La seguridad del correo electrónico es mucho más de lo que parece. Todos sabemos que el correo electrónico es una de las áreas más afectadas por el phishing de datos personales e información sensible.
Los piratas informáticos son cada vez más hábiles en la creación de mensajes que parecen auténticos y que engañan a muchas personas para que hagan clic en una llamada a la acción y proporcionen a los falsificadores la información que buscan, a menudo datos de acceso y acceso financiero.
Autenticación del correo electrónico: ¿qué es?
Autenticación del correo electrónico is the system designed to protect your reputation by checking when you send an email campaign that you’re who you say you are. The four concepts are simple enough, yet setting each of the methods can be tricky. However, the protection offered when combined is as good as you can put in place under our current systems.
¿Cuáles son los métodos posibles?
Los cuatro métodos típicos de autentificación del correo electrónico hoy en día son los siguientes:
- SPF – Marco de la política de remitentes
Esta norma realiza la comprobación original para asegurarse de que cada correo electrónico procede de una dirección IP de confianza. - DKIM – DomainKeys Identified Mail
Otra comprobación de identidad, pero esta vez utilizando una clave de cifrado como firma digital. - DMARC – Informe de autenticación de mensajes de dominio y conformidad
DMARC garantiza que el correo electrónico cumple con el SPF y el DKIM antes de ser entregado. - BIMI – Indicadores de marca para la identificación de mensajes
BIMI realiza una última comprobación, centrándose en la credibilidad del remitente y mostrando la imagen de marca del remitente en la bandeja de entrada del destinatario (donde se admita actualmente).
Vamos a profundizar en cada uno de ellos un poco más adelante, pero primero vamos a explicar por qué son tan importantes y a explicar un poco cómo funcionan.
¿Cómo funciona la autenticación del correo electrónico?
Cada uno de los métodos de autenticación (SPF DKIM DMARC BIMI) aplica una capa de seguridad a sus correos electrónicos utilizando su dominio de correo electrónico para verificar que usted es quien dice ser.
- El remitente define la política/reglas de cómo se autentifica su dominio.
- A continuación, configuran el DNS del dominio y los servidores de correo electrónico para aplicar esas reglas.
- Los servidores destinatarios verifican el correo electrónico entrante cotejándolo con las reglas fijadas en el DNS del dominio.
- Cuando se autentifica, el servidor del destinatario procesa el correo electrónico de forma segura; cuando la autenticación falla, el mensaje se bloquea o se pone en cuarentena o se gestiona de acuerdo con la sentencia de autenticación.
¿Cuáles son los beneficios?
Como puede ver, si no configura la autenticación de su correo electrónico, corre el riesgo de que se rechacen los correos electrónicos, de que aumenten las tasas de spam y de que disminuyan las tasas de entrega.
Sus mensajes, minuciosamente pensados, bellamente diseñados y creados, tienen muchas menos posibilidades de llegar a las bandejas de entrada a las que están destinados.
Y lo que es peor, sin sus métodos de autenticación de correo electrónico, su marca es mucho más fácil de falsificar, dejándole a usted y a sus clientes muy expuestos a ataques de correo electrónico, hackeos y phishing.
Configurar la autenticación del correo electrónico
To set up your domain to manage each authentication method, you need access to the DNS settings ( Domain Name System) through your domain registration service.
Una vez que acceda a la configuración del DNS, añadirá varios registros TXT y CNAME a su dominio.
Para conocer los valores de la configuración de tu dominio, tendrás que consultar a tus anfitriones de correo electrónico. Ellos te proporcionarán la configuración de tus registros SPF, generarán tu selector DKIM desde su área de alojamiento y te mostrarán cómo implementar tu política DMARC, ya que los hosts suelen diferir en su configuración.
You’ll add another TXT record to include a BIMI record, including the path to your brand image file .
SPF – Marco de la política de remitentes
El SPF es la autenticación estándar creada en los primeros días del desarrollo del correo electrónico. Mientras que en su día era adecuado para los primeros sistemas de correo electrónico, presenta varios problemas para los métodos de correo modernos. Por eso es necesario utilizar los cuatro métodos para ofrecer una forma de cobertura completa.
SPF records are stored in plain text within the domain DNS and dictate the IP addresses with permission to send from the domain .
Cuando el servidor de correo electrónico del destinatario realiza una búsqueda DNS para recuperar el registro SPF, utiliza el valor en la ruta de retorno del mensaje.
Problemas con la autenticación SPF
Syntax – Despite being text records, the syntax can get tricky when entering the DNS records . If they’re not precise, then authentication will fail, even if the message and sender are genuine.
Identificación de direcciones IP autorizadas – Los sistemas compartidos, como las plataformas en la nube, pueden alojar varios servicios con direcciones IP asignadas dinámicamente. Aunque la IP puede ser determinada y autorizada, también puede permitir que cualquier otra persona utilice la misma IP compartida utilizando su registro SPF.
SPF can be spoofed – SPF uses the hidden return path field for authentication—not the ‘from’ field, which recipients can clearly view. A hacker, phishing for information, can present a valid looking domain and email address in the ‘from’ field, yet have their own email as the return-path, using their own authentication system to get through server checks.
