Fundamentos del Email¿Qué son SPF, DKIM, DMARC y cómo implementarlos?Descubre los conceptos básicos de la autenticación de emails con SPF, DKIM y DMARC. Aprende a implementar estos protocolos para una comunicación de email segura.
Risotto lidera en Zero Trust con un enfoque 'runtime-first', monitoreo eBPF, aplicación dinámica de privilegios mínimos y automatización de cumplimiento.
Risotto lidera en Zero Trust con un enfoque 'runtime-first', monitoreo eBPF, aplicación dinámica de privilegios mínimos y automatización de cumplimiento.
Risotto lidera en Zero Trust con un enfoque 'runtime-first', monitoreo eBPF, aplicación dinámica de privilegios mínimos y automatización de cumplimiento.
Esta guía está hecha para desmitificar el complejo tema de los protocolos de autenticación de email, incluyendo SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting, and Conformance).
Nos centraremos en el papel fundamental que estos protocolos juegan para fortalecer la seguridad del email, reducir el fraude y mejorar la entregabilidad, incluyendo los pasos prácticos a seguir para implementar con éxito SPF, DKIM y DMARC en tus comunicaciones por email.
SPF, o Sender Policy Framework, es un protocolo crucial de autenticación de email diseñado para reducir el spoofing de emails y el uso no autorizado de dominios. SPF funciona como un marco robusto que permite a los propietarios de dominios declarar qué servidores de correo están autorizados a enviar emails en nombre de su dominio. En otras palabras, su trabajo principal es evitar que actores malintencionados finjan enviar emails en nombre de tu dominio.
Esto se logra mediante la creación de un registro DNS (Domain Name System) que lista los servidores de correo aprobados, sirviendo esencialmente como una "dirección de remitente" digital para los emails que se originan en ese dominio. Así, como propietario de un dominio, creas una lista especial usando DNS (Domain Name System), tu libreta de direcciones digital. Esta lista incluye las direcciones IP de los servidores autorizados para enviar emails desde un dominio dado – piénsalo como una "dirección de remitente" de confianza.
El concepto básico implica asociar una dirección IP específica o un rango de direcciones IP con un dominio dado. Luego, cuando un email que dice ser de un dominio particular llega a su destino, el servidor de correo del destinatario verifica el registro SPF en el DNS para comprobar si el servidor de envío está realmente autorizado.
Cuando un email dice ser de un dominio determinado, el servidor de correo del destinatario revisa esta libreta de direcciones digital (el registro SPF) para ver si el servidor de envío tiene realmente permiso para mandar emails en nombre de tu dominio. Funciona como un control de seguridad.
Uno de los roles principales de SPF es prevenir el spoofing de emails, un acto en el que los ciberdelincuentes manipulan el encabezado del email para que parezca que el mensaje se envía desde una fuente de confianza cuando, en realidad, no es así. Al establecer una asociación clara y autenticada entre los servidores de correo autorizados y un dominio, SPF crea una defensa de primera línea contra entidades no autorizadas que intentan explotar la credibilidad de un dominio.
El proceso de SPF implica varios pasos, como:
Inicio: Cuando un email llega a su destino, el servidor de correo del destinatario identifica el supuesto dominio de envío a partir del encabezado del email; Búsqueda DNS: Luego, el servidor realiza una búsqueda DNS para recuperar el registro SPF (la libreta de direcciones digital del dominio) asociado con el dominio de envío. Este registro SPF es esencialmente un conjunto de reglas especificadas por el propietario del dominio; Verificación: El registro SPF recuperado lista las direcciones IP o rangos autorizados para enviar emails en nombre del dominio, incluyendo la reputación del remitente. El servidor de correo del destinatario coteja la dirección IP de origen del email entrante con la información del registro SPF (el servidor compara esta información con la dirección IP de origen del email entrante, verificando si coinciden); Punto de decisión: Basado en esta comparación, el servidor toma una decisión crucial. Si la IP de origen coincide con el registro SPF, el email es legítimo y pasa la verificación SPF. Si hay una discrepancia, lo que sugiere que el email no proviene de un servidor autorizado, la verificación SPF falla.
