Autenticación de email con SPF, DKIM, DMARC y BIMI

BIMI es lo más reciente en protección de marcas en cuestiones de email marketing. Se basa en el proceso de autenticación que ofrecen SPF, DKIM y DMARC para ofrecer información de las marcas a fin de evitar fraudes e incrementar entregas.



Autenticación de email con SPF, DKIM, DMARC y BIMI
Con la enorme cantidad de mensajes de email fraudulentos que intentan pasar como válidos de una marca o empresa, la necesidad de incrementar niveles de autenticación de los dominios y las cuentas es proporcional a nuestros intentos por aumentar el porcentaje de entrega de la comunicación que enviamos personalmente o en forma corporativa a través de campañas de email marketing.

SPF, DKIM y DMARC son los tres pilares de la autenticación de correo electrónico, con BIMI actuando como "el refuerzo" para proteger a las marcas.

La autenticación implica 1) recibir el mensaje, 2) checar sus "credenciales" -dominios e IPs autorizados-, 3) revisar la forma de proceder -aceptarlos o rechazarlos de no ser autenticados- y 4) enviar un reporte del envío a la cuenta de email designada en DMARC, el cual contiene el estado o resultado de la autenticación.

Así que no esperes más, impleméntalos a tu dominio tan pronto te sea posible (o contáctanos para ayudarte en su implementación, para lo cual se requiere acceso a la configuración del DNS del dominio).

¿Qué es SPF?

SPF son las siglas de Sender Policy Framework, que es un protocolo de autentitcación que lista las IPs y dominios autorizados para realizar envíos desde el dominio en que se indica así desde sus DNS. Cualquier otro IP o dominio que haga el envío -y que no esté listado- se considera "no valido".

El SPF se suele incluir al dominio cuando se contrata hospedaje para éste. Suele presentarse de la forma siguiente:

v=spf1 ip4:145.145.145.145 ip4:123.123.123.123 include:dominio_x.com -all

La versión actual es la 1 (spf1), se presentan dos IP autorizados para los envíos y un dominio. Este dominio suele ser el de un proveedor externo para el servicio de correo electrónico. Es de notar que la mayoría de servicios de hospedaje hacen uso de servidores de email de terceros.

Si desde el IP 78.215.23.48 hacen un envío, el mensaje no es autenticado mediante SPF y varios son los resultados: a) que termine en la bandeja de no deseados; b) que sea marcado como spam; c) que se rechace; d) que la reputación del remitente disminuya (complicando futuros envíos).

SPF no necesitas agregarlo, pues es automáticamente agregado por el proveedor de hospedaje, ya que se require del uso de IPs o servidores de email (vía un dominio), para enviar y recibir correo.

Deberás editarle si contratas el servicio de envío de un proveedor para tus campañas de email, las cuales realizas para vender o comunicar tus promociones a través de listas que generas en forma interna (nunca lo hagas si rentas bases de datos).

Contar con SPF no es garantía de que evitarás que tu dominio y cuenta de correo sean comprometidos por spammers, pues es el nivel más básico de autenticación y, por ende, el más abusado.

¿Qué es DKIM?

DKIM son las siglas de Domainkeys Identified Mail y es algo muy similar a tu RFC, credencial del INE o pasaporte: indican quién eres y nadie más puede usarlos -al menos no en forma tan sencilla como pueden hacerlo ante SPF.

Cada que realizas un envío, el servidor de email agrega los datos contenidos en el registro DKIM para que el servidor de email del destinatario pueda verificar que realmente eres tú (autenticación).

Lo que facilita DKIM es que el servidor de destino pueda validar tu identidad, la cual se asocia con el mensaje a través de una autenticación encriptada. La validación se realiza para cotejar que el mensaje no ha sido alterado durante su "viaje".

SPF y DKIM suelen ser usados para autenticar mensajes. DKIM requiere de un registro SPF válido para entrar en acción.

Puedes comprobar si tu dominio tiene SPF y DKIM válidos (al checar DKIM se realiza para SPF).

