¿Qué es DKIM y SPF? ¿Y cómo configurarlo?

Cathy-Dawiskiba-CMO-at-Woodpecker

Esto es serio. Se trata de la entregabilidad de su correo electrónico. Sé por experiencia propia que estos acrónimos pueden sonar desconocidos, asustar y parecer totalmente desinteresados. O tal vez le suenen, pero nunca se preocupó lo suficiente como para comprobar lo que realmente son.

En cualquier caso, es hora de aprender un poco sobre qué es SPF y DKIM y cómo configurarlos en los registros DNS de tu servidor de correo, si quieres tener un mejor control sobre la entregabilidad de tu correo electrónico. También te mostraré dónde puedes comprobar en Woodpecker si están configurados correctamente.

Haré todo lo posible para explicarlo con palabras sencillas, que serán entendidas no sólo por los programadores.

¿Qué es el SPF? ¿Cómo funciona el SPF?

En pocas palabras, Sender Policy Framework (SPF) es un mecanismo de seguridad creado para evitar que los malos envíen correos electrónicos en su nombre. El mecanismo tiene que ver con la comunicación entre servidores DNS… ¡y aquí es donde todo empieza a dar miedo! Pero que no cunda el pánico. Intentaré hacerlo lo más sencillo posible.

Digamos que has enviado un correo electrónico a Bob. Pero, ¿cómo sabe el servidor DNS de Bob que el correo electrónico ha sido enviado por ti? El problema es que no lo sabe. A no ser que tengas configurado el SPF en tu servidor DNS.

El SPF define qué direcciones IP pueden utilizarse para enviar correos electrónicos desde tu dominio. Así que imaginemos dos posibles “conversaciones” de servidor. Para hacerlo todo más fácil, vamos a suponer que tu nombre es Mike.

Escenario 1 – No tienes configurado el SPF.

El servidor de Mike: Hola, servidor de Bob. Tengo un nuevo mensaje de Mike.
Servidor de Bob: Hola servidor de Mike. ¿Cuál es tu SPF?
Servidor de Mike: Sí, sobre el SPF… A quién le importa, en realidad. No tengo ninguno. Confía en mí, es de Mike.
Servidor de Bob: Si no tienes SPF, no puedo estar seguro de que fue Mike quien envió esto. Dame las IPs permitidas de Mike, para que pueda compararlas con las tuyas.
Servidor de Mike: No tengo la lista de IPs permitidas de Mike.
Servidor de Bob: Entonces no quiero tu mensaje. Entrega denegada. Lo siento, amigo…

Escenario 2 – Sí tienes configurado el SPF.

Servidor de Mike: Hola, servidor de Bob. Tengo un nuevo mensaje de Mike.
Servidor de Bob: Hola servidor de Mike. ¿Cuál es tu SPF?
Servidor de Mike: Ahí tienes, aquí está mi SPF. Hay toda una lista de IPs que el propio Mike declaró como las que se pueden utilizar en su nombre.
Servidor de Bob: Ok, déjame ver… Y el mensaje que tienes para mi es enviado desde la IP 64.233.160.19. Ok, está en la lista. Todo parece estar bien. Dame el mensaje, se lo mostraré a Bob. Gracias.

Mis disculpas a todos los lectores expertos en tecnología de este blog por esta ignorante simplificación. Por favor, perdonadnos a los tontos, y tened en cuenta que os envidiamos vuestras mentes superanalíticas.

En cualquier caso, la moraleja de estos dos breves diálogos es: configure su FPS. Si no lo haces, puedes parecer un mal tipo, y no todos tus correos electrónicos serán entregados.

¿Qué aplicaciones debe incluir en su SPF?

La idea general es asegurarse de que todas las aplicaciones que envían correos electrónicos en su nombre (y que utilizan su propio SMTP, no el suyo) están incluidas en su SPF. Por ejemplo, si utilizas Google Apps para enviar correos electrónicos desde tu dominio, debes incluir a Google en tu SPF. Aquí tienes las instrucciones de Google sobre cómo hacerlo.

