Cómo entender la autenticación de correo electrónico y la suplantación de identidad de dominios: SPF, DKIM y DMARC

Su empresa es un blanco para los ataques de suplantación y de suplantación de identidad. Si su correo electrónico no está autenticado, los atacantes pueden suplantar su dominio fácilmente. Sin autenticación, cualquier persona en Internet puede enviar un correo electrónico haciéndose pasar por usted.

Pruebe Proton Mail gratis durante 14 días Solicitar una demostración

¿Qué significa la autenticación de correo electrónico?

La autenticación de correo electrónico es un conjunto de estándares técnicos que verifican que el remitente de un correo electrónico es quien dice ser. Se desarrolló porque el protocolo de correo electrónico original (Simple Mail Transfer Protocol o SMTP) no tiene ninguna función integrada para evitar una dirección de remitente falsificada.

Para comprender la autenticación, es útil saber que un correo electrónico tiene dos direcciones de remitente:

1. El remitente del sobre (RFC 5321)

También conocida como dirección MAIL FROM, remitente P1 o ruta de retorno (return-path), esta es la dirección técnica que usan los servidores de correo en segundo plano para el enrutamiento y la entrega.

Propósito: Le indica al servidor receptor a dónde enviar mensajes automáticos, como notificaciones de rebote o informes de no entrega (NDR).
Visibilidad: Por lo general, los destinatarios nunca ven esta dirección en su cliente de correo electrónico; forma parte del "sobre" oculto del mensaje.
Rol de seguridad: Esta es la dirección verificada por el SPF.

2. El remitente del encabezado (RFC 5322)

También conocida como dirección De: o remitente P2, esta es la dirección visible en su bandeja de entrada (por ejemplo, De: su-banco@ejemplo.com).

Propósito: Esta es la dirección "amigable" diseñada para la interacción humana, que le informa al destinatario de parte de quién parece provenir el mensaje.
Visibilidad: Esta es la única dirección que ve la mayoría de los usuarios cuando abre su bandeja de entrada.
Rol de seguridad: Esta dirección es la que los atacantes suplantan con mayor frecuencia, y es el enfoque principal de las verificaciones de alineación de DMARC.

Este diseño hace que la suplantación de identidad por correo electrónico (falsificar la dirección De:) sea sencilla. Un atacante puede usar un remitente del sobre válido que controle para superar las verificaciones básicas del servidor, mientras usa un remitente del encabezado fraudulento para engañar al destinatario. Los protocolos de autenticación de correo electrónico como DMARC solucionan esto al requerir que los dominios de estos dos remitentes coincidan.

¿Por qué la autenticación de correo electrónico es esencial para las empresas?

Para las empresas, implementar la autenticación de correo electrónico es una defensa innegociable. Esto:

Evita la suplantación de identidad y la suplantación: impide que los atacantes envíen correos electrónicos fraudulentos desde su dominio.

Protege la reputación de su marca: evita que su marca se asocie con spam y estafas de suplantación.

Mejora la capacidad de entrega de los correos electrónicos: les indica a otros proveedores de correo que usted es un remitente legítimo, lo que mantiene sus correos electrónicos fuera de la carpeta de spam.

Los 3 métodos principales de autenticación de correo electrónico

Una defensa sólida se basa en tres estándares que funcionan en conjunto: SPF, DKIM y DMARC. Cada uno se basa en el anterior para crear una defensa multicapa.

1. Sender Policy Framework (SPF)

Sender Policy Framework (SPF) es una lista pública de todos los servidores (por dirección IP) que tienen permitido enviar correos electrónicos para su dominio.

Cómo funciona

Usted publica la lista como un registro DNS TXT para su dominio. Cuando un servidor de correo receptor recibe un mensaje, compara la dirección IP del servidor remitente con esa lista. Si la dirección IP está en la lista, el mensaje supera la verificación de SPF; de lo contrario, falla.

La debilidad

El SPF solo verifica la dirección de envío técnica que usan los servidores de correo, no la dirección De: visible que las personas ven en su bandeja de entrada. Esta brecha permite a los suplantadores superar las verificaciones de SPF. Debido a que SPF es un protocolo basado en rutas, a menudo también falla cuando un correo electrónico se reenvía a través de una lista de correo o un servidor asociado. Dado que el servidor de reenvío no está en su lista autorizada, la verificación falla.

2. DomainKeys Identified Mail (DKIM)

DomainKeys Identified Mail (DKIM) agrega una firma digital única e inalterable al contenido del mensaje, incluido el encabezado De:.

