Mimecast Logo
Obtenga una cotización

    Guía DKIM, SPF y DMARC

    Implemente DKIM, SPF y DMARC para proteger a los usuarios del fraude por correo electrónico y las ciberamenazas.
    Prueba gratuita de DMARC
    DKIM, SPF & Guía DMARC
    Prueba gratuita de DMARC
    Puntos clave

    Qué aprenderá en este artículo

    Comprenda la importancia de la formación sobre concienciación en materia de seguridad y cómo el enfoque integral de Mimecast ayuda a mitigar el riesgo de los usuarios frente a las ciberamenazas:

    • La formación en concienciación sobre seguridad capacita a los empleados para reconocer y mitigar los riesgos cibernéticos, fomentando una cultura de vigilancia y resistencia.
    • Minimiza los errores humanos, reduciendo las infracciones y salvaguardando los datos y activos sensibles.
    • La plataforma de formación en concienciación sobre seguridad de Mimecast ofrece contenidos atractivos, una administración sencilla y una formación personalizada adaptada a las necesidades de la organización.

    ¿Qué son SPF, DKIM y DMARC?

    El correo electrónico sigue siendo la herramienta de comunicación número uno en todo el mundo, y las organizaciones dependen en gran medida de él a pesar del aumento de la popularidad de los mensajeros instantáneos y otras herramientas de comunicación. Sin embargo, aunque el correo electrónico resulta familiar a casi todo tipo de usuarios de Internet, las formas en que protege tanto a los remitentes como a los destinatarios de los ataques de phishing, spam y otros tipos de fraude por correo electrónico son menos conocidas.

    DKIM (DomainKeys Identified Mail), SPF (Sender Policy Framework) y DMARC (Domain-based Message Authentication, Reporting, and Conformance) son tres tecnologías utilizadas habitualmente por los ISP (proveedores de servicios de Internet) para proteger a los usuarios de las ciberamenazas y del fraude por correo electrónico, mejorando la legitimidad de los correos electrónicos entregados y reduciendo el riesgo de interferencias en tránsito.

    En esta guía, examinamos DKIM, SPF y DMARC con más detalle, exploramos las diferencias entre DMARC vs DKIM vs SPF, por qué son importantes, y proporcionamos alguna información sobre cómo configurar correctamente cada una de estas tecnologías vitales. Siga leyendo para obtener más información y descubra cómo la autenticación del correo electrónico protege sus datos entre bastidores. 

    ¿Qué es la autenticación del correo electrónico?

    La autenticación del correo electrónico se consigue normalmente utilizando técnicas criptográficas, como las firmas digitales y la encriptación, para verificar la identidad del remitente y proteger el contenido del mensaje de manipulaciones. Este proceso implica el uso de varias tecnologías, como DKIM, SPF y DMARC, que funcionan conjuntamente para proporcionar un sistema completo de autenticación del correo electrónico.

    Cuando un mensaje de correo electrónico está autenticado, proporciona al destinatario un alto nivel de confianza en que el mensaje es legítimo y no spam o phishing. También ayuda a evitar la suplantación de identidad, en la que un atacante se hace pasar por un remitente de confianza, asegurándose de que el mensaje procede del dominio o la dirección IP reivindicados.

    Los atacantes aprovechan la suplantación directa de dominios para engañar a sus clientes y socios, poniendo en peligro la reputación de su marca. Una visibilidad y una gobernanza completas en todos los canales de correo electrónico son fundamentales para disuadir el fraude y proteger su marca.

    Aprenda a defenderse de la suplantación de identidad → Marca

    ¿Por qué es importante la autenticación del correo electrónico?

    Con la continua evolución de la ciberdelincuencia y el aumento de los actores de amenazas, la autenticación del correo electrónico es vital para el programa de ciberseguridad de cualquier organización. Sin embargo, aparte del alto nivel de protección que ofrecen DKIM, DMARC y SPF, si se configuran de forma incorrecta, pueden afectar a la capacidad de un usuario para enviar y recibir correo electrónico, provocando problemas como que los correos sean rechazados o interceptados por partes no autorizadas o marcados como spam. Esto puede provocar fallos de comunicación, pérdida de información sensible y daños a la reputación de las personas y las organizaciones.