Si sólo tienes SPF y careces de DKIM, genéralo gratuitamente.

DKIM Selector puedes colocarlo como "default", que es más usado. Agrega el dominio para el cual lo utilizarás y, finalmente, selecciona 2048 para encriptación más segura.

Para agregarlo a los registros DNS de tu dominio, tendrás que acceder al panel de control de tu proveedor de hospedaje y ahí dirigirte a una sección llamada "Dominios" o similar, en la que encontrarás "Configuración de DNS" (DNS Settings).

Al entrar a los DNS, elige "Nuevo" y te aparecen las opciones para agregar el registro. Debes elegir TXT en la primera. En la siguiente sólo agregar "default" (el dominio se carga automáticamente después) y, para finalizar, agrega lo que te apareció al generarlo (algo del tipo "v=DKIM1; p=asdf394703kaas....") y dás clic en "Agregar" (arriba aparece el link para verificar DKIM).

¿Qué es DMARC?

DMARC son las siglas de Domain-Based Message Authentication, Reporting and Conformance. Ayuda a que los dominios prevengan ataques de fraude (mayormente mediante phishing) al evitar un uso no autorizado del dominio y las cuentas de correo que de éste se generan.

En éste se indica cómo proceder ante mensajes que no son enviados por los datos contenidos en SPF y DKIM. A saber, se puede indicar que un porcentaje de los mensajes que no son autenticados se mantengan en cuarentena, que no se haga nada o que se rechace una cierta cantidad de éstos.

Ésto es lo que se llama "política" y se especifica, en el registro DMARC, como p=none (para no hacer nada); p=quarantine (para enviar el mensaje a junk email, no deseados o marcarlo como spam); p=reject (para rechazar el mensaje).

La "R" de DMARC es para "Reporte" (Reporting), lo que hace que se genere un reporte que es enviado a la cuenta de correo que se incluye en el registro DMARC, a fin de conocer quién y desde dónde utilizan tu dominio en forma fraudulenta (el reporte incluye IP y dominio).

Puedes verificar si tienes DMARC o generarlo gratis.

¿Qué es BIMI?

BIMI son las siglas de Brand Indicators for Message Identification (Indicadores de Marca para Identificación de Mensajes) y es un estándar cuyo uso va en aumento.

BIMI permite que tus mensajes muestren el logo de tu marca (o el que designes para el caso), con lo que se previenen fraudes vía email y ayuda en la entrega de los mensajes.

Para que exista BIMI, deben estar presentes SPF, DKIM y DMARC. Se agrega a los registros DNS en forma TXT (descrito con DKIM líneas arriba) y para utilizarlo debes crear una imagen basada en vectores (vía Illustrator es lo más recomendado), la cual deberás publicar en tu dominio (vía FTP a cualquier directorio que desees, pero de preferencia en la raíz).

Esta imagen de vectores (SVG), además de ser tu logo, incluye información sobre tu dominio y requiere de ciertas características para ser validada (sí, debe ser válida o no funciona BIMI). El registro luce así:

v=BIMI1; l=https://tu_dominio.mx/tu_imagen_logo.svg;

Para verificar si tienes SPF, DKIM y DMARC en forma correcta en tu servidor, verifica y/o genera BIMI. Al verificar BIMI, valida a SPF, DKIM y DMARC, pues no puedes generar BIMI si alguno de los tres no está correctamente especificado o generado (el error se te muestra para que pueda corregirlo).

BIMI es un estándar que aún se encuentra en crecimiento y desarrollo, pero al ser arropado por Google, no se espera más que sea una nueva herramienta de autenticación para marcas, considerando que Google y varios proveedores de correo intentan reducir el spam y phishing para proteger a sus usuarios y clientes.

Desde su nacimiento en 2019, BIMI logra más apoyo y más proveedores de email se suman al proyecto.

Este artículo fue publicado en Septiembre 29, 2021

ND

Aún no se tienen comentarios