Cómo funciona

Esta firma se crea con una clave privada que solo su servidor conoce. La clave pública correspondiente se publica en su DNS. Los servidores receptores usan esta clave pública para verificar la firma. Si es válida, demuestra que el correo electrónico provino de su dominio y que su contenido no se modificó durante el tránsito.

La debilidad

Al igual que SPF, DKIM no detiene inherentemente la suplantación de identidad. La firma demuestra que el mensaje es auténtico para el dominio que lo envió, no necesariamente para el dominio que se muestra en la dirección De:.

3. Autenticación, informes y conformidad de mensajes basados en dominios (DMARC)

La autenticación, informes y conformidad de mensajes basados en dominios (DMARC) es la política que vincula SPF y DKIM. DMARC es la regla que indica a los servidores de correo que solo confíen en los correos electrónicos si la dirección De: que usted ve coincide con las comprobaciones de autenticación en segundo plano. Cierra la vulnerabilidad que los atacantes aprovechan con SPF o DKIM por sí solos.

Cómo funciona

DMARC exige que el dominio de la dirección De: visible coincida con el dominio utilizado en la verificación de SPF o DKIM aprobada. Este paso vital conecta la dirección del remitente visible con la verificación técnica.

También indica a los servidores qué hacer: su política DMARC (p) es lo que indica a los servidores receptores cómo gestionar los fallos:

p=none (Monitoreo): No realizar ninguna acción. Solo le envía informes sobre quién envía correos electrónicos desde su dominio.
p=quarantine (Cuarentena): Enviar los correos electrónicos fallidos a la carpeta de spam.
p=reject (Rechazar): Bloquear por completo los correos electrónicos fallidos.

Proteja su empresa de la suplantación y la suplantación de identidad de dominio

Más del 90 % de todas las vulneraciones de datos comienzan con un ataque de suplantación o de suplantación de identidad. Implementar SPF, DKIM y DMARC es su primera línea de defensa, pero debe complementarse con un proveedor de correo electrónico que sea seguro por defecto.

Proton Mail for Business está diseñado para bloquear estas amenazas antes de que lleguen a su equipo. Nuestra detección avanzada contra la suplantación de identidad, la tecnología PhishGuard y el cifrado de extremo a extremo ofrecen una defensa integral que es sencilla de gestionar.

Pruebe Proton Mail gratis durante 14 días Solicitar una demostración

Cómo configurar la autenticación de correo electrónico (paso a paso)

Proteger su dominio implica agregar algunos registros a sus ajustes del Sistema de nombres de dominio (DNS), los cuales son gestionados por su registrador de dominios (como GoDaddy, Namecheap o Cloudflare).

Paso 1

Cree su registro SPF

Primero, identifique todos los servicios que utiliza para enviar correos electrónicos (por ejemplo, su proveedor de correo electrónico, un servicio de boletines informativos como Mailchimp o un CRM). Su registro SPF debe incluirlos a todos. Por ejemplo, el registro SPF de Proton Mail es v=spf1 include:_spf.proton.me mx ~all. Usted agregaría esto como un registro TXT en sus ajustes de DNS.

Paso 2

Configure su firma DKIM

En su panel de administración de Proton Mail (o de otro proveedor), navegue hasta los ajustes de dominio. El sistema generará una clave DKIM única para usted. El proceso de configuración para DKIM en Microsoft 365, Google Workspace o Proton es similar: usted copia la clave generada y crea un nuevo registro TXT en su DNS según las instrucciones.

Paso 3

Implemente su política DMARC

Agregar la política DMARC (p) es el paso final. Debe implementarse por etapas para evitar el bloqueo de sus propios correos electrónicos legítimos:

Comience con p=none: cree un registro DMARC con una política de p=none. Este modo de monitoreo le permite recibir informes sobre fallos de correo electrónico sin afectar su entrega de correo.
Analice los informes: utilice los informes DMARC para encontrar cualquier servicio legítimo que no esté superando las comprobaciones y agréguelos a sus registros SPF y DKIM.
Pase a p=quarantine: una vez que esté seguro, cambie su política a p=quarantine. Esto enviará los correos electrónicos fallidos a la carpeta de spam.
Pase a p=reject: tras un mayor monitoreo, pase a p=reject para bloquear la entrega de todos los correos electrónicos fraudulentos.

Para obtener instrucciones de configuración detalladas, que incluyen capturas de pantalla y valores de registro, consulte la guía de soporte de Proton.

