un notario digital para tus correos electrónicos, que garantiza que son auténticos y no han sido modificados.
En esencia, DKIM utiliza firmas digitales para garantizar que un correo electrónico no haya sido modificado durante su tránsito y provenga del remitente correcto.
Puede imaginar DKIM como un sello digital que se coloca en cada correo electrónico saliente. Este sello, creado mediante claves criptográficas, sirve como identificador único y certifica que el correo electrónico ha sido autorizado por el dominio remitente. De esta manera, este proceso ayuda a establecer la confianza entre el remitente y el destinatario, asegurando a este último que el correo electrónico es legítimo y no ha sido manipulado.
El objetivo principal de DKIM es reforzar la seguridad del correo electrónico abordando los siguientes aspectos clave:
Integridad del mensaje: DKIM evita que los actores maliciosos alteren el contenido de un correo electrónico mientras este transita por Internet. La firma digital que acompaña al correo electrónico actúa como un sello de autenticidad, garantizando al destinatario que el mensaje permanece intacto y sin alteraciones. Autenticación del remitente: DKIM autentica la identidad del remitente, mitigando los riesgos asociados con la falsificación de correos electrónicos. Al validar el origen del correo electrónico, DKIM ayuda a reducir los intentos de phishing y garantiza que los destinatarios puedan confiar en la legitimidad del remitente.
En el corazón del mecanismo DKIM se encuentra el concepto de firmas digitales integradas en los encabezados de los correos electrónicos:
Proceso de firma: cuando se envía un correo electrónico, el servidor remitente aplica una firma digital al encabezado del correo electrónico utilizando una clave privada exclusiva del dominio remitente. Esta firma sirve como un sello criptográfico, similar a una firma manuscrita en una carta, e indica la autenticidad del remitente. Campos del encabezado: la firma DKIM se suele añadir a campos específicos del encabezado del correo electrónico, como el campo «DKIM-Signature». Este campo contiene la información crucial que necesitan los destinatarios para verificar la firma.
Comprender el uso que hace DKIM de las claves públicas y privadas también es fundamental para comprender plenamente su mecanismo. El dominio remitente posee una clave privada, almacenada de forma segura y conocida únicamente por el propietario del dominio o sus entidades autorizadas. Esta clave privada se utiliza para generar la firma digital durante el proceso de firma.
Por otro lado, la clave pública, como su nombre indica, se pone a disposición del público en los registros DNS del dominio remitente, de modo que los destinatarios pueden acceder a ella para verificar la firma digital adjunta al correo electrónico.
DMARC, o Autenticación, informe y conformidad de mensajes basados en dominio, combina las capacidades de SPF y DKIM para reforzar aún más la autenticación del correo electrónico. Profundicemos en esta sinergia:
Integración con SPF: DMARC aprovecha SPF al permitir a los remitentes especificar en sus registros DMARC cómo se debe gestionar SPF. Esto garantiza que la alineación entre el dominio del remitente y la autenticación SPF se verifique por completo, lo que refuerza el proceso de autenticación del correo electrónico. Integración con DKIM: al igual que con SPF, DMARC se armoniza con DKIM. Permite a los remitentes definir el tratamiento deseado cuando falla la alineación DKIM, lo que refuerza la validación de la identidad del remitente.
Esto significa que, al integrar SPF y DKIM en un marco cohesionado, DMARC mejora la seguridad general de las comunicaciones por correo electrónico, ofreciendo una protección integral contra el uso no autorizado de un dominio.
