Índice
- ¿Por qué autenticar tu dominio?
- ¿Qué es SPF?
- ¿Qué es DKIM?
- Verificar registros SPF y DKIM
- Autenticación SPF y DKIM entre distintos proveedores
- Buenas prácticas para SPF y DKIM
- Solución de problemas comunes
- Medidas de seguridad adicionales
- Conclusión
La autenticación del emails es una parte esencial para mantener un canal de comunicación por correo electrónico seguro y de confianza. SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail) son dos protocolos clave que ayudan a verificar la legitimidad de tus emails, evitan la suplantación de identidad y aumentan la entregabilidad. Esta guía te ayudará con todo lo que necesitas saber sobre la autenticación de tus dominios con SPF y DKIM utilizando Mailjet.
¿Por qué autenticar tu dominio?
La autenticación de emails tiene dos propósitos fundamentales:
- Proteger tu marca: Al verificar que tus correos proceden de servidores autorizados, SPF y DKIM impiden que remitentes no autorizados se hagan pasar por tu dominio. Esto ayuda a proteger tu marca contra los ataques de phishing y la suplantación de dominios, haciendo que los emails ilegítimos sean más fáciles de identificar.
- Mejorar la entregabilidad del email: Los proveedores de servicios de internet (ISP) utilizan SPF y DKIM para verificar los emails entrantes. Aplicando estos protocolos, es más probable que tus correos lleguen a la bandeja de entrada del destinatario en lugar de ser marcados como spam.
¿Qué es SPF?
SPF es un protocolo de autenticación de email que permite a los propietarios de dominios especificar qué servidores de correo están autorizados a enviar emails en nombre de su dominio. Funciona publicando un registro SPF, un tipo específico de registro DNS TXT, en la configuración DNS del dominio.
Cómo funciona el SPF
Cuando se envía un email, el servidor receptor comprueba el registro SPF para asegurarse de que el correo se ha enviado desde una dirección IP o nombre de host autorizados. Si el servidor remitente coincide con una dirección IP o un nombre de host que figuran en el registro SPF, el correo se considera auténtico.
Configurar SPF con Mailjet
Para configurar SPF para tu dominio con Mailjet, sigue estos pasos:
- Accede a la configuración DNS de tu proveedor de dominio.
-
Añade un nuevo registro TXT con el siguiente valor:
-
Nombre/Host: Utiliza
@
o déjalo en blanco para aplicarlo al dominio raíz. -
Valor:
v=spf1 include:spf.mailjet.com ~all
-
Nombre/Host: Utiliza
La directiva include:spf.mailjet.com
indica a los servidores destinatarios que los servidores de Mailjet están autorizados a enviar emails en nombre de tu dominio. El ~all
al final significa que cualquier servidor que no figure en el registro SPF debe considerarse sospechoso.
Si necesitas varios registros SPF para un dominio, debes consolidarlos en un único registro para garantizar su correcto funcionamiento. Este es un ejemplo de cómo hacerlo:
Registros SPF originales:
v=spf1 include:spf.example1.com ~all
v=spf1 include:spf.mailjet.com ~all
Debes mantener una única entrada TXT para este dominio y eliminar las demás entradas. El registro TXT consolidado debería tener este aspecto:
Después de la fusión:
v=spf1 include:spf.example1.com include:spf.mailjet.com ~all
¿Qué es DKIM?
DKIM es una técnica de autenticación de emails que añade una firma digital a tus mensajes de correo electrónico. Esta firma permite al servidor de emails receptor verificar que el contenido del correo no ha sido alterado y que ha sido enviado desde un dominio autorizado.
Cómo funciona DKIM
DKIM funciona mediante un cifrado de clave pública-privada. Cuando envías un email, Mailjet lo firma con una clave privada, y el servidor del destinatario lo verifica utilizando la clave pública correspondiente, que se publica en los registros DNS de tu dominio. Si las firmas coinciden, confirma que el email es legítimo y no ha sido manipulado durante el tránsito.