    Además, los siguientes ejemplos de cómo la autenticación del correo electrónico proporciona protección son muy importantes:

    • Prevención de ataques de phishing - Los ataques de phishing son un tipo común de fraude por correo electrónico en el que un atacante se hace pasar por un remitente de confianza para engañar al destinatario y conseguir que revele información confidencial. La autenticación del correo electrónico puede ayudar a evitar el phishing al verificar la identidad del remitente y garantizar que el mensaje es legítimo.
    • Protección de la reputación de la marca - La autenticación del correo electrónico puede ayudar a proteger la reputación de la marca de una organización al impedir que los ciberdelincuentes utilicen direcciones de correo electrónico o dominios falsos para enviar spam o mensajes de phishing que dañen la reputación de la organización.
    • Mejora de la seguridad del correo electrónico - La autenticación del correo electrónico ayuda a mejorar la seguridad general de las comunicaciones por correo electrónico al impedir el acceso no autorizado, la manipulación y la interceptación de los mensajes de correo electrónico.
    • Cumplimiento de normativas -Algunas industrias y jurisdicciones tienen normativas que exigen que se implemente la autenticación del correo electrónico. El cumplimiento de esta normativa es importante para evitar sanciones y consecuencias legales.

    Implemente DMARC para evitar el compromiso del correo electrónico empresarial

    Obtenga ahora nuestra guía DMARC esencial para proteger su empresa contra el compromiso del correo electrónico y mejorar la seguridad de su correo electrónico.

    Obtenga un informe

    Tipos de autenticación del correo electrónico

    DKIM, SPF y DMARC contribuyen cada uno a la autenticación eficaz del correo electrónico, y las tres tecnologías trabajan juntas para garantizar que el correo electrónico sea seguro y totalmente entregable. A continuación, examinamos SPF, DKIM y DMARC con más detalle:

    ¿Qué es DKIM?

    DKIM (DomainKeys Identified Mail) es una tecnología de autenticación de correo electrónico que utiliza firmas criptográficas para verificar la autenticidad de los mensajes de correo electrónico. Cuando se envía un mensaje de correo electrónico, DKIM añade una firma digital a la cabecera del mensaje, que el servidor de correo electrónico del destinatario puede verificar para garantizar que el mensaje no ha sido manipulado en tránsito y que procede del dominio del remitente reclamado.

    ¿Qué es el FPS?

    SPF (Sender Policy Framework) es una tecnología de autenticación de correo electrónico que permite al propietario de un dominio especificar qué direcciones IP están autorizadas a enviar correo electrónico en nombre de ese dominio. Cuando se recibe un mensaje de correo electrónico, el servidor de correo electrónico del destinatario comprueba el registro SPF del dominio del remitente para asegurarse de que el mensaje procede de una dirección IP autorizada. Si la comprobación SPF falla, el mensaje puede ser marcado como spam o rechazado.

    ¿Qué es DMARC?

    DMARC (Domain-based Message Authentication, Reporting, and Conformance) es una tecnología de autenticación de correo electrónico que proporciona mecanismos de políticas e informes para DKIM y SPF. DMARC permite al propietario del dominio especificar cómo deben tratarse los mensajes de correo electrónico que no superen las comprobaciones DKIM y SPF, y proporciona información sobre los resultados de dichas comprobaciones. DMARC ayuda a evitar la suplantación de identidad y el phishing en el correo electrónico al garantizar que los mensajes de correo electrónico sólo se aceptan si cumplen las políticas de autenticación especificadas por el propietario del dominio.

     

    Infografía que explica los tipos de autenticación del correo electrónico: SPF, DMARC y DKIM

     

    ¿En qué se diferencian DKIM, SPF y DMARC?

    Aunque DKIM, SPF y DMARC son tecnologías de autenticación del correo electrónico que ayudan a prevenir el fraude y a mejorar la capacidad de entrega, difieren en varios aspectos. A continuación, enumeramos algunas de las principales diferencias entre DKIM vs SPF vs DMARC -

    DKIM

    • Utiliza firmas criptográficas para verificar la autenticidad de los mensajes de correo electrónico.
    • Añade una firma digital a la cabecera del mensaje que el servidor de correo electrónico del destinatario puede verificar.
    • Ayuda a prevenir los ataques de suplantación de identidad y phishing por correo electrónico al garantizar que el mensaje de correo electrónico no ha sido manipulado en tránsito.
    • Puede utilizarse para verificar la integridad del contenido del mensaje y para autentificar el dominio del remitente.