DMARC también introduce un mecanismo claro y eficaz para establecer políticas con el fin de reforzar la autenticación del correo electrónico. A continuación se ofrece un resumen simplificado:
Opciones de política: DMARC ofrece tres opciones de política para gestionar los correos electrónicos que no superan las comprobaciones SPF o DKIM: «ninguna», «cuarentena» y «rechazar». «Ninguna»: esta opción es una fase de supervisión inicial en la que DMARC envía informes sin tomar medidas. Permite a los remitentes evaluar el impacto en los correos electrónicos legítimos. «Cuarentena»: en esta fase, los correos electrónicos sospechosos se dirigen directamente a la carpeta de spam o cuarentena del destinatario, lo que proporciona un enfoque cauteloso ante posibles amenazas. «Rechazar»: la opción más estricta, «rechazar», garantiza que los correos electrónicos que no superan las comprobaciones de autenticación sean rechazados directamente, lo que minimiza el riesgo de actividades fraudulentas.Mecanismo de informes: DMARC introduce un sólido mecanismo de informes que genera comentarios sobre el proceso de autenticación del correo electrónico. Estos valiosos comentarios ayudan a los remitentes a perfeccionar su configuración de autenticación de correo electrónico y a resolver cualquier problema que pueda surgir.
DMARC ejerce una fuerte influencia en el enrutamiento del correo electrónico, trazando un curso que mejora la capacidad de entrega de su correo electrónico. En la práctica, DMARC examina minuciosamente la alineación entre el dominio en el encabezado «De» y los dominios autenticados a través de SPF y DKIM. Cuando se confirma la alineación, indica a los proveedores de servicios de correo electrónico (ESP) que el correo electrónico es legítimo y puede entregarse.
Según la política establecida por el remitente («ninguna», «cuarentena» o «rechazar»), DMARC indica al ESP cómo gestionar los correos electrónicos que no superan la autenticación. Esta decisión influye significativamente en las posibilidades de que los correos electrónicos lleguen a la bandeja de entrada del destinatario.
En lo que respecta a los aspectos relacionados con la generación de informes y el cumplimiento, debe tener en cuenta que DMARC genera informes detallados que proporcionan información valiosa sobre el estado de alineación, los resultados de la autenticación e incluso la disposición de los correos electrónicos. Este ciclo de retroalimentación permite a los remitentes identificar problemas, como autenticaciones fallidas o posibles abusos de su dominio.
Además, a través de los informes DMARC, los remitentes también pueden obtener visibilidad sobre cómo sus correos electrónicos cumplen con SPF y DKIM, por lo que con las políticas y configuraciones de autenticación especificadas se garantiza una capacidad de entrega óptima.
La creación de un ecosistema de correo electrónico seguro comienza con la configuración meticulosa de SPF (Sender Policy Framework). Simplifiquemos el proceso en pasos prácticos para una implementación eficaz de SPF:
Paso 1: Haga una lista de sus proveedores de servicios de correo electrónico. Antes de sumergirse en la configuración de SPF, compile una lista completa de todos los proveedores de servicios de correo electrónico (ESP) que utiliza para enviar correos electrónicos. Este paso es crucial para garantizar que su registro SPF abarque todas las fuentes autorizadas.
Paso 2: Ve a la configuración DNS de tu dominio. Accede a la configuración del Sistema de Nombres de Dominio (DNS) de tu dominio. Se trata de la libreta de direcciones virtual que dirige el flujo del tráfico de Internet.
Paso 3: Crea o actualiza tu registro SPF. En la configuración del DNS, busca el área designada para los registros SPF. Si tu dominio no tiene un registro SPF, crea uno nuevo. Si ya tienes uno, actualízalo para incluir la información de todos tus ESP.
Paso 4: Guarde y espere 48 horas. Después de configurar o actualizar su registro SPF, guarde los cambios en su configuración DNS. Es importante tener en cuenta que los cambios en los registros DNS pueden tardar en propagarse por Internet. Espere al menos 48 horas para que el registro SPF actualizado surta efecto.
Aquí hay un ejemplo de formato:
v=spf1 include:_spf.example.com include:_spf.anotherprovider.com -all
y luego sustituya «example.com» y «anotherprovider.com» por los registros SPF reales de sus ESP.
