El DKIM, DMARC y SPF son cruciales para garantizar la seguridad y la autenticidad de los correos electrónicos. Estas tecnologías trabajan juntas para combatir el fraude, reducir el spam y proteger tanto a los remitentes como a los destinatarios.

¿Qué son DMARC, DKIM y SPF?

DMARC DKIM y SPF son tres métodos de autenticación del correo electrónico. Juntos ayudan a evitar que los spammers, phishers y otras partes no autorizadas envíen correos electrónicos en nombre de un dominio que no poseen.

El DKIM y el SPF pueden compararse a una licencia comercial o a un título de médico expuesto en la pared de una oficina: ayudan a demostrar la legitimidad.

Mientras tanto, el DMARC indica a los servidores de correo qué hacer cuando fallan el DKIM o el SPF, ya sea marcando los correos electrónicos que fallan como spam, entregando los correos de todos modos, o descartando los correos por completo.

Los dominios que no hayan configurado correctamente el SPF, el DKIM y el DMARC pueden encontrarse con que sus correos electrónicos son puestos en cuarentena como spam, o no son entregados a sus destinatarios. También corren el peligro de que los spammers se hagan pasar por ellos.

¿Cómo funciona el FPS?

El Marco de Políticas del Remitente (SPF) es una forma de que un dominio liste todos los servidores desde los que envía correos electrónicos; como un directorio de empleados disponible públicamente que ayuda a alguien a confirmar si un empleado trabaja para una organización.

Los registros SPF enumeran todas las direcciones IP de todos los servidores que pueden enviar correos electrónicos desde el dominio. Los servidores de correo que reciben un mensaje de correo electrónico pueden comprobarlo con el registro SPF antes de pasarlo a la bandeja de entrada del destinatario.

¿Cómo funciona DKIM?

El Correo Identificado con Claves de Dominio DKIM permite a los propietarios de dominios firmar automáticamente los correos electrónicos de su dominio, al igual que la firma de un cheque ayuda a confirmar quién lo ha emitido. La firma DKIM es una firma digital que utiliza la criptografía para verificar matemáticamente que el correo electrónico procede del dominio.

En concreto DKIM utiliza la criptografía de clave pública:

• Un registro DKIM almacena la clave pública del dominio, y los servidores de correo que reciben correos del dominio pueden comprobar este registro para obtener la clave pública.
• La clave privada es mantenida en secreto por el remitente, que firma la cabecera del correo electrónico con esta clave.
• Los servidores de correo que reciben el correo electrónico pueden verificar que se ha utilizado la clave privada del remitente aplicando la clave pública.

¿Cómo funciona el DMARC?

La autentificación de mensajes basada en el dominio y la conformidad DMARC indica a un servidor de correo electrónico receptor lo que debe hacer en función de los resultados obtenidos tras la comprobación de SPF y DKIM. La política DMARC de un dominio puede establecerse de varias maneras: puede ordenar a los servidores de correo que pongan en cuarentena los correos que no cumplan el SPF o el DKIM o ambos, que los rechacen o que los entreguen.

Las políticas DMARC se almacenan en registros DMARC. Un registro DMARC también puede contener instrucciones para enviar informes a los administradores del dominio sobre los correos electrónicos que pasan y no pasan estas comprobaciones.

¿Dónde se almacenan los registros SPF, DKIM y DMARC?

Los registros SPF, DKIM y DMARC se almacenan en el Sistema de Nombres de Dominio DNS, que es de acceso público como registros TXT de DNS. Un registro TXT de DNS almacena el texto que el propietario de un dominio quiere asociar al mismo. Este registro puede utilizarse de diversas maneras, ya que puede contener cualquier texto arbitrario. DKIM, SPF y DMARC son tres de las diversas aplicaciones de los registros TXT de DNS.

Cómo comprobar si un correo electrónico ha pasado el SPF, DKIM y DMARC

La mayoría de los clientes de correo electrónico ofrecen una opción denominada "Mostrar detalles" o "Mostrar el original" que muestra la versión completa de un correo electrónico, incluida su cabecera. La cabecera -normalmente un largo bloque de texto sobre el cuerpo del correo electrónico- es donde los servidores de correo añaden los resultados de SPF, DKIM y DMARC.

Leer la densa cabecera puede ser complicado. Los usuarios que lo vean en un navegador pueden hacer clic en "Ctrl+F" o "Command+F" y escribir "spf," " dkim," o "dmarc" para encontrar estos resultados.

El texto correspondiente podría ser así:

arc=pass (i=1 spf=pass spfdomain=example.com dkim=pass

dkdomain=example.com dmarc=pass fromdomain=example.com);

La aparición de la palabra "pass" en el texto anterior indica que el correo electrónico ha pasado una comprobación de autentificación. "spf=pass," por ejemplo, significa que el correo electrónico no falló el SPF; procedía de un servidor autorizado con una dirección IP que figura en el registro SPF del dominio.

En este ejemplo, el correo electrónico pasó los tres SPF, DKIM y DMARC, y el servidor de correo pudo confirmar que realmente procedía de example.com y no de un impostor.

Es importante tener en cuenta que estos registros por sí mismos no aplican las políticas del dominio ni autentifican los correos electrónicos. Los servidores de correo tienen que comprobarlos y aplicarlos correctamente para que los registros tengan algún efecto.

También es importante tener en cuenta que los propietarios de los dominios deben configurar ellos mismos sus registros SPF, DKIM y DMARC correctamente, tanto para evitar el spam de su dominio como para asegurarse de que los correos electrónicos legítimos de su dominio no se marquen como spam. Los servicios de alojamiento web no lo hacen necesariamente de forma automática. Incluso los dominios que no envían correos electrónicos deberían tener al menos registros DMARC para que los spammers no puedan fingir que envían correos electrónicos desde ese dominio.

Referencias

https://www.cloudflare.com/es-es/learning/email-security/dmarc-dkim-spf/

https://webhosting.de/es/autenticacion-de-correo-electronico-guia-spf-dkim-dmarc/

https://easydmarc.com/blog/es/cual-es-la-diferencia-entre-spf-dkim-y-dmarc/