    FPS

    • Utiliza registros DNS para verificar qué direcciones IP están autorizadas a enviar correos electrónicos en nombre de un dominio concreto.
    • Ayuda a evitar la suplantación de identidad y los ataques de phishing por correo electrónico al garantizar que el mensaje de correo electrónico procede de una dirección IP autorizada.
    • Puede ayudar a evitar que los mensajes de correo electrónico sean marcados como spam o rechazados por el servidor de correo electrónico del destinatario.

    DMARC

    • Proporciona mecanismos de políticas e informes para DKIM y SPF.
    • Ayuda a garantizar que los mensajes de correo electrónico sólo se aceptan si cumplen las políticas de autenticación especificadas por el propietario del dominio.
    • Puede ayudar a prevenir los ataques de suplantación de identidad y phishing por correo electrónico proporcionando información sobre los resultados de las comprobaciones DKIM y SPF.

    "Los retos con DMARC es que a menudo vemos que contiene un aire de misterio porque no mucha gente entiende las tecnologías que lo sustentan." - Andrew Williams, Director Principal de Marketing de Producto

    VER: Historias de clientes: Lecciones aprendidas en el camino hacia el cumplimiento de la norma PCI DSS v4.0 →.

    ¿Dónde se almacenan los registros SPF, DKIM y DMARC?

    Los registros SPF, DKIM y DMARC se almacenan en el Sistema de Nombres de Dominio (DNS), que actúa como directorio de Internet para traducir los nombres de dominio en direcciones IP.

    Aquí tiene un desglose de dónde se almacena cada tipo de registro -

    Registros SPF (Sender Policy Framework)

    Almacenados como registros DNS TXT, los registros SPF especifican qué direcciones IP pueden enviar correos electrónicos en nombre de un dominio. El servidor de correo electrónico del destinatario comprueba estos registros para verificar la legitimidad del remitente.

    Registros DKIM (DomainKeys Identified Mail)

    Los registros DKIM, también almacenados como registros DNS TXT, contienen la clave pública utilizada para verificar la firma DKIM en la cabecera del correo electrónico. Esto garantiza que el correo electrónico no ha sido alterado y se origina en el dominio reclamado.

    Registros DMARC (autenticación de mensajes basada en dominios, informes & Conformance)

    Los registros DMARC, almacenados de forma similar a los registros DNS TXT, definen las políticas de gestión de los correos electrónicos que no superan las comprobaciones SPF y DKIM. Especifican si rechazar, poner en cuarentena o supervisar dichos correos electrónicos y proporcionan mecanismos de información sobre los resultados de la autenticación.

    Al aprovechar el DNS, estos registros permiten a los servidores de correo electrónico globales verificar la autenticidad del correo electrónico, protegiéndolo contra el fraude y la suplantación de identidad.

     

    Guía de Mimecast sobre cómo configurar DKIM, SPF y DMARC con iconos para cada uno y una captura de pantalla que muestra las opciones de configuración de los registros DNS.

     

    Cómo configurar DKIM, SPF o DMARC

    Configurar DKIM, SPF o DMARC es un trabajo técnico que es mejor dejar en manos de los expertos. Sin embargo, es un paso crucial para garantizar que sus correos electrónicos se autentiquen correctamente y se entreguen a sus destinatarios. Aquí tiene una visión general de cómo configurar cada método de autenticación para que pueda ejecutar una comprobación SPF, DMARC y DKIM en su correo electrónico.

    DKIM

    1. Genere un par de claves pública/privada para su dominio.
    2. Cree un registro DNS TXT que contenga la clave pública.
    3. Utilice la clave privada para añadir una firma DKIM a sus mensajes de correo electrónico.
    4. Configure su servidor de correo electrónico para que utilice DKIM para firmar los mensajes de correo salientes.