Por lo tanto, debes saber que la base de SPF reside en la creación de registros SPF dentro de la configuración DNS de un dominio. Aquí tienes algunos ejemplos de los componentes clave:
v=spf1: Esta etiqueta marca el inicio del registro SPF y generalmente va seguida de los mecanismos que definen las reglas; Mecanismos: Son las reglas que especifican qué direcciones IP están autorizadas a enviar emails en nombre del dominio. Los mecanismos comunes incluyen "a" (permitiendo el registro A del dominio), "mx" (permitiendo el registro MX del dominio) e "ip4" o "ip6" (especificando direcciones IP o rangos específicos); Modificadores: Se pueden incluir instrucciones adicionales, conocidas como modificadores, para refinar la política SPF y permitir futuras extensiones al framework. Por ejemplo, "-all" indica una política estricta donde todas las demás fuentes se consideran no autorizadas.
DKIM, o DomainKeys Identified Mail, es una técnica de autenticación de email creada para verificar la autenticidad de los mensajes de correo. Se puede describir como un notario digital para tus emails, asegurando que son genuinos y no han sido modificados.
En esencia, DKIM usa firmas digitales para asegurar que un email no ha sido modificado durante su envío y que viene del remitente correcto.
Puedes imaginar DKIM como un sello digital que se pone en cada email que envías. Este sello, creado con claves criptográficas, sirve como un identificador único y confirma que el email ha sido autorizado por el dominio de envío. Así, este proceso ayuda a crear confianza entre el remitente y el destinatario, asegurando a este último que el email es legítimo y no ha sido manipulado.
El objetivo principal de DKIM es reforzar la seguridad del email abordando los siguientes puntos clave:
Integridad del Mensaje: DKIM evita que personas malintencionadas cambien el contenido de un email mientras viaja por internet. La firma digital que acompaña al email actúa como un sello de autenticidad, asegurando al destinatario que el mensaje está intacto y sin alteraciones. Autenticación del Remitente: DKIM autentica la identidad del remitente, reduciendo los riesgos de suplantación de identidad por email. Al validar el origen del email, DKIM ayuda a disminuir los intentos de phishing y asegura que los destinatarios puedan confiar en la legitimidad del remitente.
En el centro del mecanismo de DKIM está el concepto de firmas digitales integradas en los encabezados de los emails:
Proceso de Firma: Cuando se envía un email, el servidor de envío aplica una firma digital al encabezado del email usando una clave privada única del dominio de envío. Esta firma sirve como un sello criptográfico, parecido a una firma manuscrita en una carta, e indica la autenticidad del remitente. Campos del Encabezado: La firma DKIM se añade normalmente a campos específicos del encabezado del email, como el campo "DKIM-Signature". Este campo contiene la información crucial que los destinatarios necesitan para verificar la firma.
Entender cómo DKIM usa las claves públicas y privadas también es fundamental para comprender completamente su mecanismo. El dominio de envío tiene una clave privada, guardada de forma segura y conocida solo por el dueño del dominio o sus entidades autorizadas. Esta clave privada se usa para generar la firma digital durante el proceso de firma.
Por otro lado, la clave pública, como su nombre indica, se hace pública en los registros DNS del dominio de envío, para que los destinatarios puedan acceder a ella y verificar la firma digital adjunta al email.