Si utiliza varios ESP, consolide sus declaraciones «include» en un único registro SPF para evitar posibles conflictos.
Para maximizar la eficacia de su SPF, tenga en cuenta estas prácticas recomendadas:
Revise y actualice periódicamente su registro SPF para reflejar cualquier cambio en su infraestructura de correo electrónico y complete su lista de verificación de entregabilidad de correo electrónico. Evite exceder el límite de búsqueda de DNS (10) impuesto por SPF para evitar problemas de autenticación, y pruebe su registro SPF utilizando herramientas como el verificador SPF de MailReach para garantizar su precisión y eficacia.
Para proteger tus comunicaciones por correo electrónico también es necesario implementar DKIM (DomainKeys Identified Mail), siguiendo pasos muy similares a los de SPF:
Paso 1: Haga una lista de sus proveedores de servicios de correo electrónico. En primer lugar, debe compilar una lista de los proveedores de servicios de correo electrónico (ESP) que utiliza para enviar correos electrónicos. A diferencia de SPF, DKIM requiere un registro independiente para cada ESP.
Paso 2: Localice la configuración DNS de su dominio. A continuación, acceda a la configuración del Sistema de Nombres de Dominio (DNS) específica de su dominio. Normalmente, se encuentra en el portal de gestión de dominios, en secciones como «Configuración DNS», «Gestionar DNS» o títulos similares.
Paso 3: Genere claves DKIM para su(s) proveedor(es). Para cada ESP, inicie el proceso de generación de una clave DKIM. Los pasos exactos pueden variar según el proveedor, por lo que debe realizar una búsqueda específica para su ESP, como «configurar DKIM para [su proveedor]», y seguir las instrucciones proporcionadas por su ESP para generar la clave DKIM necesaria (Google Workspace, Outlook/Office365, Mailgun, Brevo, Amazon SES, etc.).
Paso 4: Añade DKIM a tu DNS. En la configuración DNS de tu dominio, crea un nuevo registro TXT para incorporar los detalles de la clave DKIM proporcionados por tu ESP.
Paso 5: Guarde y espere 48 horas. Después de añadir los registros DKIM a su DNS, guarde los cambios para permitir un período de propagación de al menos 48 horas para que las nuevas configuraciones DKIM surtan efecto en Internet.
Supongamos que tu dominio es midominio.com :
Por ejemplo, si utiliza Google Workspace para enviar sus correos electrónicos diarios y Brevo para enviar boletines informativos a sus suscriptores, tendrá que configurar dos registros DKIM diferentes.
Uno para Gmail (Google Workspace) y otro para Brevo.
A continuación, acceda a la configuración del Sistema de nombres de dominio (DNS) específica de su dominio (Configuración de DNS).
Cree un nuevo registro TXT para incorporar los detalles de la clave DKIM proporcionados por su ESP, de la siguiente manera:
Nombre/Host/Alias: el selector de su proveedor, que suele presentarse como selector._domainkey, Valor/Respuesta/Destino: la clave pública proporcionada por su proveedor.
Para implementar DMARC, el proceso comienza accediendo a la configuración DNS de su dominio, tal y como hizo con SPF y DKIM. Dentro de esta configuración, creará un nuevo registro DNS TXT para alojar su política DMARC.
Aquí hay un ejemplo:
Un ejemplo de un registro DMARC sencillo, adecuado para aquellos que prefieren empezar con una intervención mínima, tiene el siguiente aspecto:
v=DMARC1; p=none;
Este registro predeterminado inicia DMARC sin tomar medidas inmediatas sobre los mensajes fallidos, lo que ofrece un punto de entrada fácil de usar para aquellos que desean mantener las cosas sencillas.
Más allá de esta configuración predeterminada, puede personalizar su política DMARC ajustando varios parámetros dentro del registro TXT:
Por ejemplo, establecer p=none indica a los destinatarios de correo electrónico que envíen informes DMARC sin tomar medidas inmediatas sobre los mensajes fallidos. Además, especificar las direcciones de correo electrónico rua y ruf determina dónde se envían los informes agregados y forenses, respectivamente.
