SPF, DKIM y DMARC: Defensa contra la suplantación (spoofing) en dominios personalizados

SPF, DKIM y DMARC

Debido a la naturaleza abierta y descentralizada del SMTP, la suplantación (en inglés, spoofing) de e-mails es un problema común. Todos los servidores conectados a la internet pueden enviar un e-mail usando su dirección, suplantando así su identidad. Al utilizar un dominio personalizado con Mailfence, le recomendamos implementar las siguientes medidas de defensa contra la suplantación.

Convenio de Remitentes (SPF, del inglés Sender Policy Framework)

Los registros del Convenio de Remitentes (SPF) rle indican al destinatario cuales servicios de alojamiento (hosting, en inglés) o direcciones IP pueden enviar e-mails a su dominio. Será necesario que incluya registros de DNS tipo «TXT» con el nombre «@» (si es que el campo está presente) mediante su proveedor de alojamiento, registrador de dominio, o proveedor de DNS. Le recomendamos consultar la documentación de «ayuda» de su proveedor para obtener información específica acerca de cómo añadir registros TXT.

En su registro de SPF, usted podrá «incluir» el siguiente dominio _spf.mailfence.com, con los siguientes valores:
Si los e-mails serán enviados solamente utilizando los servidores de Mailfence.com (correo web, SMTP autentificado, reenvío):
 v=spf1 include:_spf.mailfence.com -all
Si los e-mails van a ser enviados desde otros servidores, utilice:
v=spf1 include:_spf.mailfence.com ~all
Esto ayudará a proteger su dominio contra atacantes y/o spammers que envían e-mails con encabezados suplantados, y le ofrecerá un mayor nivel de legitimidad a los e-mails que envíe.

 

Correo con Identificación por DomainKeys (DKIM, del inglés DomainKeys Identified Mail)

El Correo con Identificación por DomainKeys (DKIM) es un método de autentificación de e-mail que verifica criptográficamente si un e-mail ha sido enviado por servidores autorizados, y no ha sido modificado durante su tránsito. En caso de que usted desee que activemos la firma DKIM (recomendada) en los e-mails enviados a través de nuestros servidores con una dirección de remitente que contenga su dominio, por favor notifíquenos por e-mail.

Por favor, incluya el nombre de su dominio y el nombre de usuario de su cuenta en esta notificación, para que podamos avisarle en cuanto lo activemos para su dominio.

Nota: en adelante, cada uno de sus correos electrónicos será firmado con la clave DKIM del dominio de Mailfence, de manera que no necesitará configurar nadad en su zona DNS. Esto les elimina a los usuarios el trabajo de tener que generar, gestionar, rotar y desechar con seguridad las claves DKIM comprometidas u obsoletas.

Autentificación, Comunicación y Conformidad de Mensajes en base al Dominio (DMARC, del inglés Domain-based Message Authentication, Reporting and Conformance)

Después de haber cubierto los temas de SPF y DKIM, la pregunta es: ¿qué debería hacer un servidor que recibe un e-mail que no ha superado todas estas comprobaciones? Es ahí donde la Autentificación, Comunicación y Conformidad de Mensajes en base al Dominio (DMARC) entra en escena, permitiendo al dueño del dominio especificar lo que debería ocurrir con esas comprobaciones fallidas, así como el recibir informes y retroalimentación.

Será necesario que incluya registros de DNS tipo «TXT» con el nombre «dmarc» (que conformará un registro TXT como «_dmarc.sudominio.com» dependiendo de la aceptación de proveedores de dominios DNS/dominios/hosting) mediante su proveedor de alojamiento, registrador de dominio, o proveedor de DNS. Le recomendamos consultar la documentación de «ayuda» de su proveedor para obtener información específica acerca de cómo añadir registros TXT.

Nota: si usted ya tiene un registro TXT de DNS con el nombre «_dmarc» para su dominio, entonces puede editar este registro en lugar de crear uno nuevo. Esto es importante, puesto que no es posible tener múltiples registros DMARV para un dominio dado.

v=DMARC1; p=none; rua=mailto:reports@yourdomain.com;

La «p=» especifica la acción a emprender con los e-mails que no superen el DMARC y, en este caso, «none» significa básicamente que no se deben tomar acciones más allá de seguir la política del destinatario. Las otras opciones son poner en cuarentena y rechazar. Sin embargo, cabe destacar que la línea de código antes indicada corresponde al modo de «solamente informes» (recomendado), y no tendrá efecto alguno sobre el despacho de sus e-mails. Si usted está considerando el asignar «poner en cuarentena» o «rechazar», asegúrese de que comprende los riesgos que esto conlleva para su entrega de e-mails.

La dirección de ejemplo «reports@sudominio.com» es donde usted recibirá los informes DMARC de otros proveedores de servicios. Por favor, reemplace esta dirección con una dirección propia.re

Nota al pie acerca de SPF, DKIM y DMARC:

  • Cuando usted modifica un registro preexistente de DNS, los cambios podrían no propagarse de inmediato (podrían tardar horas o días, dependiendo del valor TTL de los registros anteriores).
  • Existe una amplia variedad de herramientas externas que usted puede utilizar para hacer más pruebas al SPF (e.g., http://www.kitterman.com/spf/validate.html), al DKIM (e.g., http://dkimvalidator.com) o ambos (e.g., https://www.mail-tester.com).

La defensa definitiva contra la suplantación: las firmas digitales

Además de las otras defensas contra la suplantación y manipulación, como SPF, DKIM y DMARC, Mailfence le ofrece la capacidad de firmar digitalmente con firmas OpenPGP. En nuestra opinión, esta es la defensa definitiva contra la manipulación y la suplantación. Usted puede elegir el par de claves OpenPGP que prefiera, y controlarlas completamente. Usted también puede decidir, en todo momento, cuales e-mails quiere firmar y cuales no, o puede elegir firmarlos todos de manera predeterminada.

¿Tiene alguna pregunta? No dude en contactar a nuestro departamento de soporte técnico.

¡Obtenga su email seguro!

Síganos en twitter/reddit y manténgase actualizado en todo momento.

– El Equipo Mailfence


¡Corra la voz!

También te podría gustar...