DMARC, o Domain-based Message Authentication, Reporting & Conformance, combina las capacidades de SPF y DKIM para hacer la autenticación de email aún más robusta. Veamos esta sinergia:
Integración con SPF: DMARC aprovecha SPF permitiendo a los remitentes especificar en sus registros DMARC cómo debe manejarse SPF. Esto asegura que la alineación entre el dominio del remitente y la autenticación SPF se verifique completamente, fortaleciendo el proceso de autenticación de email. Integración con DKIM: De forma similar a SPF, DMARC se armoniza con DKIM. Permite a los remitentes definir el tratamiento deseado cuando la alineación de DKIM falla, reforzando la validación de la identidad del remitente.
Esto significa que al unir SPF y DKIM en un marco coherente, DMARC mejora la seguridad general de las comunicaciones por email, ofreciendo un escudo completo contra el uso no autorizado de un dominio.
DMARC también introduce un mecanismo claro y efectivo para establecer políticas que refuerzan la autenticación de email. Aquí tienes un resumen simplificado:
Opciones de Política: DMARC ofrece tres opciones de política para manejar los emails que no pasan las verificaciones de SPF o DKIM: 'none', 'quarantine' y 'reject'. 'None': Esta opción es una fase inicial de monitoreo donde DMARC envía informes sin tomar ninguna acción. Permite a los remitentes evaluar el impacto en emails legítimos. 'Quarantine': En esta fase, los emails sospechosos se dirigen directamente a la carpeta de spam o cuarentena del destinatario, lo que ofrece un enfoque cauteloso ante posibles amenazas. 'Reject': La opción más estricta, 'reject', asegura que los emails que no pasan las verificaciones de autenticación sean directamente rechazados, minimizando el riesgo de actividades fraudulentas. Mecanismo de Informes: DMARC introduce un robusto mecanismo de informes, generando feedback sobre el proceso de autenticación de email. Este valioso feedback ayuda a los remitentes a ajustar su configuración de autenticación de email y a solucionar cualquier problema que pueda surgir.
DMARC ejerce una fuerte influencia en el enrutamiento de emails, trazando un camino que mejora tu entregabilidad de email. En la práctica, DMARC examina la alineación entre el dominio en el encabezado "From" y los dominios autenticados a través de SPF y DKIM. Cuando se confirma la alineación, le indica a los proveedores de servicios de email (ESPs) que el email es legítimo y puede ser entregado.
Basándose en la política establecida por el remitente ('none', 'quarantine' o 'reject'), DMARC indica al ESP cómo manejar los emails que fallan la autenticación. Esta decisión influye significativamente en las posibilidades de que los emails lleguen a la bandeja de entrada del destinatario.
En cuanto a los aspectos de informes y cumplimiento, debes tener en cuenta que DMARC genera informes detallados, ofreciendo información valiosa sobre el estado de alineación, los resultados de autenticación e incluso la disposición de los emails. Este ciclo de feedback permite a los remitentes identificar problemas, como autenticaciones fallidas o posibles abusos de su dominio.
Además, a través de los informes de DMARC, los remitentes también pueden ver cómo sus emails cumplen con SPF y DKIM, es decir, con las políticas y configuraciones de autenticación especificadas para garantizar una entregabilidad óptima.
La creación de un ecosistema de email seguro empieza con la configuración meticulosa de SPF (Sender Policy Framework). Vamos a simplificar el proceso en pasos claros para una implementación de SPF efectiva:
Paso 1: Haz una lista de tus proveedores de servicios de email. Antes de meterte de lleno en la configuración de SPF, haz una lista completa de todos los Email Service Providers (ESPs) que usas para enviar emails. Este paso es clave para asegurarte de que tu registro SPF incluya todas las fuentes autorizadas.
Paso 2: Ve a la configuración DNS de tu dominio. Accede a la configuración del Domain Name System (DNS) de tu dominio. Piensa en ello como la agenda virtual que dirige el tráfico de internet.
Paso 3: Crea o actualiza tu registro SPF. Dentro de la configuración DNS, busca la sección para los registros SPF. Si tu dominio no tiene un registro SPF, crea uno nuevo. Si ya tienes uno, actualízalo para incluir la información de todos tus ESPs.