Pero es importante asegurarse, si Google es la única aplicación que debes “permitir” en tu SPF. Por ejemplo, utilizamos HelpScout para gestionar nuestros correos electrónicos de asistencia y MailChimp para enviar nuestros boletines. Incluimos ambas en nuestro SPF.

¿Debería incluir también a Woodpecker en mi SPF?

No. Como he mencionado, debes recordar poner en tu registro SPF las aplicaciones que envían correos electrónicos en tu nombre, pero que utilizan su propio SMTP. Woodpecker utiliza su SMTP para enviar sus correos electrónicos, por lo que es más un cliente de correo electrónico en línea con superpoderes que una aplicación de envío masivo de correos electrónicos.

Dicho esto, la entregabilidad de los correos electrónicos enviados desde Woodpecker depende de la reputación de tu dominio. Configurar el SPF y el DKIM te ayudará a proteger la buena reputación de tu dominio y, por tanto, a mejorar la entregabilidad de tus correos electrónicos.

¿Cómo configurar el registro SPF en su servidor paso a paso?

El primer paso es comprobar cuál es su registro SPF actual. Puede hacerlo utilizando herramientas como

MxToolbox

Google Apps Toolbox

Cuando escribas tu dominio allí (por ejemplo, yo escribiría woodpecker.co), las herramientas realizarán algunas pruebas y te mostrarán tu SPF actual, o una notificación de que aún no se ha configurado.

¿Cuáles son los siguientes pasos?

Dependiendo del host de tu dominio, los pasos serán diferentes. Básicamente, se trata de pegar una línea de texto correctamente estructurada en el lugar adecuado de la consola.

Por ejemplo, si utilizas Google Apps para enviar todos los correos electrónicos desde tu dominio, la línea tendría el siguiente aspecto

“v=spf1 include:_spf.google.com ~all”

The “v=spf1

del registro se llama versión, y las que vienen después se llaman mecanismos.

Veamos ahora qué significa exactamente cada parte.

  1. v=spf1 este elemento identifica el registro como un SPF
  2. include:_spf.google.com este mecanismo incluye los servidores de correo que están autorizados
  3. ~este indica que si se recibe un correo electrónico de un servidor no autorizado (no incluido en el mecanismo “include:”), se etiqueta como fallo suave, lo que significa que se puede dejar pasar, pero podría marcarse como spam o sospechoso.

Pero si utilizas más aplicaciones (por ejemplo, algo para enviar tu boletín de noticias, algo para enviar tus mensajes de soporte, etc.), la línea será un poco más larga, porque tendrás que incluir todas las demás aplicaciones en ella. O si no utilizas Google Apps sino un servidor de otro host, por ejemplo, GoDaddy, la línea tendrá un aspecto diferente.

A continuación te explicamos cómo configurar el SPF para los hosts de dominio más comunes:

O puedes ver esta guía paso a paso en la que nuestra Jefa de Soporte, Julia, explica cómo hacerlo:


Si estás usando o probando Woodpecker y no estás seguro de si tu SPF está bien configurado, puedes comprobarlo directamente en la aplicación: ve a CONFIGURACIÓN > CUENTAS DE CORREO > ENTREGABILIDAD (en el lado izquierdo) o ponte en contacto con nosotros en support@woodpecker.co para obtener ayuda individual.

¿Qué es DKIM?

El estándar DomainKeys Identified Mail (DKIM) se ha creado por la misma razón que el SPF: para evitar que los malos se hagan pasar por un remitente de correo electrónico. Es una forma de firmar adicionalmente sus correos electrónicos de manera que el servidor del destinatario pueda comprobar si el remitente era realmente usted o no.