Más allá de lo básico: ARC y BIMI

Una vez que sus registros SPF, DKIM y DMARC estén configurados, existen dos estándares opcionales que pueden aportar un valor adicional:

Cadena de recepción autenticada (ARC)

Mantiene intactos sus resultados de autenticación cuando se reenvían correos electrónicos (como a través de listas de correo), lo que a menudo invalida el SPF o el DKIM.

Indicadores de marca para la identificación de mensajes (BIMI)

Permite que el logotipo oficial de su empresa se muestre junto a sus correos electrónicos en las bandejas de entrada compatibles. Piense en ello como una "marca de verificación" para el correo electrónico. Para cumplir los requisitos, usted necesita una política DMARC sólida (de cuarentena o de rechazo).

Cómo Proton Mail protege el correo electrónico de su empresa

Configurar la autenticación de correo electrónico es fundamental, pero es solo una parte de una estrategia de seguridad completa. Proton Mail añade capas de protección adicionales para mantener su empresa a salvo de amenazas avanzadas.

Detección avanzada de suplantación de identidad

Proton Mail comprueba automáticamente SPF, DKIM y DMARC en todos los mensajes entrantes. Los correos electrónicos que no superan estas comprobaciones se marcan claramente, lo que reduce el riesgo de suplantación de identidad.

PhishGuard

PhishGuard identifica enlaces sospechosos, patrones y otras señales de advertencia que los filtros básicos suelen pasar por alto, lo que ayuda a bloquear los intentos de suplantación antes de que lleguen a los empleados.

Cifrado de extremo a extremo y de acceso cero

Los correos electrónicos entre usuarios de Proton se cifran automáticamente de extremo a extremo. Todos sus datos se almacenan con cifrado de acceso cero, lo que significa que ni siquiera nosotros podemos leer sus correos electrónicos.

Confirmación de enlaces

Cuando los usuarios hacen clic en un enlace de un correo electrónico, Proton Mail muestra una vista previa completa de la URL de destino, lo que ayuda a evitar clics accidentales en sitios maliciosos.

Pruebe Proton Mail gratis durante 14 días Solicitar una demostración

Asegure sus comunicaciones empresariales

Proteja a su empresa de la suplantación, la suplantación de identidad y las vulneraciones de datos con el servicio de correo electrónico que prioriza la seguridad y la privacidad. Implemente una autenticación de correo electrónico sólida y benefíciese del cifrado de extremo a extremo y de la protección avanzada contra la suplantación, todo en una solución sencilla y segura.

Pruebe Proton Mail for Business Solicitar una demostración

Preguntas frecuentes

¿Cuál es la diferencia entre SPF y DKIM?: El SPF comprueba quién tiene permiso para enviar correos electrónicos en nombre de su dominio mediante la verificación del servidor de envío.
El DKIM utiliza una firma digital para comprobar que el mensaje en sí no haya sido manipulado.
Ambos resuelven problemas distintos, por lo que necesita los dos (y DMARC) para contar con una defensa completa.
¿Cómo comprueban la autenticación los servidores de correo?: Cuando un servidor de correo recibe un mensaje, busca los registros SPF, DKIM y DMARC del remitente. Registra los resultados (como spf=pass o dkim=fail) en un encabezado oculto llamado Authentication-Results. Su proveedor de correo electrónico utiliza esa información, junto con muchas otras señales, para decidir si entrega el mensaje en su bandeja de entrada, lo marca como spam o lo bloquea.
¿Cuánto tiempo tarda en funcionar DMARC?: El registro DNS suele estar activo en unas pocas horas. Pero implementar DMARC de manera segura lleva tiempo: se comienza con una política de solo monitoreo (p=none), se analizan los informes, se corrigen los remitentes legítimos que fallen y, luego, se pasa gradualmente a políticas más estrictas (p=quarantine o p=reject). Este proceso suele tardar varias semanas o meses.
¿Qué pasa si los estafadores suplantan mi correo electrónico?: DMARC incluye una función de informes que le avisa si alguien está intentando suplantar la identidad de su dominio. Si descubre esto, debe alertar a su personal, informar a sus clientes y denunciar la estafa ante las autoridades y las organizaciones contra la suplantación, como la FTC o el Anti-Phishing Working Group.
¿Puede esto detener todos los ataques de suplantación?: Ninguna herramienta por sí sola lo detiene todo. SPF, DKIM y DMARC son excelentes para bloquear la suplantación de identidad directa del dominio. Pero los atacantes también utilizan trucos como dominios similares o cuentas comprometidas. Por eso, la autenticación debe formar parte de una defensa por niveles, junto con la capacitación de los usuarios y funciones de protección avanzadas como PhishGuard de Proton.