Guía de autenticación de email: todo lo que debes saber sobre los protocolos SPF, DKIM y DMARC

Si hay algo que preocupa a cualquier profesional que envía campañas por correo electrónico es caer en la maldita temida carpeta de spam.

¿Verdad que a ti también te preocupa?

Si caes en spam, tus emails nunca serán abiertos y por tanto tus ventas se verán afectadas.

Y nadie quiere perder ventas. Menos cuando el email marketing es el canal más rentable que existe.

¿Cómo puedes evitar caer en el gran agujero negro = carpeta de spam?

Muy fácil: activando la autenticación del correo electrónico.

Vamos a ver en detalle en qué consiste, qué beneficios tiene y qué debes tener en cuenta para aplicarlo a tu estrategia de email marketing.

¿Por qué debes autenticar tu correo electrónico?

Básicamente, la autenticación de email sirve para demostrar a los Proveedores de Servicios de Internet (ISP) que las campañas de correo electrónico que envías son legítimas y deben tener lugar en las bandejas de entrada de los destinatarios.

Al autenticar tu email estás verificando la identidad real de tu dominio y permitiendo que tu plataforma de email marketing pueda usar tu dominio en los envíos. De esta forma, evitarás que spammers suplanten tu identidad y utilicen tu correo electrónico para enviar correos sospechosos y por tanto engañar a la gente que abre esos emails.

Seguro que estás al día de lo peligroso que es el phishing y todos los fraudes que hay precisamente porque los spammers se apoderan de las identidades de empresas perfectamente legítimas. Esto es un peligro porque arruina tu reputación de cara a la entregabilidad de tus emails y la confianza que proyecta tu marca.

Por otro lado, utilizar direcciones del tipo @gmail.com o @hotmail.com como remitente en tus emails va a estar cada vez más penalizado.

Entiende los protocolos de autenticación de email más importantes

La autenticación del email consiste en configurar un conjunto de normas o protocolos.

Los servidores de correo electrónico receptores podrán consultar estas normas al autenticar los correos electrónicos entrantes. 

Si el mensaje parece auténtico (y mandas contenido de calidad), el servidor lo entregará en la bandeja de entrada del destinatario. No obstante, si el mensaje no supera esta verificación, podría ser rechazado, colocado en cuarentena o directamente enviado a la carpeta de correo no deseado.

Existen distintas maneras de llevar a cabo la autenticación del email. 

Cada uno tiene su propio procedimiento de configuración y aporta una perspectiva única a la autenticación. 

No obstante, por lo general, se establecen normas para verificar la autenticidad de los correos electrónicos enviados desde un dominio. 

Nota: recuerda que siempre es recomendable utilizar un correo electrónico corporativo que contenga tu dominio para mejorar la entregabilidad.

Para autenticar dicho correo, se deben configurar los servidores y la infraestructura de correo electrónico para implementar estas normas, y luego se registrarán en los registros del Sistema de Nombres de Dominio (DNS) correspondientes a cada dominio de origen.

Es importante que entiendas que cada proveedor de email marketing o ESP ofrece diferentes formas para configurar estos protocolos que vamos a ver a continuación.

No obstante, afortunadamente, los estándares de autenticación del email garantizan que todos los clientes y proveedores de correo electrónico hablen el mismo idioma y por tanto verificar la procedencia de dichos mensajes.

Soy consciente que todo esto puede sonar muy técnico pero no te preocupes que intentaré explicarte cada protocolo de autenticación de email de la forma más sencilla posible para que los entiendas.

SPF (Sender Policy Framework)

Imagina que el SPF es como una lista de personas permitidas para enviar correo desde tu casa. Si alguien más intenta enviar un mensaje diciendo que es de tu casa, el SPF ayuda a verificar si está autorizado.

¿Qué hace el SPF?

Los registros SPF enumeran todas las direcciones IP de todos los servidores que pueden enviar correos electrónicos desde el dominio, al igual que un directorio de empleados enumera los nombres de todos los empleados de una organización.

Después de enviar un correo electrónico, el servidor del destinatario puede comprobar el registro SPF en su Sistema de Nombres de Dominio (DNS). Mediante la búsqueda SPF, pueden verificar si el correo electrónico procede de un servidor remitente autorizado.

El registro SPF que recibe el servidor contiene registros DNS TXT. Cada registro está vinculado a un dominio específico.

Nota: a día de hoy, si eres usuario de una plataforma de email marketing, ya no necesitas configurar tu registro SPF, ya que la plataforma utiliza el suyo propio. ¡Una cosa menos!

DKIM (DomainKeys Identified Mail)

Sería algo así como ponerle un sello único a tu carta. Si alguien intenta cambiar algo en el camino, al destinatario le llegaría sin ese sello y sabría que algo no está bien.