Al configurar DKIM en tu servidor DNS, estás añadiendo una forma adicional de decir a tus receptores “sí, soy yo quien envía este mensaje”.

how to set up dkim and spf

La idea se basa en cifrar y descifrar la firma adicional, puesta en la cabecera de su mensaje. Para que eso sea posible, necesitas tener dos claves

  • la clave privada (que es única para tu dominio y está disponible exclusivamente para ti. Te permite cifrar tu firma en el encabezado de tus mensajes).
  • la clave pública (que añades a tus registros DNS utilizando el estándar DKIM, para permitir que el servidor de tu destinatario la recupere y descifre tu firma oculta en la cabecera de tu mensaje).
Image result for direwolf seal

Fíjese en Juego de Tronos para entender mejor el concepto de DKIM. Ned Stark envía un cuervo con un mensaje al rey Robert. Cualquiera podría coger un papel, escribir un mensaje y firmarlo Ned Stark. Pero hay una forma de autentificar el mensaje: el sello. Ahora, todos saben que el sello de Ned es un lobo huargo (esa es la clave pública). Pero sólo Ned tiene el sello original y puede ponerlo en sus mensajes (esa es la clave privada).

Establecer DKIM es sólo poner la información sobre la clave pública en los registros de su servidor. También es un registro txt que hay que poner en el lugar correcto.

Una vez que lo hayas configurado, cada vez que alguien reciba un correo tuyo, el servidor del receptor intentará descifrar tu firma oculta utilizando la clave pública. Si tiene éxito, esto autenticará adicionalmente su mensaje y, en consecuencia, aumentará la capacidad de entrega de todos sus correos electrónicos.

¿Cómo configurar el registro DKIM en su servidor paso a paso?

En primer lugar, debe generar la clave pública. Para ello, debe acceder a la consola de administración de su proveedor de correo electrónico. Los siguientes pasos pueden ser diferentes dependiendo de tu proveedor de correo electrónico.

Si utilizas Google Apps para enviar tus correos electrónicos, aquí tienes las instrucciones paso a paso. Los usuarios de correo electrónico de Google Apps deben saber que, por defecto, las firmas DKIM están desactivadas, por lo que deben activarlas manualmente en su consola de administración de Google.

Cuando tengas la clave pública, coge el registro txt generado y pégalo en el lugar adecuado en tus registros DNS.

how to add dkim to a domain

Por último, tienes que activar la firma de correo electrónico para empezar a enviar correos electrónicos que incluyan tu firma cifrada con tu clave privada. Si utilizas Google Apps para enviar tus correos electrónicos, te explicamos cómo hacerlo.

A continuación, te explicamos cómo configurar DKIM en algunos de los otros hosts de dominio:

Para más detalles, mira una guía en vídeo que explica cómo hacerlo:

 

Si actualmente usas Woodpecker y no tienes una persona de TI a la que pedir ayuda con la configuración de SPF y DKIM, puedes contactar con nosotros en [email protected] para obtener ayuda individual.

Si quieres comprobar si tus SPF y DKIM están bien configurados, puedes hacerlo en la aplicación: ve a CONFIGURACIÓN > CUENTAS DE CORREO > ENTREGA (en el lado izquierdo).

Configure el SPF y el DKIM y mejore su capacidad de entrega

Si envías muchos correos electrónicos, ya sea para marketing o para ventas entrantes o salientes, la reputación de tu dominio es crucial y debes cuidarla muy bien. No quieres que tu dominio entre en una lista negra y que tus correos electrónicos acaben en el spam. Configurar correctamente los registros SPF y DKIM en tu servidor DNS es un paso necesario para la seguridad de tu dominio y la alta entregabilidad de tus mensajes.

Configurarlo puede parecer complicado, pero sin duda merece la pena el esfuerzo. Si yo fuera tú, iría a mi cuenta de Woodpecker y comprobaría si mi SPF y DKIM están bien configurados ahora mismo o pediría a mis informáticos que lo hicieran (si no eres usuario de Woodpecker). Y si resulta que la respuesta es “no”, les pediría que me ayudaran. Y no dejaría que me dieran largas. No con esto.

Consulta también estos cuatro posts sobre la entregabilidad del correo electrónico: