La aparición del correo electrónico moderno fue tan emocionante como problemática. No hace falta que le digamos el tipo de impacto positivo que el correo electrónico ha tenido en la sociedad, pero también vino con muchos riesgos de seguridad.
El correo electrónico de los primeros tiempos tenía mecanismos limitados para apoyar la seguridad y la verificación del remitente. Prácticamente todos los virus, el spam y las estafas que se propagaban a través del correo electrónico lo hacían simplemente falsificando la información del remitente. Era un gran problema, que ha mejorado con el tiempo, pero que sigue siendo una batalla constante hoy en día.
Afortunadamente, ahora tenemos DKIM y SPF para protegernos de los piratas informáticos, los estafadores y los timadores que buscan en la web estándares de seguridad débiles. En esencia, DKIM y SPF son simplemente estándares de autenticación. Estándares que, cuando se configuran correctamente, le dan la confianza de que está a salvo de la piratería de dominios y del fraude e, igualmente importante, aseguran la entrega del correo electrónico en la bandeja de entrada.
Ahora que sabe por qué son importantes, vamos a profundizar un poco más para explicar los matices tanto de SPF como de DKIM, así como en qué se diferencian.
¿Qué es DKIM?
DKIM son las siglas de DomainKeys Identified Mail (Correo Identificado por Clave de Dominio) que, como se ha mencionado anteriormente, es simplemente un método de autenticación diseñado explícitamente para detectar cuándo se ha falsificado una dirección de correo electrónico del remitente. La falsificación de correos electrónicos del remitente es un proceso conocido como spoofing de correo electrónico, que se utiliza con frecuencia en el spam de correo electrónico y las estafas de phishing. DKIM actúa como un guardián para validar la autenticidad de los mensajes de correo electrónico.
Cuando se envía un correo electrónico, se firma con una clave privada, que es validada por el servidor de correo electrónico receptor o por el proveedor de servicios de Internet (ISP) utilizando una clave pública llamada Sistema de Nombres de Dominio (DNS). El DNS traduce los nombres de dominio en direcciones IP, que es una forma elegante de decir que permite utilizar el navegador web para localizar sitios web y recibir correos electrónicos. Su principal responsabilidad es garantizar que el mensaje de correo electrónico no se altere durante el tránsito. La alteración del correo electrónico durante el tránsito es un problema genuino que ocurre más a menudo de lo que se piensa.
Por ejemplo, si usted enviara un archivo adjunto con su cuenta bancaria y número de ruta y no utilizara los protocolos de seguridad correctos, podría ser interceptado por un estafador. Una vez interceptado, este hacker podría insertar su propio número de cuenta y de ruta y enviarlo de vuelta al destinatario. El destinatario seguiría pensando que proviene de usted y pagará a la cuenta bancaria incorrecta en su lugar.
Con DKIM, la clave privada única utilizada para firmar los correos electrónicos se almacena exclusivamente en su servidor de correo electrónico y debe mantenerse secreta y segura. Si personas malintencionadas se hicieran con su clave secreta, no tendrían ningún problema en falsificar sus firmas DKIM y utilizarlas para actividades fraudulentas.
Más adelante en el proceso de envío y recepción, los ISP verifican la integridad de los mensajes obteniendo la clave pública correspondiente de un registro DKIM específico almacenado en su DNS. La criptografía entre bastidores es la misma que se utiliza en SSL, que garantiza que sólo los mensajes firmados con tu clave privada especial van a pasar la comprobación de la clave pública.
Otra ventaja menos conocida que ofrece DKIM es que los ISP, como Gmail, pueden utilizar esta información para construir una puntuación de reputación para tu dominio. Si tienes prácticas de envío de primera categoría, como un alto nivel de compromiso, poco spam y mínimos rebotes, obtendrás una puntuación más alta, lo que mejora tu confianza y reputación con los ISP. Si tienes una puntuación baja con prácticas deficientes, es menos probable que tus correos electrónicos se entreguen correctamente, lo que casi garantiza que acabarán en esa humilde carpeta de spam que nadie revisa.
¿Qué es el SPF?
El Marco de Políticas de Remitentes, o SPF, es una forma en la que los ISP, como Gmail y Yahoo, pueden verificar que un servidor de correo concreto está autorizado a enviar correos electrónicos para un dominio. Es una lista blanca: una lista de cosas que se consideran de confianza o aceptables para los servicios autorizados a enviar correos electrónicos en su nombre. Al igual que DKIM, SPF funciona a través de DNS.
Por ejemplo, supongamos que utiliza un servicio como Mailshake para enviar correos electrónicos de marketing. Entonces insertarías un registro DNS que incluya los servidores de correo de Mailshake como una fuente de confianza en la lista blanca para enviar correos electrónicos en nombre de tu dominio.
SPF es fundamental para verificar quién está autorizado a enviar correos electrónicos en nombre de tu dominio y tiene un impacto directo en la entrega del correo electrónico. No sólo lo necesita para el marketing por correo electrónico y las cuentas de correo electrónico de su empresa, sino que también es esencial para los servicios de asistencia como Helpscout, Zendesk o cualquier otra persona que envíe correos electrónicos en su nombre.
¿Cuál es la diferencia entre SPF y DKIM?
No es tan difícil para un hacker averiguar cómo enviar correos electrónicos desde su dominio. Para protegerse de este tipo de actividad maliciosa, querrá configurar tanto SPF como DKIM.
DKIM es un conjunto de claves que indican a las IPs que usted es el remitente original y que nadie ha interceptado su correo electrónico de forma fraudulenta. SPF es una lista especial, una lista blanca, que incluye a todos los que están autorizados a enviar mensajes en tu nombre. Si tienes curiosidad por ver todo esto en acción, puedes verificar si un correo electrónico está correctamente firmado con DKIM o pasando por SPF comprobando las cabeceras del correo electrónico. En Gmail, puedes ver esto utilizando la opción «Mostrar original» en la configuración, y en la parte superior deberías (con suerte) ver PASS junto a SPF y DKIM.
En resumen, no configurar SPF y DKIM sólo hará que tu empresa pierda tiempo, dinero y recursos, ya que estás aumentando la posibilidad de que tus correos electrónicos no sean entregados. Por no hablar de que se expone a todo tipo de actividades fraudulentas.
Seguro que siempre puede enviar correos electrónicos pidiendo a la gente que le incluya en la lista blanca. Sin embargo, esperar que las empresas «lo arreglen por su parte» y te incluyan en la lista blanca sólo te llevará a sufrir porque la mayoría de las empresas de renombre bloquearán cualquier mensaje enviado sin esa seguridad y verificación adicional que proporcionan DKIM y SPF.
Si todo esto te supera un poco, no te preocupes. Lo importante ahora es que entienda por qué DKIM y SPF son importantes y cómo el hecho de tomarse 5 minutos para asegurarse de que están desplegados correctamente puede protegerle, aumentar su reputación con los ISP y garantizar una mejor entregabilidad del correo electrónico.