Autenticación
SPF spf
SPF (Entorno de políticas de remitentes) es un estándar de autenticación de correo electrónico que permite al propietario de un dominio especificar qué servidores de correo electrónico pueden enviar correos electrónicos en nombre de ese dominio. Este estándar utiliza el dominio en el encabezado “Return-Path” del correo electrónico (también denominado la dirección “Envelope From”).
El SPF es una técnica que, a su vez, permite asegurarse de que el nombre de dominio utilizado en un mensaje de correo electrónico no sea falso. Cuando se recibe un mensaje de un dominio, se consulta el servidor DNS del dominio. La respuesta es un breve registro (el registro SPF) que muestra los servidores autorizados para enviar correos electrónicos desde este dominio. Si asumimos que solo el propietario del dominio tiene la posibilidad de cambiar este registro, podemos considerar que esta técnica no permite que la dirección del remitente sea falsa, al menos no la parte a la derecha de la “@”.
En la especificación final RFC 4408, se utilizan dos elementos del mensaje para determinar el dominio considerado como remitente: el dominio especificado por el comando SMTP "HELO" (o "EHLO") y el dominio especificado por la dirección del encabezado "Return-Path" (o "MAIL FROM"), que también es la dirección de rechazo. Las diferentes consideraciones permiten tener en cuenta solo uno de estos valores; se recomienda que ambos orígenes especifiquen el mismo dominio.
La comprobación del SPF ofrece una evaluación de la validez del dominio del remitente:
- Ninguno: no se pudo realizar ninguna evaluación.
- Neutral: el dominio consultado no habilita la evaluación.
- Paso: el dominio se considera auténtico.
- Error: el dominio es falso y el mensaje se debe rechazar.
- SoftFail: Es probable que el dominio sea falso, pero el mensaje no se debe rechazar únicamente en función de este resultado.
- TempError: Un error temporal detuvo la evaluación. El mensaje se puede rechazar.
- PermError: Los registros del SPF del dominio no son válidos.
Cabe señalar que el proceso para tener en cuenta los registros realizados al nivel de los servidores DNS puede tardar hasta 48 horas. Este retardo depende de la frecuencia con que se actualicen las cachés DNS de los servidores receptores.
DKIM dkim
La autenticación DKIM (DomainKeys Identified Mail) es un sucesor de SPF. Utiliza criptografía de clave pública que permite al servidor de recepción de correo electrónico verificar que un mensaje fue enviado por la persona o entidad por la que afirma que fue enviado, y si el contenido del mensaje se alteró entre el momento en que se envió originalmente (y "firmado" por DKIM) y la hora en que se recibió. Este estándar suele utilizar el dominio en el encabezado "De" o "Remitente".
DKIM surge a partir de una combinación de los principios de autenticación de DomainKeys, Yahoo! y Cisco Mail, y se utiliza para comprobar la autenticidad del dominio del remitente y garantizar la integridad del mensaje.
DKIM sustituye la autenticación por DomainKeys.
El uso de DKIM requiere algunos requisitos previos:
- Seguridad: el cifrado es un elemento clave del DKIM. Para garantizar el nivel de seguridad del DKIM, el tamaño de codificación recomendado es 1024b. La mayoría de los proveedores de acceso no consideran válidas las claves DKIM menores.
- Reputación: la reputación se basa en la dirección IP o en el dominio, pero el selector menos transparente de DKIM también es un elemento clave a tener en cuenta. La elección del selector es importante: evite mantener el "predeterminado" que podría utilizar cualquier persona y, por lo tanto, tiene una reputación débil. Debe implementar un selector diferente para las retention vs. acquisition communications y para la autenticación.
Obtenga más información sobre el requisito previo de DKIM al usar el Campaign Classic en esta sección.
DMARC dmarc
DMARC (Autenticación de mensajes, creación de informes y conformidad basados en dominio) es la forma más reciente de autenticación por correo electrónico y se basa en la autenticación SPF y DKIM para determinar si un correo electrónico pasa o falla. DMARC es única y eficaz de dos maneras importantes:
- Conformidad: permite al remitente indicar a los ISP qué hacer con cualquier mensaje que no se autentique (por ejemplo: no aceptarlo).
- Creación de informes: proporciona al remitente un informe detallado que muestra todos los mensajes en los que se ha producido un error en la autenticación DMARC, junto con el dominio “De” y la dirección IP utilizadas para cada uno. Esto permite a una empresa identificar el correo electrónico legítimo que falla en la autenticación y necesita algún tipo de "corrección" (por ejemplo, añadir direcciones IP a su registro SPF), así como las fuentes y la prevalencia de intentos de phishing en sus dominios de correo electrónico.