Que son los registros SPF, DKIM y DMARC

Los registros SPF, DKIM y DMARC son tres protocolos de autenticación de correo y están pensados para garantizar que los correos electrónicos lleguen correctamente a los destinatarios, evitando así que acaben en la bandeja de SPAM y que se manden correos suplantando nuestra identidad, una actividad conocida como Phising.

A continuación te indicamos el funcionamiento de cada registro y algunos ejemplos de su uso.

SPF

El SPF, o Sender Policy Framework, indica quien puede enviar un correo electrónico, desde un dominio determinado, con la finalidad de protegerse contra la falsificación de remitentes.

Es habitual que con el objetivo de prevenir el fraude y el correo no deseado, los grandes proveedores de servicios de correo electrónico (como Google), requieran la presencia de este registro. De lo contrario, es posible que los correos electrónicos dirigidos hacia ellos sean rechazados o clasificados como SPAM.

Parámetros

Las reglas SPF se evalúan secuencialmente de izquierda a derecha en función de los parámetros incluidos:

v=spf1 - Indica el inicio de la regla y qué versión de SPF va a utilizarse.
mx - Autoriza a los servidores que aparecen en los registros MX a enviar correo en nombre de "dominiosw.com".
a - Autoriza a la IP que aparece en el registro A, a enviar correo en nombre de "dominiosw.com".
ptr - Autoriza a cualquier host que finaliza en "dominiosw.com" a enviar correo.
ip4:1.2.3.4 - Autoriza a la IP "1.2.3.4" a enviar correo en nombre de "dominiosw.com".
all - En función del prefijo, indica como tratar los casos en los que no haya una coincidencia con cualquier parámetro anterior. Se incluye al final de la regla SPF.

Prefijos

Con cada uno de los parámetros (a excepción del primero) pueden utilizarse los siguientes prefijos:

+ Remitente autorizado. Si no indicas ningún prefijo se asume este por defecto.
- Remitente no autorizado, se rechaza.
~ Remitente no autorizado, se marcará con una cabecera especial, pero no se rechazará.

Ejemplos

Un ejemplo de SPF característico: v=spf1 mx a ~all

mx: Los servidores de los registros MX están autorizados (al no incluirse prefijo, se asume +).
a: La IP del registro A, está autorizada.
~all: Los que no coincidan con las anteriores reglas no están autorizados, pero no serán rechazados, se marcarán con una cabecera especial.

v=spf1 mx -all

mx: Los servidores de los registros MX, están autorizados (al no incluirse prefijo, se asume +).
-all: Los que no coincidan con las anteriores reglas, no están autorizados y serán rechazados.

v=spf1 -mx a ip4:1.2.3.4 ~all

-mx: Los servidores de los registros MX no están autorizados, serán rechazados.
a: La IP del registro A, está autorizada.
ip4:1.2.3.4: La IP "1.2.3.4" será marcada como neutral.
~all: Los que no coincidan con las anteriores reglas, no están autorizados, pero no serán rechazados, se marcarán con una cabecera especial.

DKIM

El DKIM o, DomainKeys Identified Mail, incluye una clave que permite al destinatario de un correo verificar que el remitente es realmente quien dice ser. Al igual que los registros SPF y DMARC, su objetivo es prevenir el fraude y el correo no deseado.

Un ejemplo de DKIM seria:

DKIM: swmanuales
Clave  DKIM: v=DKIM1; g=*; k=rsa; p=MIGfMA0GCGGGGGb3DQEBAQUAA4G000BiQKBgQD0000VKvGjmSb4FkI70000e1KqV01eQ70n0000D5bpRfo8ZGcab0000+3+O0mPI7wYblklU0000T0A3LVJk+QTwX00007VA7EiL0utBMW0000iZLJ8Exyzoajql0000RRJmyhngY/0000t0yq21pdlYLrJa0000CfaniL/8gKQGQID0000

DMARC:

El DMARC o, Domain-based Message Authentication, Reporting and Conformance, es un complemento de los métodos anteriores (SPF y DKIM) destinado a la prevención del fraude y correo no deseado. Permite establecer:

Política de actuación ante correos sospechosos que no han pasado los dos sistemas de validación SPF y DKIM.
Generación de informes agregados con estadísticas sobre fallos de validación SPF, DKIM, entre otros.
Generación de informes forenses con detalles sobre los correos que fallan en los procesos de validación.