Paso 4: Guarda y espera 48 horas. Después de configurar o actualizar tu registro SPF, guarda los cambios en la configuración DNS. Es importante saber que los cambios en los registros DNS pueden tardar un tiempo en propagarse por internet. Deja un margen de al menos 48 horas para que el registro SPF actualizado se active.
Aquí tienes un ejemplo de formato:
v=spf1 include:_spf.example.com include:_spf.anotherprovider.com -all
y luego reemplaza "example.com" y "anotherprovider.com" con los registros SPF reales de tus ESPs.
Si usas varios ESPs, junta sus declaraciones "include" en un solo registro SPF para evitar posibles conflictos.
Para que tu SPF sea lo más efectivo posible, ten en cuenta estas buenas prácticas:
Revisa y actualiza tu registro SPF regularmente para reflejar cualquier cambio en tu infraestructura de email y completa tu checklist de entregabilidad de email. Evita exceder el límite de búsquedas DNS (10) impuesto por SPF para prevenir problemas de autenticación, y prueba tu registro SPF usando herramientas como el SPF Checker de MailReach para asegurar su precisión y efectividad.
Asegurar tus comunicaciones de email también implica implementar DKIM (DomainKeys Identified Mail), siguiendo pasos bastante parecidos a los de SPF:
Paso 1: Haz una lista de tus proveedores de servicios de email. Primero, debes hacer una lista de los Email Service Providers (ESPs) que usas para enviar emails. A diferencia de SPF, DKIM necesita un registro separado para cada ESP.
Paso 2: Localiza la configuración DNS de tu dominio. Luego, accede a la configuración del Domain Name System (DNS) específica de tu dominio. Normalmente, esto lo encuentras en el portal de gestión del dominio, en secciones como "DNS Settings", "Manage DNS" o títulos similares.
Paso 3: Genera la(s) clave(s) DKIM para tu(s) proveedor(es). Para cada ESP, inicia el proceso de generar una clave DKIM. Los pasos exactos pueden variar según el proveedor, así que busca algo específico para tu ESP, como "setup DKIM para [tu proveedor]", y sigue las guías que te dé tu ESP para generar la clave DKIM necesaria (Google Workspace, Outlook / Office365, Mailgun, Brevo, Amazon SES…).
Paso 4: Añade DKIM a tu DNS. Dentro de la configuración DNS de tu dominio, crea un nuevo registro TXT para incluir los detalles de la clave DKIM que te dio tu ESP.
Paso 5: Guarda y espera 48 horas. Después de añadir los registros DKIM a tu DNS, guarda los cambios para permitir un periodo de propagación de al menos 48 horas para que las nuevas configuraciones DKIM se activen en internet.
Imagina que tu dominio es mydomain.com:
Por ejemplo, si usas Google Workspace para tus emails del día a día y Brevo para enviar newsletters a tus suscriptores, tendrás que configurar dos registros DKIM diferentes.
Uno para Gmail (Google Workspace) y otro para Brevo.
Luego, accede a la configuración del Domain Name System (DNS) específica de tu dominio (DNS Settings).
Crea un nuevo registro TXT para incluir los detalles de la clave DKIM que te dio tu ESP, así:
Name/Host/Alias: el selector de tu proveedor, a menudo presentado como selector._domainkey, Value/Answer/Destination: la clave pública que te da tu proveedor.
Para implementar DMARC, el proceso empieza yendo a la configuración DNS de tu dominio, igual que hiciste para SPF y DKIM. Dentro de esta configuración, crearás un nuevo registro DNS TXT para tu política DMARC.
Aquí tienes un ejemplo:
Un ejemplo de un registro DMARC sencillo, ideal para quienes prefieren empezar con una intervención mínima, es así:
v=DMARC1; p=none;
Este registro predeterminado inicia DMARC sin tomar medidas inmediatas sobre los mensajes que fallan, ofreciendo un punto de entrada fácil de usar para quienes quieren mantener las cosas sencillas.
