La seguridad del correo electrónico es mucho más de lo que parece. Todos sabemos que el correo electrónico es una de las áreas más afectadas por el phishing de datos personales e información sensible.

Los piratas informáticos son cada vez más hábiles en la creación de mensajes que parecen auténticos y que engañan a muchas personas para que hagan clic en una llamada a la acción y proporcionen a los falsificadores la información que buscan, a menudo datos de acceso y acceso financiero.

Autenticación del correo electrónico: ¿qué es?

La autentificación del correo electrónico es el sistema diseñado para proteger tu reputación comprobando, cuando envías una campaña de correo electrónico, que eres quien dices ser. Los cuatro conceptos son bastante sencillos, aunque la configuración de cada uno de los métodos puede ser complicada. Sin embargo, la protección que se ofrece cuando se combina es tan buena como la que se puede establecer con los sistemas actuales.

¿Cuáles son los métodos posibles?

Los cuatro métodos típicos de autentificación del correo electrónico hoy en día son los siguientes:

  1. SPF - Marco de la política de remitentes
    Esta norma realiza la comprobación original para asegurarse de que cada correo electrónico procede de una dirección IP de confianza.
  2. DKIM - DomainKeys Identified Mail
    Otra comprobación de identidad, pero esta vez utilizando una clave de cifrado como firma digital.
  3. DMARC - Informe de autenticación de mensajes de dominio y conformidad
    DMARC garantiza que el correo electrónico cumple con el SPF y el DKIM antes de ser entregado.
  4. BIMI - Indicadores de marca para la identificación de mensajes
    BIMI realiza una última comprobación, centrándose en la credibilidad del remitente y mostrando la imagen de marca del remitente en la bandeja de entrada del destinatario (donde se admita actualmente).

Vamos a profundizar en cada uno de ellos un poco más adelante, pero primero vamos a explicar por qué son tan importantes y a explicar un poco cómo funcionan.

¿Cómo funciona la autenticación del correo electrónico?

Cada uno de los métodos de autenticación (SPF DKIM DMARC BIMI) aplica una capa de seguridad a sus correos electrónicos utilizando su dominio de correo electrónico para verificar que usted es quien dice ser.

  1. El remitente define la política/reglas de cómo se autentifica su dominio.
  2. A continuación, configuran el DNS del dominio y los servidores de correo electrónico para aplicar esas reglas.
  3. Los servidores destinatarios verifican el correo electrónico entrante cotejándolo con las reglas fijadas en el DNS del dominio.
  4. Cuando se autentifica, el servidor del destinatario procesa el correo electrónico de forma segura; cuando la autenticación falla, el mensaje se bloquea o se pone en cuarentena o se gestiona de acuerdo con la sentencia de autenticación.

¿Cuáles son los beneficios?

Como puede ver, si no configura la autenticación de su correo electrónico, corre el riesgo de que se rechacen los correos electrónicos, de que aumenten las tasas de spam y de que disminuyan las tasas de entrega.

Sus mensajes, minuciosamente pensados, bellamente diseñados y creados, tienen muchas menos posibilidades de llegar a las bandejas de entrada a las que están destinados.

Y lo que es peor, sin sus métodos de autenticación de correo electrónico, su marca es mucho más fácil de falsificar, dejándole a usted y a sus clientes muy expuestos a ataques de correo electrónico, hackeos y phishing.

Configurar la autenticación del correo electrónico

Para configurar su dominio para gestionar cada método de autenticación, necesita acceder a la configuración del DNS (Sistema de Nombres de Dominio) a través de su servicio de registro de dominios.

Una vez que acceda a la configuración del DNS, añadirá varios registros TXT y CNAME a su dominio.

Para conocer los valores de la configuración de tu dominio, tendrás que consultar a tus anfitriones de correo electrónico. Ellos te proporcionarán la configuración de tus registros SPF, generarán tu selector DKIM desde su área de alojamiento y te mostrarán cómo implementar tu política DMARC, ya que los hosts suelen diferir en su configuración.

Añadirá otro registro TXT para incluir un registro BIMI, incluyendo la ruta de acceso a su archivo de imagen de marca.

LEA MÁS
Reputación del remitente de correo electrónico: ¿Cómo protegerla?

SPF - Marco de la política de remitentes

El SPF es la autenticación estándar creada en los primeros días del desarrollo del correo electrónico. Mientras que en su día era adecuado para los primeros sistemas de correo electrónico, presenta varios problemas para los métodos de correo modernos. Por eso es necesario utilizar los cuatro métodos para ofrecer una forma de cobertura completa.

Los registros SPF se almacenan en texto plano dentro del DNS del dominio y dictan las direcciones IP con permiso para enviar desde el dominio.

Cuando el servidor de correo electrónico del destinatario realiza una búsqueda DNS para recuperar el registro SPF, utiliza el valor en la ruta de retorno del mensaje.

Problemas con la autenticación SPF

Sintaxis - A pesar de ser registros de texto, la sintaxis puede ser complicada al introducir los registros DNS. Si no son precisos, la autenticación fallará, incluso si el mensaje y el remitente son auténticos.

Identificación de direcciones IP autorizadas - Los sistemas compartidos, como las plataformas en la nube, pueden alojar varios servicios con direcciones IP asignadas dinámicamente. Aunque la IP puede ser determinada y autorizada, también puede permitir que cualquier otra persona utilice la misma IP compartida utilizando su registro SPF.

El SPF puede ser falsificado: el SPF utiliza el campo oculto de la ruta de retorno para la autenticación, no el campo "de", que los destinatarios pueden ver claramente. Un pirata informático, en busca de información, puede presentar un válido buscando el dominio y la dirección de correo electrónico en el campo "de", pero tienen su propio correo electrónico como ruta de retorno, utilizando su propio sistema de autenticación para superar las comprobaciones del servidor.