Parámetros

Los parámetros de las reglas DMARC permiten configurar su comportamiento, estos son los más básicos:

v=DMARC1; - Indica el inicio de la regla.
p=none; - Política de monitorización y envío de informes. El correo electrónico se entregará de forma normal, pero los servidores receptores monitorizarán el comportamiento y generarán informes. Se utiliza para verificar el funcionamiento y comprobar si se está intentando suplantar tu dominio como remitente de correo.
p=quarantine; - El receptor marcará como SPAM o pondrá en cuarentena los correos que no pasen los dos sistemas de validación (DKIM/SPF).
p=reject; - El receptor rechazará los correos que no pasen los dos sistemas de validación (DKIM/SPF).
sp=none;/sp=quarantine;/sp=reject; - [Opcional] Política diferente para subdominios. Si este parámetro no está presente, el anterior parámetro ("p=none;/quarantine;/reject;") tomará efecto sobre el dominio y los subdominios.
rua=mailto:[email protected]; - [Opcional] Dirección de correo a la que enviar los informes agregados.
ruf=mailto:[email protected]; - [Opcional] Dirección de correo a la que enviar los informes forenses.
aspf=s; - [Opcional] Validación estricta de SPF. El dominio ha de ser idéntico al que aparece en la regla SPF, no se aceptan subdominios del mismo.
adkim=s; - [Opcional] Validación estricta de DKIM. El dominio ha de ser idéntico al que aparece en la regla SPF, no se aceptan subdominios del mismo.

Ejemplos

Un ejemplo básico de DKIM sería: v=DMARC1; p=none;

p=none; - Política de monitorización y envío de informes. En la regla no se incluye una dirección de correo para la recepción de informes, por lo que no se generarán. El correo electrónico se entregará de forma normal, no se hace nada ante los correos que no pasen los sistemas de validación.

v=DMARC1; p=none; sp=reject; rua=mailto:[email protected];

p=none; - Política de monitorización y envío de informes. El correo electrónico se entregará de forma normal, no se hace nada ante los correos que no pasen los sistemas de validación.
sp=reject; - Los correos que provengan de subdominios (ejemplo: "correo.dominiosw.com") serán rechazados si no pasan los dos sistemas de validación (DKIM/SPF).
rua=mailto:informes@swmanuales; - Se enviarán informes agregados a la dirección de correo indicada.

Importante: Antes de crear un registro DMARC, deberás tener creados y funcionando los registros SPF y DKIM.

Puedes utilizar los siguientes servicios para generar reglas DMARC: https://dmarcian.com/dmarc-record-wizard/ https://mxtoolbox.com/DMARCRecordGenerator.aspx

Crear automáticamente registros DNS avanzados SPF - DKIM - DMARC

Puedes crear una clave DKIM desde SWPanel, deberás acceder al dashboard de tu servicio: enter image description here A continuación, accede al apartado Gestiones sobre el servicio > Gestión de DNS (menú izquierdo):

Crear automáticamente registros DNS avanzados SPF - DKIM - DMARC: Esto creará automáticamente los registros SPF - DKIM - DMARC

Estos son los registros que se crean automáticamente desde SWPanel:

¡Debian 12!

¡Disponible ya en todos nuestros Servidores Cloud!

Descubre las novedades de Debian 12 en nuestro blog.

Contratar

Categorías

Administración (22) Bases de Datos (13) Certificados SSL (15) Cloud (54) Cloud Storage (2) Contenedores (1) Copias de Seguridad (6) Correo (32)

Todas las categorías