En cuanto al seguimiento y análisis de los informes DMARC, puede comprobar periódicamente las direcciones de correo electrónico especificadas en rua y ruf para acceder a información valiosa sobre los resultados de la autenticación, lo que le ayudará a identificar y resolver posibles problemas.
Los protocolos SPF, DKIM y DMARC exigen un cierto nivel de precisión y una comprensión clara de los posibles inconvenientes. Cuando se enfrente a retos de autenticación, puede tener en cuenta los errores de configuración más comunes y aprovechar las herramientas y recursos disponibles para el diagnóstico.
Puede verificar si su registro SPF cumple con sus prácticas de envío de correo electrónico. Si utiliza Email Warmer de MailReach, compruebe si su registro SPF se corresponde con el proveedor elegido durante la configuración de MailReach. Una conexión de Gmail, por ejemplo, requiere un registro SPF que incluya Gmail. Para una mayor compatibilidad, utilice la opción «Cualquier otro SMTP» y verifique la configuración necesaria con el proveedor correspondiente.
Además, revise minuciosamente sus registros SPF para eliminar errores y consolidar varios proveedores en un único registro SPF. Es fundamental utilizar la sintaxis correcta, que comienza con «v=spf1» e incorpora las declaraciones «include» pertinentes. A continuación se muestra un ejemplo de un registro SPF para Gmail :
v=spf1 include:_spf.google.com ~all
Para una configuración DKIM eficaz, adapte sus registros DKIM para que coincidan con el proveedor elegido durante la configuración de MailReach. Tanto si utiliza Email Warmer como el verificador DKIM gratuito, es importante disponer de un registro DKIM distinto que coincida con el proveedor. Si los problemas persisten, inicie los cambios y, una vez más, espere el plazo de 48 horas para los cambios de DNS y la verificación de MailReach.
En resumen, SPF, DKIM y DMARC son guardianes cruciales de la integridad del correo electrónico, ya que fortalecen colectivamente sus canales de comunicación y proporcionan una defensa sólida contra el acceso no autorizado y el fraude por correo electrónico.
Al implementar estos protocolos de autenticación, puede maximizar al mismo tiempo la seguridad y la capacidad de entrega de su correo electrónico.
Cada correo en spam equivale a un cliente potencial perdido. Empieza a mejorar tu posicionamiento en la bandeja de entrada hoy mismo con las pruebas de spam y el warmup de MailReach.
Seguir las reglas no es suficiente: descubre dónde aterrizan tus emails y qué los está frenando. Verifica tu puntuación de spam con nuestra prueba gratuita y mejora la entregabilidad con el warmup de MailReach.
Sin el warmup adecuado, tus mejores campañas no sirven de nada. Puedes empezar probando dónde aterrizan tus emails y empezar a mejorarlo hoy mismo.
¿Qué es un proveedor de servicios de correo electrónico y cómo elegir el adecuado?
Un dominio de correo electrónico frío no es opcional en 2026. A continuación te explicamos por qué lo necesitas y cómo configurarlo para que te dé buenos resultados.
¿Qué es la higiene de las listas de correo electrónico y por qué es importante en 2026?
Descubra los conceptos básicos de la autenticación de correo electrónico con SPF, DKIM y DMARC. Aprenda a implementar estos protocolos para garantizar la seguridad de las comunicaciones por correo electrónico.
La reputación de tu dominio tiene un impacto directo en la capacidad de entrega de tus correos electrónicos. ¡Nuestros consejos para comprender la reputación de tu dominio y mejorarla!
Un dominio de seguimiento personalizado (CTD) está directamente relacionado con la capacidad de entrega de tu correo electrónico. ¡Más detalles sobre su importancia y ventajas!