    FPS

    1. Cree un registro DNS TXT para su dominio en el que se enumeren las direcciones IP autorizadas para enviar correo electrónico en su nombre.
    2. Añada el mecanismo "include" a su registro SPF si utiliza un servicio de correo electrónico de terceros, como Mailchimp o Gmail, para enviar correo electrónico en su nombre.
    3. Pruebe su registro SPF para asegurarse de que está correctamente configurado.
    4. Configure su servidor de correo electrónico para que utilice SPF para validar los mensajes de correo electrónico entrantes.

    DMARC

    1. Cree una política DMARC para su dominio, especificando si debe rechazar, poner en cuarentena o supervisar los mensajes de correo electrónico que no superen las comprobaciones de autenticación.
    2. Cree un registro DNS TXT que contenga su política DMARC para su dominio.
    3. Supervise su tráfico de correo electrónico para identificar cualquier problema con su configuración de autenticación.
    4. Configure su servidor de correo electrónico para enviar informes DMARC a la dirección de correo electrónico especificada.

    Es importante tener en cuenta que los pasos específicos para configurar DKIM, SPF y DMARC pueden variar en función de su proveedor de servicios de correo electrónico y de otros detalles técnicos. Se recomienda seguir las instrucciones detalladas proporcionadas por su proveedor de correo electrónico o consultar con un experto en seguridad del correo electrónico para asegurarse de que su configuración de autenticación es correcta.

    Cómo comprobar si DKIM, SPF y DMARC están configurados correctamente

    Para comprobar si un correo electrónico ha superado las pruebas de autenticación SPF, DKIM y DMARC, debe buscar algunos indicadores clave:

    Comprobación SPF (Sender Policy Framework): Para asegurarse de que sus correos electrónicos pasan esta comprobación de autenticación, fíjese en la cabecera 'Received-SPF'. Si se lee 'pass', sus mensajes pasan la autenticación SPF.

    Comprobación de DKIM (DomainKeys Identified Mail): Para comprobar si DKIM está pasando, mire la cabecera 'Authentication-Results' y busque DKIM. Si DKIM está presente y pasa, se indicará en la cabecera.

    Comprobación de DMARC (Autenticación de mensajes basada en dominios, notificación de conformidad & ): Para comprobar si DMARC está pasando, mire la cabecera 'Authentication-Results' y busque los valores DKIM y SPF. Si tanto DKIM como SPF están presentes y se lee 'pass', su correo electrónico ha pasado la autenticación DMARC.

    Es importante tener en cuenta que las autenticaciones DKIM y SPF sólo son válidas para la sesión de correo electrónico actual, por lo que es una buena práctica comprobar las autenticaciones DKIM y SPF con regularidad. Si DKIM, SPF o DMARC no superan las pruebas de autenticación, es posible que deba realizar ajustes en su dominio para que los correos electrónicos se entreguen correctamente.

    Elegir la solución adecuada para las comunicaciones por correo electrónico de su empresa

    A la hora de elegir la solución adecuada para las comunicaciones por correo electrónico de su empresa, es fundamental tener en cuenta varios factores, como el tamaño de su organización, el nivel de seguridad que necesita y la complejidad de su infraestructura de correo electrónico. Es probable que utilice una combinación de las tres tecnologías; sin embargo, a continuación, repasamos DKIM vs. SPF vs. DMARC para que pueda hacer una elección informada.

    DKIM se utiliza para las organizaciones que desean autenticar la integridad de sus mensajes de correo electrónico y verificar el dominio del remitente. Puede ser especialmente útil para las organizaciones que envían un gran volumen de correo electrónico, como las instituciones financieras o los sitios web de comercio electrónico, ya que puede ayudar a prevenir los ataques de phishing y otros tipos de fraude por correo electrónico.

    SPF ayuda a las organizaciones a verificar que los mensajes de correo electrónico proceden de una dirección IP autorizada. Puede ser beneficioso para las pequeñas y medianas empresas que no disponen de una infraestructura de correo electrónico compleja, ya que es relativamente fácil de configurar e implantar.

    DMARC es una buena opción para las organizaciones que desean proporcionar mecanismos de políticas e informes para DKIM y SPF. Puede resultar especialmente útil para las grandes organizaciones que desean asegurarse de que los mensajes de correo electrónico se gestionan adecuadamente y cumplen sus políticas de autenticación.

