Los servicios SPF, DKIM, DMARC –junto a los registros TXT- son tres sistemas que protegen el servidor remitente del correo electrónico evitando que terceros sin acceso puedan suplantarlo. Son diferentes métodos de autenticación de mensajes que añaden seguridad a los dominios. También aseguran que los destinatarios reciban nuestros mensajes y evitan que puedan enviarse mensajes desde direcciones que no están autorizadas. SPF, DKIM, DMARC hacen más difícil a los remitentes de correo electrónico ocultar su identidad (phising) con el objetivo de reducir el spam y el fraude.
Estas opciones deben ser configuradas por el administrador o el proveedor de correo electrónico. Si no están activados estos servicios la recomendación es ponerse en contacto con él para su activación y configuración.
SPF
SPF (Sender Policy Framework) -Marco de Políticas del Remitente, en su traducción al castellano- es un método de autenticación que permite proteger un dominio de diversas técnicas de suplantación de identidad (spoofing). El spoofing cambia el contenido de un mensaje para simular que procede de un dominio que no es desde el que se ha enviado en realidad.
Además lo que hace SPF es evitar que los correos electrónicos sean clasificados como spam por el dominio del destinatario.
SPF crea un registro TXT de DNS -Sistema de Nombres de Dominio- para proporcionar una lista de direcciones IP de los servidores de correos autorizados para enviar mensajes desde el dominio de una empresa, entidad o persona física.
Los servidores del destinatario del correo utilizan el registro DNS SPF para comprobar que el mensaje recibido proviene de los servidores autorizados para el dominio del remitente.
Como consecuencia, los registros SPF hacen más difícil que se utilicen direcciones de correo del dominio del remitente para enviar SPAM.
DKIM
DKIM (Domain Keys Identified Mail) es otra herramienta a nuestra disposición para prevenir de manera más efectiva el spoofing de correos electrónicos enviados desde un dominio.
Lo que hace DKIM es añadir una firma cifrada en el encabezado del email de todos los mensajes salientes. Acto seguido son los servidores del dominio que reciben el correo, los encargados de descifrar a través de DKIM dicho encabezado y comprueban que no haya sufrido ninguna modificación después de enviarlo.
De esta manera DKIM autentifica el dominio desde el que se envió el correo electrónico y legitima los mensajes protegiéndolos contra la suplantación de identidad y el fraude.
Con el uso de DKIM los destinatarios pueden tener la tranquilidad de haber verificado la autenticidad del correo electrónico recibido.
Por ejemplo, Gmail firma todos los emails salientes con la clave de dominio predeterminada d=*.gappssmtp.com aunque los usuarios puede cambiar dicha clave DKIM por una propia.
La diferencia reside en que mientras SPF no agrega información a un mensaje, DKIM cifra una firma dentro del encabezado del mensaje y funciona incluso en caso de reenvío de un correo.
En conclusión, si usamos SPF y DKIM estamos haciendo más difícil que los spammers puedan suplantar nuestra identidad y enviar mensajes de correo utilizando direcciones que pretendan pertenecer a nuestro dominio.
DMARC
DMARC (Domain-based Message Authentication, Reporting & Conformance) - Autenticación, Informes y Conformidad de Mensajes Basados en Dominios, en su traducción al castellano- es un protocolo de autenticación que concreta de qué manera se gestionan los mensajes sospechosos en un dominio y lo protege contra un uso no autorizado.
Por ejemplo, establece qué hacer con los correos electrónicos enviados desde un dominio que no ha pasado las revisiones SPF o DKIM.
DMARC también utiliza un registro de texto (TXT) de DNS para ayudar a evitar el phising. Lo que hace es contrastar la IP de quién envía el mensaje con el presunto propietario del dominio desde el que se envía identificando los servidores de email saliente autorizados.
DMARC permite al administrador del sistema, recibir información del trato que están recibiendo los mensajes enviados desde su dominio e identificar si este está siendo utilizado para enviar Spam y desde que direcciones IP.
Accensit puede ayudarle a prevenir e identificar las prácticas más comunes de phishing y le ofrece el servicio de asesoría y herramientas para formar a su equipo de trabajo.