Entender SPF, DKIM y DMARC: una guía sencilla

 (github.com/nicanorflavier)
20 puntos por GN⁺ 2024-06-18 | 3 comentarios | Compartir por WhatsApp

¿Para qué sirve esta guía?

  • Es una guía esencial para quienes desarrollan, dan soporte o mantienen aplicaciones que envían correos electrónicos.
  • Ayuda a garantizar que los correos lleguen a la bandeja de entrada del destinatario y no a la carpeta de spam.
  • Explica cómo proteger tu dominio de ciberdelincuentes y remitentes de spam.

¿Por qué elegir esta guía?

  • Explica SPF, DKIM y DMARC de forma fácil de entender con descripciones simples y ejemplos claros.
  • Está alojada en GitHub, por lo que puedes acceder rápidamente a la información integrándola con tu entorno de desarrollo.
  • Es un documento que la comunidad puede actualizar y mantener de forma continua.

¿Para qué no sirve esta guía?

  • No cubre temas avanzados como la configuración de servidores de correo, el cifrado o las puertas de enlace de correo seguro.

Explicación breve de SPF, DKIM y DMARC

SPF (Sender Policy Framework)

  • SPF: Es como una lista de amigos autorizados para enviar correos.
  • Registro SPF: Esta lista de amigos se guarda en un registro TXT de DNS.
  • Ejemplo: v=spf1 ip4:123.123.123.123 ~all

DKIM (DomainKeys Identified Mail)

  • DKIM: Es como poner una nota secreta dentro del correo.
  • Registro DKIM: La clave pública se guarda en un registro TXT de DNS para que el destinatario pueda verificar la autenticidad del correo.
  • Ejemplo: v=DKIM1; k=rsa; p=NICfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDBolTXCqbxwoRBffyg2efs+Dtlc+CjxKz9grZGBaISRvN7EOZNoGDTyjbDIG8CnEK479niIL4rPAVriT54MhUZfC5UU4OFXTvOW8FWzk6++a0JzYu+FAwYnOQE9R8npKNOl2iDK/kheneVcD4IKCK7IhuWf8w4lnR6QEW3hpTsawIDAQ0B

DMARC (Domain-based Message Authentication, Reporting & Conformance)

  • DMARC: Es como crear un gran libro de reglas que reúne las políticas de SPF y DKIM.
  • Registro DMARC: Este libro de reglas se guarda en un registro TXT de DNS para decidir cómo debe manejar el destinatario el correo.
  • Ejemplo: v=DMARC1; p=none; rua=mailto:postmaster@example.com

Ejemplos reales de uso de SPF, DKIM y DMARC

  • Apps móviles: Cuando una app de fitness o una app bancaria envía correos, usa SPF, DKIM y DMARC para asegurar que lleguen a la bandeja de entrada y no a la carpeta de spam.
  • Proveedores de servicios de correo: Gmail, Yahoo, Outlook y otros usan SPF, DKIM y DMARC para autenticar correos entrantes.
  • Plataformas de redes sociales: LinkedIn, Facebook, Twitter y otras usan SPF, DKIM y DMARC al enviar correos de notificación.
  • Empresas: Al enviar correos promocionales, usan SPF, DKIM y DMARC para evitar que los correos se marquen como spam y para impedir que su dominio se use en spoofing de correo.
  • Entidades gubernamentales: Al enviar avisos a la ciudadanía, usan SPF, DKIM y DMARC para prevenir ataques de phishing.

¿Qué deberías hacer ahora?

  1. Identificar direcciones de correo y dominios: Revisa qué direcciones y dominios usa tu app.
  2. Verificar el estado actual: Comprueba si ya existen registros SPF, DKIM y DMARC y si están configurados correctamente.
  3. Acceso al dominio: Asegúrate de tener permisos para modificar los registros DNS.
  4. Monitoreo de DMARC: Supervisa los reportes de DMARC para detectar problemas y corrígelos si es necesario.