SPF no admite el reenvío de correo electrónico – Un servidor receptor no podrá validar un mensaje reenviado porque el dominio de identificación parece ser el del servidor de reenvío y no el dominio original.
Como ves, lo que antes era un método aceptable, ahora es significativamente defectuoso. Proporciona los fundamentos para construir una mayor seguridad general. Sin embargo, como método independiente, no es suficiente con la tecnología actual.
DKIM – DomainKeys Identified Mail
DKIM utiliza el cifrado de clave pública/privada para firmar los mensajes de correo electrónico. Verifica que los correos electrónicos fueron enviados desde el dominio y que el correo electrónico no ha sido modificado en tránsito.
Es un método de autenticación más seguro, ya que garantiza que el mensaje no ha sido alterado durante la entrega. Otra ventaja es que la autenticación DKIM sobrevive al reenvío del correo electrónico.
The domain owner creates cryptographic keys in pairs: public and private. The public key is placed as a TXT record on the domain’s DNS. When an email is sent, a ‘hash’ is generated based on the contents of the message . This hash is encrypted with the domain’s private key and attached to the header of the email.
El servidor de correo electrónico del destinatario lee la información cifrada utilizando la clave pública alojada en el DNS, y si todo coincide, se concede la autenticación.
Selectores DKIM
Cada dominio puede utilizar varios selectores. Estos valores se utilizan para identificar propiedades únicas, por ejemplo, subdominios, usuarios, ubicaciones y servicios. Cada selector opera utilizando su propia clave pública, renunciando a una clave única y compartida para todas las eventualidades.
Problemas con la autenticación DKIM
Mismatched signatures – A valid DKIM signature could use a completely different domain than that shown in the ‘from’ field. It makes phishing from another email domain a simple proceso .
Seguridad de las claves: un hacker que firme mensajes utilizando el dominio de otro usuario podría validar perfectamente sus correos electrónicos utilizando la clave privada de ese dominio.
Implementación y gestión de claves – Las claves largas y más seguras pueden ser problemáticas cuando se aplican al DNS del dominio. Estas largas cadenas de datos se aplican fácilmente de forma errónea, incluso al copiar y pegar.
To get the best from DKIM, it needs to be partnered with DMARC, bringing the domain used in the ‘from’ field into play. You can see now how each system depends on its previous method to create a complete and effective authentication system.
DMARC – Informe de autenticación de mensajes de dominio y conformidad
As already mentioned, DMARC enforces the use of the domain set in the from field to prevenir hackers and attackers from using alternate domains to bypass safety checks.
También incluye un mecanismo de informes que permite al remitente decidir qué hacer con los resultados de la autenticación. El registro DMARC controla dónde y cómo los servidores del destinatario envían los informes.
En efecto, DMARC cubre las lagunas entre SPF y DKIM y aumenta la capacidad de entrega del correo electrónico. Los spammers ya no pueden hacer un uso indebido de estos dominios protegidos; por lo tanto, la reputación del dominio aumenta, mejorando al mismo tiempo las tasas de entrega.
Aplicación de DMARC
El registro DMARC dicta lo que hay que hacer con los correos electrónicos que no se autorizan. La política tiene tres resultados: no hacer nada, poner en cuarentena o rechazar. Un informe DMARC alerta al titular del dominio sobre la procedencia de los mensajes fallidos, proporcionando información crítica sobre la violación y lo que puede hacer para tomar más medidas de protección.
BIMI – Indicadores de marca para la identificación de mensajes
Se espera que la inclusión de la autenticación de correo electrónico BIMI suponga un aumento de aproximadamente 10% en la participación a través de la entregabilidad, una cifra que no debe tomarse a la ligera.
Dado que este método de autenticación está en sus inicios y todavía está pendiente de ser introducido por muchos proveedores de correo electrónico, hay varios pasos que los usuarios pueden tomar para asegurarse de que están preparados para el gran despliegue cuando finalmente llegue a nuestros servidores.
Una cosa es segura, dado que Google incluye la integración de BIMI con G Suite, debería ser sólo cuestión de tiempo que el resto del mundo se ponga al día.
¿Cómo prepararse para BIMI?
Para activar la autenticación de correo electrónico BIMI, primero debe autenticar sus correos electrónicos con SPF, DKIM y DMARC, asegurando la alineación (el dominio es el mismo en todo momento). La política DMARC debe aplicarse en cuarentena o rechazo, y el DNS del dominio debe tener el registro BIMI correcto.
También tendrá que alojar un archivo de logotipo adecuado como enlace para que la autenticación resultante aparezca en las bandejas de entrada de sus destinatarios. Su logotipo tendrá que estar en el formato SVG correcto y posiblemente un VMC (Certificado de Marca Verificada) para autenticar el archivo.
Autenticación completa para sus campañas de correo electrónico
We’ve learned that each one of these methods on its own won’t provide any kind of one-stop solution to make life simple. However, with a little work to bring each of the systems together as one, you’ll be far more secure in the delivery of your email campaigns and messages than you could ever be without them.
It’s worth the time and effort it takes if it ensures the protection of your service, your Suscriptores and boosts the connectivity and returns on your marketing.