SPF no admite el reenvío de correo electrónico - Un servidor receptor no podrá validar un mensaje reenviado porque el dominio de identificación parece ser el del servidor de reenvío y no el dominio original.

Como ves, lo que antes era un método aceptable es ahora significativamente defectuoso. Proporciona los fundamentos para construir una mayor seguridad general. Sin embargo, como método independiente, no es suficiente con la tecnología actual.

 

DKIM - DomainKeys Identified Mail

DKIM utiliza el cifrado de clave pública/privada para firmar los mensajes de correo electrónico. Verifica que los correos electrónicos fueron enviados desde el dominio y que el correo electrónico no ha sido modificado en tránsito.

Es un método de autenticación más seguro, ya que garantiza que el mensaje no ha sido alterado durante la entrega. Otra ventaja es que la autenticación DKIM sobrevive al reenvío del correo electrónico.

El propietario del dominio crea claves criptográficas en pares: pública y privada. La clave pública se coloca como un registro TXT en el DNS del dominio. Cuando se envía un correo electrónico, se genera un "hash" basado en el contenido del mensaje. Este hash se cifra con la clave privada del dominio y se adjunta a la cabecera del correo electrónico.

El servidor de correo electrónico del destinatario lee la información cifrada utilizando la clave pública alojada en el DNS, y si todo coincide, se concede la autenticación.

Selectores DKIM

Cada dominio puede utilizar varios selectores. Estos valores se utilizan para identificar propiedades únicas, por ejemplo, subdominios, usuarios, ubicaciones y servicios. Cada selector opera utilizando su propia clave pública, renunciando a una clave única y compartida para todas las eventualidades.

Problemas con la autenticación DKIM

Firmas no coincidentes - Una firma DKIM válida podría utilizar un dominio completamente diferente al que aparece en el campo "de". Esto hace que el phishing desde otro dominio de correo electrónico sea un proceso sencillo.

Seguridad de las claves: un hacker que firme mensajes utilizando el dominio de otro usuario podría validar perfectamente sus correos electrónicos utilizando la clave privada de ese dominio.

Implementación y gestión de claves - Las claves largas y más seguras pueden ser problemáticas cuando se aplican al DNS del dominio. Estas largas cadenas de datos se aplican fácilmente de forma errónea, incluso al copiar y pegar.

Para obtener lo mejor de DKIM, es necesario asociarlo con DMARC, poniendo en juego el dominio utilizado en el campo "de". Ahora puedes ver cómo cada sistema depende de su método anterior para crear un sistema de autenticación completo y eficaz.

DMARC - Informe de autenticación de mensajes de dominio y conformidad

Como ya se ha mencionado, DMARC impone el uso del dominio establecido en el campo from para evitar que los hackers y atacantes utilicen dominios alternativos para eludir las comprobaciones de seguridad.

También incluye un mecanismo de informes que permite al remitente decidir qué hacer con los resultados de la autenticación. El registro DMARC controla dónde y cómo los servidores del destinatario envían los informes.

En efecto, DMARC cubre las lagunas entre SPF y DKIM y potencia entrega de correo electrónico. Los spammers ya no pueden hacer un uso indebido de estos dominios protegidos; por lo tanto, la reputación del dominio aumenta, mejorando en todo momento las tasas de entregabilidad.

Aplicación de DMARC

El registro DMARC dicta lo que hay que hacer con los correos electrónicos que no se autorizan. La política tiene tres resultados: no hacer nada, poner en cuarentena o rechazar. Un informe DMARC alerta al titular del dominio sobre la procedencia de los mensajes fallidos, proporcionando información crítica sobre la violación y lo que puede hacer para tomar más medidas de protección.

BIMI - Indicadores de marca para la identificación de mensajes

Se espera que la inclusión de la autenticación de correo electrónico BIMI suponga un aumento de aproximadamente 10% en la participación a través de la entregabilidad, una cifra que no debe tomarse a la ligera.

Dado que este método de autenticación está en sus inicios y todavía está pendiente de ser introducido por muchos proveedores de correo electrónico, hay varios pasos que los usuarios pueden tomar para asegurarse de que están preparados para el gran despliegue cuando finalmente llegue a nuestros servidores.

Una cosa es segura, dado que Google incluye la integración de BIMI con G Suite, debería ser sólo cuestión de tiempo que el resto del mundo se ponga al día.

¿Cómo prepararse para BIMI?

Para activar la autenticación de correo electrónico BIMI, primero debe autenticar sus correos electrónicos con SPF, DKIM y DMARC, asegurando la alineación (el dominio es el mismo en todo momento). La política DMARC debe aplicarse en cuarentena o rechazo, y el DNS del dominio debe tener el registro BIMI correcto.

También tendrá que alojar un archivo de logotipo adecuado como enlace para que la autenticación resultante aparezca en las bandejas de entrada de sus destinatarios. Su logotipo tendrá que estar en el formato SVG correcto y posiblemente un VMC (Certificado de Marca Verificada) para autenticar el archivo.

Autenticación completa para sus campañas de correo electrónico

Hemos aprendido que cada uno de estos métodos por sí solo no proporcionará ningún tipo de solución única para simplificar la vida. Sin embargo, con un poco de trabajo para unir cada uno de los sistemas como uno solo, estarás mucho más seguro en la entrega de tus campañas y mensajes de correo electrónico de lo que podrías ever sin ellos.

Merece la pena el tiempo y el esfuerzo que supone si garantiza la protección de su servicio, de sus abonados y potencia la conectividad y el rendimiento de su marketing.

Limpieza de la lista por parte de Bouncer