Verificar el estado de SPF, DKIM y DMARC

Preguntas frecuentes sobre SPF, DKIM y DMARC

  1. Dirección de correo para reportes de DMARC: Se recomienda usar un buzón compartido que varias personas puedan revisar.
  2. Diferencia entre ~all, -all, ?all y +all en un registro SPF:
    • ~all (SoftFail): También permite correos desde servidores que no están en la lista, pero pueden considerarse sospechosos.
    • -all (Fail): Rechaza correos enviados desde servidores que no están en la lista.
    • ?all (Neutral): Procesa el correo sin instrucciones especiales.
    • +all (Pass): Permite correos desde cualquier servidor.
  3. Si se puede configurar DMARC sin SPF: Sí, pero es ineficiente. Lo recomendable es usar SPF junto con DKIM.
  4. Cuando en los encabezados del correo aparecen varios fallos de SPF y algunos SPF aprobados: Debes confiar en la verificación SPF relacionada con tu propio dominio.

Cierre

  • SPF, DKIM y DMARC son los héroes silenciosos de la seguridad del correo electrónico.
  • Estos tres juegan un papel importante para mantener la confiabilidad del correo electrónico.

Opinión de GN⁺

  • Importancia de la seguridad del correo electrónico: El correo electrónico es un medio de comunicación importante, por lo que la seguridad es fundamental.
  • Necesidad de SPF, DKIM y DMARC: Estas tres tecnologías son esenciales para prevenir el spoofing de correo y los ataques de phishing.
  • Consideraciones al implementarlos: Requieren configuración y monitoreo, y una configuración incorrecta puede causar problemas en la entrega de correos.
  • Herramientas relacionadas: Con herramientas como MXToolbox y DMARCTester, puedes verificar fácilmente el estado de la configuración.
  • Estándar de la industria: Para reforzar la seguridad del correo electrónico, SPF, DKIM y DMARC se han consolidado como estándares de la industria.

Lecturas relacionadas

3 comentarios

 
kty1965 2024-06-21

Parece que SPF, DKIM y DMARC se han vuelto demasiado importantes ahora.
 
ninebow 2024-06-19

Cuando usas Google Workspace o SES, además del registro MX, se van sumando configuraciones como SPF y DKIM una por una, pero la verdad es que nunca me había puesto a investigarlo y solo pensaba algo como “seguro que en algún lado todo está funcionando bien”, así que ¡gracias! :D
 
GN⁺ 2024-06-18
Opiniones de Hacker News

  • Experiencia de un administrador de TI: Mientras administraba TI en una pyme, recibía con frecuencia solicitudes para liberar correos puestos en cuarentena por registros SPF incorrectos. En lugar de usar una lista blanca, ayudaba a corregir el registro SPF. Para automatizar esto, escribió un script en Racket.

  • Recomendación de libro: Michael W. Lucas está preparando un libro llamado "Run Your Own Mail Server", que cubre en detalle la configuración de SPF/DKIM/DMARC. Asistió a su tutorial y charla en BSDCan, y recomienda el libro.

  • Necesidad de una guía de SPF/DKIM/DMARC: Hace falta una guía de SPF/DKIM/DMARC para desarrolladores de apps que envían correos desde otros dominios. Muchos sistemas de tickets y plataformas de marketing no entienden estos conceptos.

  • Importancia de la automatización: Dirige una startup que automatiza la configuración de SPF/DKIM/DMARC y valora mucho la calidad de la guía. Pero como los usuarios solo enfrentan el problema una vez, es difícil que lo entiendan a largo plazo. La automatización es importante.

  • Recomendación de herramienta de depuración: Comparte un enlace a una buena herramienta para depurar problemas de DMARC.

  • Recomendación de herramientas de prueba: Recomienda las versiones gratuitas de mail-tester.com y eu.dmarcian.com como herramientas de prueba. También comparte un enlace a un blog para entender DKIM.

  • Problema de spam: Incluso con la configuración de correo hecha perfectamente, a veces Gmail lo clasifica como spam. Invirtió cientos de horas, pero al no poder resolverlo terminó usando servicios de hosting de terceros como iCloud.

  • Necesidad de diversidad en el correo electrónico: No deberíamos depender de los servicios de correo de grandes empresas como Apple, Google o Microsoft, sino usar servidores de correo propios siempre que sea posible.

  • Servicio gratuito de monitoreo de DMARC: Un servicio llamado Postmark ofrece monitoreo gratuito de DMARC.

  • Resultado de la configuración de SPF/DKIM/DMARC: Comparte resultados de un dominio de ejemplo donde SPF, DKIM y DMARC pasaron correctamente.