    Sólo 34% de las 5000 empresas más grandes del mundo utilizan actualmente DMARC. Esto pone de manifiesto una brecha significativa en la adopción global de DMARC, lo que indica que muchas grandes organizaciones siguen siendo vulnerables a las amenazas relacionadas.

    Asegure su correo electrónico con Mimecast DMARC Analyzer

    Proteger su dominio contra la suplantación de identidad y el phishing es más importante que nunca. La solución DMARC de Mimecast facilita la visibilidad, impone la autenticación y detiene las amenazas antes de que lleguen a su bandeja de entrada. Dé el siguiente paso: explore hoy mismo nuestro producto DMARC y proteja la reputación y la seguridad de su organización.

    Explorar DMARC Analyzer

    Preguntas frecuentes sobre DKIM, SPF y DMARC

    No, DMARC (Domain-based Message Authentication, Reporting & Conformance) no requiere tanto SPF (Sender Policy Framework) como DKIM (DomainKeys Identified Mail) para pasar. DMARC permite a los propietarios de dominios especificar cómo deben tratarse los correos electrónicos que no superen las comprobaciones SPF y/o DKIM. Esto significa que para que un correo electrónico pase el DMARC, sólo necesita pasar una de las comprobaciones de autenticación subyacentes -ya sea SPF o DKIM- siempre y cuando se alinee con el dominio en la cabecera "From".


    Tanto SPF como DKIM sirven para autenticar los correos electrónicos, pero DMARC proporciona la ventaja adicional de la alineación. Cuando un correo electrónico pasa el SPF o el DKIM y se alinea con el dominio especificado en la cabecera "From", puede pasar el DMARC. Esto permite a los propietarios de dominios aplicar sus políticas de autenticación de correo electrónico de forma más flexible y eficaz.

    Sí, DKIM (DomainKeys Identified Mail) puede funcionar sin DMARC (Domain-based Message Authentication, Reporting & Conformance). DKIM es una tecnología de autenticación de correo electrónico que añade una firma criptográfica a la cabecera del correo electrónico. Esta firma puede ser verificada por el servidor de correo electrónico del destinatario para garantizar que el mensaje no ha sido manipulado y que procede del dominio del remitente reclamado.


    Aunque DKIM puede funcionar de forma independiente para verificar la integridad de un correo electrónico, a menudo se utiliza junto con DMARC para proporcionar una solución de autenticación de correo electrónico más completa. DMARC se basa en DKIM y SPF (Sender Policy Framework) especificando cómo tratar los correos electrónicos que no superan estas comprobaciones y proporcionando mecanismos de notificación. Sin embargo, incluso sin DMARC, DKIM por sí solo puede mejorar significativamente la seguridad del correo electrónico al evitar la suplantación de identidad y garantizar la autenticidad de los mensajes de correo electrónico.

    Sí, DMARC (autenticación de mensajes basada en dominios, informes & Conformance) puede pasar con sólo SPF (Sender Policy Framework). Para que un correo electrónico pase el DMARC utilizando SPF, el correo electrónico debe pasar con éxito la comprobación SPF, y el dominio en la "Return-Path" debe alinearse con el dominio en la "From" cabecera. Si se cumplen estas condiciones, el correo electrónico puede pasar DMARC aunque no tenga una firma DKIM válida.


    DMARC ofrece a los propietarios de dominios la flexibilidad de aplicar sus políticas de autenticación de correo electrónico utilizando SPF o DKIM. Esto significa que un correo electrónico puede pasar el DMARC siempre que cumpla los criterios de alineación y autenticación especificados por el propietario del dominio, lo que convierte al DMARC en una poderosa herramienta en la lucha contra el fraude por correo electrónico y los ataques de phishing.

    Recursos relacionados con DKIM, SPF y DMARC

    Resources_11.jpg
    Email Collaboration Threat Protection

    Gartner® Cuadrante Mágico™ para la seguridad del correo electrónico

    Analyst Report
    Resources_15.jpg
    Email Collaboration Threat Protection

    Email Security: Mimecast & Microsoft

    Whitepaper
    Resources_32.jpg
    Email Collaboration Threat Protection

    The Cost and Risk of Email Attacks: Mimecast vs. Competition

    Infographic
    Back to Top