¿Qué hace el DKIM?

Añade una firma digital al mensaje para confirmar que el contenido no ha sido alterado y que realmente proviene del dominio declarado.

Al igual que SPF, DKIM utiliza registros DNS TXT para verificar la identidad del remitente. La gran diferencia es que DKIM utiliza criptografía en lugar de direcciones IP. 

DKIM se basa en dos claves de cifrado: una pública y otra privada:

1. La clave privada sólo es accesible para el propietario del dominio. Crea una firma digital que se adjunta a la cabecera del correo electrónico. Esta firma sirve para autenticar sus mensajes salientes.
2. La clave pública es accesible en el servidor DNS del remitente. Los destinatarios utilizan la clave pública para verificar la firma DKIM en la cabecera del mensaje.

Se puede decir que la autenticación DKIM es más segura que la SPF, no obstante funcionan mejor juntas para proteger al remitente y al destinatario del correo electrónico. 

Así es que si puedes, configura las dos. Se puede decir que SPF y DKIM es el equivalente de “verificación de dos factores” para la autenticación del correo electrónico.

En Acumbamail,  configurar el DKIM es tan sencillo como añadir un registro CNAME en tu proveedor de hosting, aquí te explicamos cómo hacerlo.

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

Si SPF y DKIM son como candados, DMARC es como un conjunto de reglas que dice qué hacer si no se pueden abrir correctamente los candados. Puede ser bloquear el mensaje o enviar un informe al propietario del dominio.

¿Qué hace el protocolo DMARC? 

Combina SPF y DKIM para proporcionar una política más fuerte de autenticación y establece reglas sobre cómo el servidor de correo electrónico receptor debe reaccionar cuando recibe un mensaje que parece proceder de tu dominio pero que no cumple los requisitos de autenticación SPF o DKIM.

Para crear un registro DMARC, primero debes disponer del protocolo DKIM. Si el correo electrónico pasa las comprobaciones de SPF y DKIM, se autentica. Si no, puedes establecer parámetros para determinar cómo debe gestionar el servidor el correo electrónico mediante el protocolo DMARC.

Este podría ser un ejemplo de un registro DMARC que utiliza un registro TXT:

v=DMARC1;p=reject;pct=100;rua=mailto:yourdomain.com

Para que entiendas qué significa el registro anterior:

• “v” es la versión de DMARC y es obligatoria.
• “p” indica qué deben hacer los servidores si no supera la autenticación. Si se pone “reject” quiere decir que rechaza el mensaje = lo rebota.
• “pct” indica el porcentaje de mensajes sin autenticar que están sujetos a la política de DMARC. 100 = 100%
• “rua” es la dirección a la que se enviarán los informes de actividad de DMARC.

Si quieres entender todos los parámetros que puedes poner a la hora de configurar el protocolo DMARC, échale un vistazo a este artículo.

Nota: te recomendamos poner el DMARC las primeras semanas en None, luego en Quarentine y, cuando ya confirmes que está todo bien, en Reject.

Los nuevos requisitos de Gmail y Yahoo para prevenir el spam

Google y Yahoo van a implementar a partir de febrero del 2024 nuevos requisitos para remitentes masivos de correos electrónicos.

Se trata de implementar buenas prácticas para contrarrestar fraudes en línea y la recepción de mensajes no deseados. ¿Cómo? Principalmente mediante la implementación de protocolos de seguridad y tácticas destinadas a reducir la presencia de correo no solicitado.

No quiero detenerme mucho en ello pero te dejo los requisitos más importantes que debes cumplir:

Estos son los puntos más importantes:

• Tienes que autenticar tu dominio bien con SPF y DKIM
• Evita usar correos gratuitos como @gmail
• Necesitas configurar un registro DMARC 
• Mantener la tasa de spam por debajo del 0,3% 
• Que tu plataforma de email marketing tenga implementada la cabecera de baja One-Click (Acumbamail la tiene desde el 1 de enero)

Aquí puedes encontrar más información sobre estos nuevos requisitos.

En resumen

No eches a perder los esfuerzos que pones en tus campañas de email marketing para que terminen en la bandeja de spam.

Evita esto autenticando tu email y consiguiendo una buena reputación. 

Recuerda que, si usas una plataforma de email marketing para tus envíos, solamente tendrás que configurar dos de los protocolos:

• DKIM: esta norma agrega una firma cifrada a la cabecera de tus mensajes de marketing.
• DMARC: indica al servidor sobre cómo responder ante un mensaje que pretende provenir de tu dominio pero no pasa la autenticación SPF o DKIM.

Espero que te haya servido para ponerte ahora mismo a implementarlo en tus registros DNS.