Configurar DKIM con Mailjet
Para configurar DKIM para tu dominio con Mailjet:
- Accede a la configuración DNS de tu proveedor de dominio.
-
Añade un nuevo registro TXT con el siguiente valor:
-
Nombre/Host:
mailjet._domainkey.tudominio.com.
(sustituyetudominio.com
por tu nombre de dominio real). -
Valor/destino:
k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNAD
....
(Introduce la clave DKIM proporcionada por Mailjet. Esta clave se encuentra en tu cuenta de Mailjet, en la sección Autenticación SPF/DKIM).
-
Nombre/Host:
Esta configuración garantiza que todos los emails salientes se firmen con la clave DKIM de Mailjet, proporcionando una garantía adicional a los servidores receptores sobre la legitimidad de tus correos.
Ten en cuenta que algunos proveedores de dominio pueden exigir que todo el valor TXT vaya entre comillas dobles. Si no estás seguro, lo mejor es que consultes al equipo de asistencia de tu proveedor para que te oriente.
Además, algunos proveedores puede que añadan automáticamente el nombre de dominio al final del valor de texto en el campo "Host". Asegúrate de comprobar el texto en el campo "Host" después de guardar el registro.
Consideraciones sobre la tasa de bits de DKIM
La tasa de bits de una clave DKIM (DomainKeys Identified Mail) se refiere a la fuerza del cifrado utilizado para la autenticación del email. Normalmente, las claves DKIM se generan con diferentes tasas de bits como, por ejemplo:
- 1024 bits: Es la tasa de bits más habitual para las claves DKIM y se considera segura para la mayoría de los fines. Proporciona un buen equilibrio entre seguridad y rendimiento y es ampliamente aceptada por los proveedores de email.
- 2048 bits: Esta tasa de bits ofrece un cifrado más potente y una mayor seguridad en comparación con las claves de 1024 bits. Muchas organizaciones utilizan ahora claves de 2048 bits para garantizar la seguridad de sus emails frente a posibles avances criptográficos.
- 4096 bits: Se trata de una tasa de bits aún mayor, pero es menos común debido a su posible impacto en el rendimiento y a los límites de tamaño de los DNS. La mayoría de los proveedores de dominios pueden manejar claves DKIM de 1024 y 2048 bits, pero las de 4096 bits pueden requerir una consideración especial y podrían ser excesivas para la mayoría de los casos de uso.
Recomendación: En general, se recomienda utilizar una clave DKIM de 2048 bits para mejorar la seguridad, especialmente dada la creciente sofisticación de las ciberamenazas. Asegúrate de que tu proveedor de dominios admite claves de 2048 bits y actualiza tu clave DKIM periódicamente para mantener la seguridad.
Por otra parte, los dominios autenticados ya existentes no se verán afectados automáticamente. Los usuarios interesados en actualizar a claves de 2048 o 4096 bits deben regenerar sus registros DKIM y actualizar los ajustes DNS en sus dominios correspondientes. Esto garantiza que su tráfico de emails siga siendo de confianza para los proveedores de email y los clientes.
Actualización de la tasa de bits de DKIM
- Navegar a Preferencias de la cuenta > Remitentes y dominios > Configura la autenticación SPF/DKIM > Configurar autenticación SPF/DKIM.
- Haz clic en Regenerar clave en la sección DKIM y elige el tamaño de clave deseado.
- Confirma el cambio y haz clic en Regenerar clave nuevamente para continuar.
Verificar registros SPF y DKIM
Después de añadir los registros SPF y DKIM, es importante verificar que están correctamente configurados. Puedes hacerlo desde tu cuenta de Mailjet:
- Entra en Mailjet y ve a Ajustes de la cuenta > Dominios y DNS.
- Selecciona tu dominio y verás si los registros SPF y DKIM están correctamente configurados.
Si tu dominio está correctamente autenticado, verás una marca de verificación verde junto a SPF y DKIM.
Autenticación SPF y DKIM entre distintos proveedores
Gandi
Paso 1: Conéctate a Gandi.net
- Abre una nueva pestaña en tu navegador web y conéctate a tu cuenta de Gandi.
- En el panel de la izquierda, selecciona Dominios.
- Selecciona el dominio que quieres autenticar para el envío con Mailjet.
- Ve a la pestaña de Registros DNS.
Paso 2: Valida tu dominio en Maljet
- En tu cuenta de Mailjet, ve a la página Dominios y remitentes (que se encuentra en Ajustes de la cuenta).
- En Dominios y direcciones de remitente, verás una lista de todos tus dominios de envío junto con su estado. Siempre que añadas una nueva dirección de email o dominio remitente, aparecerá automáticamente en la página de Autenticación del dominio remitente.
- Para validar un dominio concreto, simplemente haz clic en la rueda dentada que hay junto a él y elige "Validar".
- Mantén la ventana abierta, ya que tendrás que copiar esta información en tus registros DNS.
- Vuelve a tu cuenta de Gandi y selecciona Añadir registro.
- En el menú desplegable Tipo, elige TXT.
- En Mailjet, copia el valor (utilizaremos la segunda opción del ejemplo) del campo Host y pégalo en el campo Nombre de Gandi.
- Copia el valor del campo Valor de Mailjet y pégalo en el campo Valor del texto en Gandi.
- Haz clic en Crear para añadir el registro.
- De nuevo en Mailjet, haz clic en Validar mi dominio.
Paso 3: Autentica tu dominio con registros SPF y DKIM
Tendrás que añadir registros SPF y DKIM para autenticar tu dominio:
Crear un registro SPF
- En Gandi, haz clic en Añadir registro y selecciona TXT como tipo de registro.
- En el campo Nombre, introduce @ (o el nombre del subdominio si estás autenticando un subdominio).
- Copia el valor SPF de Mailjet y pégalo en el campo Valor del registro TXT.
- Haz clic en Crear para añadir el registro SPF.
Crear un registro DKIM
- En Gandi, haz clic en Añadir registro y selecciona TXT como tipo de registro.
- Copia el valor del campo Nombre de Mailjet y pégalo en el campo Nombre de Gandi.
- Copia el campo Valor de Mailjet y pégalo en el campo Valor del texto en Gandi.
- Haz clic en Crear para añadir el registro DKIM.
Paso 4: Actualizar y verificar los registros DNS
Después de añadir ambos registros, actualiza tus ajustes DNS para validar tu dominio:
Cuando ambos registros estén correctamente configurados, verás notificaciones de estado verdes para cada registro. Una vez que veas estos banners verdes, tu dominio estará listo para enviar.
Buenas prácticas para SPF y DKIM
-
Utiliza un "SoftFail" (
~all
), "HardFail" (-all
) o "Neutral" (?all
): Un mecanismo~all
significa que los servidores no autorizados se marcan como sospechosos pero se siguen aceptando, mientras que-all
rechaza directamente los emails no autorizados. El mecanismo?all
especifica que los servidores no incluidos en la lista deben ser tratados de forma neutral, lo que significa que no se aplica ningún sesgo positivo o negativo. Elige en función de tu tolerancia al riesgo y del nivel de rigor que quieras imponer. - Combínalo con DMARC: Añadir un registro DMARC (Autenticación, informes y conformidad de mensajes basada en dominios) junto con SPF y DKIM protege aún más tu dominio de la suplantación de identidad y el phishing. DMARC te ayuda a establecer políticas sobre cómo tratar los emails que no superan las comprobaciones SPF o DKIM, proporcionando una capa adicional de protección.
- Supervisa los informes regularmente: Utiliza los informes DMARC para obtener información sobre cualquier comprobación SPF o DKIM fallida y comprender cualquier uso no autorizado de tu dominio. Analizar estos informes te ayudará a identificar posibles abusos y a tomar las medidas adecuadas.
- Asegúrate de que los registros DNS son coherentes: Asegúrate de que todos los dominios utilizados para enviar emails tienen registros SPF, DKIM y DMARC coherentes. Los registros incoherentes pueden reducir la entregabilidad e incluso hacer que los emails se marquen como spam.
Solución de problemas comunes
- Tiempo de propagación: Los cambios de DNS pueden tardar desde unos minutos hasta 48 horas en propagarse. Verifica tu configuración de SPF y DKIM cuando haya pasado el tiempo suficiente.
-
Solución de problemas de SPF: Identificar y rectificar las desconfiguraciones o errores en los registros SPF es crucial para evitar problemas de entrega. Las siguientes guías te ayudarán a solucionar problemas comunes de configuración de SPF.
- El registro SPF es un registro TXT: No debe confundirse con el tipo SPF. (Aunque podría utilizarse el tipo SPF, no es lo recomendado por la industria).
-
Múltiples registros SPF: Solo puedes tener un registro SPF para un dominio. Si tu dominio ya tiene un registro SPF, modifícalo para incluir Mailjet
(include:spf.mailjet.com
) en lugar de añadir un registro aparte. -
Registro SPF demasiado largo (Límite máximo de 10 entradas SPF): A veces, los registros SPF pueden llegar a ser demasiado largos si tienes muchos servicios de email. Para solucionarlo, puede que tengas que consolidar los registros o utilizar subdominios para diferentes servicios.
El límite de 10 búsquedas SPF plantea un problema cuando las consultas DNS alcanzan este umbral, lo que provoca errores permanentes en SPF comodemasiadas búsquedas DNS (too many DNS lookups)
opermerror
. Es crucial tener en cuenta que la consulta DNS para el registro de política SPF no contribuye a este límite. Los validadores en el extremo del destinatario evalúan secuencialmente la política SPF, y el proceso de evaluación se detiene al descubrir una coincidencia con la dirección IP del remitente. Dependiendo del remitente, es posible que un validador no alcance el límite de 10 búsquedas SPF, aunque la política exija más de 10 búsquedas SPF para una evaluación exhaustiva. Esta complejidad se suma al reto de identificar los problemas de entregabilidad del correo electrónico asociados a los límites del registro SPF.
- DKIM no se autentica: Asegúrate de que el registro TXT está configurado exactamente como lo proporciona Mailjet, sin espacios adicionales ni errores.
- El registro DKIM es un registro TXT: Se publica en el DNS (Sistema de Nombres de Dominio) como un registro TXT y contiene la clave pública utilizada para verificar que un mensaje de email ha sido efectivamente autorizado por el propietario del dominio.
- Email rechazado a pesar de la configuración correcta: Algunos servidores de recepción utilizan comprobaciones de autenticación adicionales. Considera la posibilidad de combinar SPF, DKIM y DMARC para obtener un enfoque de autenticación más completo.
Medidas de seguridad adicionales
Además de SPF y DKIM, deberías considerar la aplicación de las siguientes medidas de seguridad:
- DMARC: Añadir un registro DMARC te permitirá establecer políticas para gestionar los emails que no superen las comprobaciones SPF o DKIM. DMARC proporciona valiosos informes que pueden ayudarte a supervisar la actividad del email e identificar posibles problemas de suplantación de dominio. SPF y DKIM son importantes para identificar si un correo procede realmente de una fuente de confianza, pero solo DMARC puede aplicar acciones que impidan la entrega de emails falsificados. Para proteger completamente tu dominio y a tus destinatarios de la suplantación de identidad del email, deben aplicarse los tres protocolos, actuando DMARC como mecanismo de control que hace cumplir las políticas de seguridad.
Conclusión
Configurar la autenticación SPF y DKIM es crucial para proteger tu dominio y mejorar la entregabilidad de los emails. Siguiendo los pasos descritos anteriormente, puedes enviar correos con confianza a través de Mailjet, sabiendo que es menos probable que se marquen como spam y más probable que tus destinatarios confíen en ellos.
Para mejorar aún más la seguridad del email y de tu dominio, considera la posibilidad de implantar DMARC. Este protocolo funciona junto con SPF y DKIM para proporcionar un marco completo de autenticación y seguridad de los emails.
Para obtener más información, visita la documentación detallada de Mailjet o ponte en contacto con nuestro equipo de asistencia para obtener ayuda.