Enviar correos electrónicos solía ser un mecanismo sencillo, pero a medida que se volvió más abusado y difícil de distinguir entre correos legítimos y spam, se introdujeron diferentes contramedidas.

Tecnologías de verificación del remitente

Todas las contramedidas actuales se basan en el supuesto de que tienes control sobre el DNS del dominio desde el cual envías correos electrónicos.

SPF (Sender Policy Framework)

No tener un registro SPF casi con certeza hará que tus correos terminen directamente en la carpeta de spam del destinatario, si es que llegan a ser entregados. En muchos casos, el servidor receptor simplemente los descartará.

SPF define qué servidores están autorizados para enviar correos electrónicos utilizando direcciones de un dominio específico. Es un buen punto de partida, pero presenta algunas debilidades evidentes:

1. A menudo, se utilizan servicios como SendGrid, Mailchimp (Mandrill) u otros similares para enviar correos electrónicos. Dado que un registro SPF se define públicamente en el DNS, es fácil averiguar qué servicio está autorizado a enviar correos para un dominio en particular, permitiendo que cualquier persona se registre en el mismo servicio y envíe correos en nombre del dominio.
2. No hay nada en el registro SPF que indique al servidor receptor qué hacer si un correo electrónico no supera la verificación, lo que puede generar comportamientos inconsistentes.

DKIM (DomainKeys Identified Mail)

DKIM aborda algunas de las deficiencias de SPF y, juntos, se acercan más al objetivo de eliminar el spam.

DKIM consiste en un par de claves, con una clave pública publicada en el DNS y otra privada utilizada para firmar digitalmente todos los mensajes salientes. De este modo, el servidor receptor puede verificar la autenticidad del correo electrónico utilizando la clave pública.

Esta tecnología elimina el riesgo de que alguien suplante un remitente utilizando el mismo servicio de correo electrónico, ya que no tendrá acceso a la clave privada.

Sin embargo, al igual que SPF, DKIM no instruye al servidor receptor sobre cómo actuar en caso de que un correo falle la autenticación.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

Con un nombre complicado, DMARC resuelve la falta de directrices sobre cómo actuar cuando un correo no pasa las verificaciones de SPF o DKIM. Es decir, define qué debe hacer el servidor receptor si recibe mensajes que, por cualquier razón, fallan alguna de las políticas mencionadas.

Cuando todo funciona correctamente, DMARC se configura para rechazar todos los mensajes que no superen las verificaciones, eliminando en teoría todos los intentos de suplantación de identidad desde un dominio específico.

Sin embargo, mientras se configura, se recomienda utilizarlo en modo de monitoreo para verificar el correcto funcionamiento del sistema de entrega de correos. Esto evita el riesgo de pérdida de correos en caso de una configuración incorrecta.

DMARC suele utilizarse en combinación con un servicio de reportes, como DMARC Digests, que permite obtener información sobre los correos que pasan o fallan las verificaciones de SPF y DKIM, así como conocer su origen.

BIMI (Brand Indicators for Message Identification)

Si bien las tecnologías anteriores ayudan a garantizar que solo los correos legítimos lleguen al destinatario desde tu dominio, existen otros escenarios en los que no son efectivas.

Es común que atacantes envíen correos en nombre de un miembro del equipo o del CEO utilizando una dirección de correo completamente diferente. Debido a la forma en que funcionan los clientes de correo electrónico, a menudo no es obvio que el correo no es legítimo, y un mensaje bien escrito puede convencer al destinatario de que el remitente es quien dice ser. La única forma de verificarlo es revisar la dirección de correo electrónico, lo cual puede ser complicado si el atacante ha registrado un dominio muy similar al real.

Aquí es donde entra BIMI. Agregar un registro BIMI a tu dominio no solo permite que un logotipo aparezca junto al correo en el cliente del destinatario, sino que también certifica que dicho logotipo es una marca registrada. Es decir, no es suficiente con agregar el mismo logotipo a otro dominio, ya que el logotipo y la marca deben ser verificados manualmente antes de emitir el certificado.

Una vez emitido el certificado y agregado el registro al DNS, el logotipo aparecerá junto a los correos electrónicos legítimos del dominio en la mayoría de los principales clientes de correo electrónico.

Este esfuerzo cuenta con el respaldo de grandes nombres en la industria tecnológica, como Google, Mailchimp, Validity y SendGrid, y cada vez más servicios lo están adoptando. Más información sobre BIMI.

Si bien el estándar BIMI permite agregar un logotipo sin un certificado adjunto, la mayoría de los servicios no mostrarán el logotipo en esos casos, ya que no se puede autenticar. Por ello, es importante contar con una marca registrada existente al implementar BIMI.

¡Podemos Ayudarte!

Aunque esto pueda parecer complicado, tenemos amplia experiencia configurando correctamente estas tecnologías, obteniendo la certificación BIMI y resolviendo problemas relacionados.

Si enfrentas desafíos similares, contáctanos. Nos especializamos en desbloquear el potencial de tu infraestructura, asegurando que puedas avanzar con confianza hacia el futuro.