Más allá de esta configuración predeterminada, puedes personalizar tu política DMARC ajustando varios parámetros dentro del registro TXT:
Por ejemplo, establecer p=none indica a los receptores de correo electrónico que envíen informes DMARC sin tomar medidas inmediatas sobre los mensajes que fallan. Además, especificar las direcciones de correo electrónico rua y ruf determina dónde se envían, respectivamente, los informes agregados y forenses.
En cuanto al monitoreo y análisis de los informes DMARC, puedes revisar regularmente las direcciones de correo electrónico especificadas en rua y ruf para acceder a información valiosa sobre los resultados de autenticación, ayudándote a identificar y solucionar posibles problemas.
Los protocolos SPF, DKIM y DMARC exigen un cierto nivel de precisión y una comprensión clara de los posibles errores. Cuando te enfrentes a desafíos de autenticación, puedes considerar errores comunes de configuración y aprovechar las herramientas y recursos disponibles para el diagnóstico.
Puedes verificar si tu registro SPF cumple con tus prácticas de envío de correos electrónicos. Si estás usando el Email Warmer de MailReach, verifica si tu registro SPF corresponde al proveedor elegido durante la configuración de MailReach. Una conexión de Gmail, por ejemplo, requiere un registro SPF que incluya Gmail. Para una compatibilidad más amplia, usa la opción "Any other SMTP" y verifica la configuración requerida con el proveedor respectivo.
Además, examina tus registros SPF para eliminar errores y consolidar múltiples proveedores en un solo registro SPF. La sintaxis correcta, que comienza con "v=spf1" e incorpora las declaraciones "include" relevantes, es crucial. Aquí tienes un ejemplo de un registro SPF para Gmail:
v=spf1 include:_spf.google.com ~all
Para una configuración DKIM efectiva, adapta tus registros DKIM para que coincidan con el proveedor elegido durante la configuración de MailReach. Ya sea que uses el Email Warmer o el DKIM Checker gratuito, es importante un registro DKIM distinto que coincida con el proveedor. Si los problemas persisten, inicia los cambios y, una vez más, espera la ventana de 48 horas para los cambios de DNS y la verificación de MailReach.
En resumen, SPF, DKIM y DMARC se erigen como guardianes cruciales de la integridad del correo electrónico, fortaleciendo colectivamente tus canales de comunicación y proporcionando una defensa robusta contra el acceso no autorizado y el fraude por correo electrónico.
Al implementar estos protocolos de autenticación, puedes maximizar al mismo tiempo la seguridad de tu correo electrónico y su entregabilidad.
Cada correo en spam equivale a un cliente potencial perdido. Empieza a mejorar tu posicionamiento en la bandeja de entrada hoy mismo con las pruebas de spam y el warmup de MailReach.
Seguir las reglas no es suficiente: descubre dónde aterrizan tus emails y qué los está frenando. Verifica tu puntuación de spam con nuestra prueba gratuita y mejora la entregabilidad con el warmup de MailReach.
Sin el warmup adecuado, tus mejores campañas no sirven de nada. Puedes empezar probando dónde aterrizan tus emails y empezar a mejorarlo hoy mismo.
Understand what a bounced email is and learn how to fix it. A no-nonsense guide to reduce bounces and improve deliverability.
Cómo leer un informe DMARC (Paso a paso para remitentes B2B)
¿Qué es un proveedor de servicios de email y cómo elegir el adecuado?
Un dominio para cold emails no es opcional en 2026. Aquí te explicamos por qué necesitas uno y cómo configurarlo para el éxito.
¿Qué es la Higiene de la Lista de Email y Por Qué es Importante en 2026?
Descubre los conceptos básicos de la autenticación de emails con SPF, DKIM y DMARC. Aprende a implementar estos protocolos para una comunicación de email segura.
