5 métodos de autenticación de correo electrónico para evitar el SPAM

La autenticación de correo electrónico es fundamental para que tu mensaje llegue a la bandeja de entrada de tu destinatario, sin ser categorizado como spam

Frecuentemente, descuidamos la seguridad del correo electrónico como un elemento importante en este medio universal de internet. En el mundo de los negocios, una bandeja de entrada de correo electrónico es la forma básica de comunicación entre empresarios, contratistas, clientes y otras partes interesadas.

Desafortunadamente, además de mensajes importantes y sustanciales, una gran cantidad de spam y ofertas promocionales llegan a nuestras bandejas de entrada todos los días. Como resultado, sin protocolos de autenticación de correos electrónicos establecidos, es mucho más fácil falsificar la comunicación de tu marca, exponiéndote a ti y a tus clientes a ataques de hackers y phishing.

Además, los correos electrónicos sin autenticación pueden ser enviados directamente a la carpeta de SPAM, reduciendo la entregabilidad de correos electrónicos en el comercio electrónico y obstaculizando el proceso de comunicación con los clientes.

¿Qué es la autenticación de correo electrónico?

Autenticar un mensaje de correo electrónico significa garantizar que ha sido entregado y certificar a los proveedores de servicios de correo electrónico que proviene de ti y no de una cuenta de spam haciéndose pasar por ti.

Si está autenticado, el servidor del destinatario procesará el correo electrónico de manera segura. Si la autenticación falla, el mensaje es bloqueado, puesto en cuarentena o gestionado de acuerdo con las reglas definidas por la política de autenticación del proveedor.

¿Cómo autenticar correos electrónicos?

Actualmente, existen cinco formas preferenciales de autenticación de mensajes – SPF, DKIM, DMARC, BIMI y VMC. Los protocolos difieren entre sí en el método de autenticación, el grado de seguridad y la dificultad de configuración. Vamos a echar un vistazo más de cerca a cada uno de ellos.

1. Estructura de política del remitente (SPF)

El protocolo SPF (Sender Policy Framework o Estructura de la Política del Remitente) de autenticación de correos electrónicos verifica si cada mensaje proviene de un servidor confiable, que está autorizado a enviar mensajes de un determinado dominio, resultando en la aceptación o rechazo del mensaje. 

El SPF fue creado para reducir el número de mensajes falsos enviados por estafadores haciéndose pasar por direcciones de correo electrónico válidas o por virus. Ya fue adecuado para los primeros sistemas de correo electrónico, pero presenta algunos problemas para métodos modernos de envío de correos electrónicos.

Los principales problemas con la autenticación SPF incluyen:

• No soporta el reenvío de correos electrónicos: el servidor del destinatario no valida el mensaje reenviado porque el dominio de identificación parece ser el dominio del servidor de reenvío, no el dominio original.
• Puede ser fácilmente engañado: el SPF utiliza un campo de ruta de retorno oculto para verificación, no un campo “De” que el destinatario pueda ver. Un hacker que intenta obtener información puede enviar un campo válido buscando un dominio y dirección de correo electrónico en el campo “De”, pero usar su correo electrónico como ruta de retorno y utilizar su sistema de autenticación para pasar la verificación del servidor.
• Puede volverse muy complejo: los registros SPF se almacenan en texto plano en el dominio DNS y especifican las direcciones IP, con permiso para enviar desde el dominio. Si no están correctos, la autenticación falla incluso si el mensaje y el remitente son genuinos.
• Aprueba múltiples usuarios en las mismas direcciones IP: sistemas compartidos, como plataformas en la nube, pueden alojar múltiples servicios con direcciones IP asignadas dinámicamente. Aunque puedes especificar y aprobar una IP, también puede permitir que cualquier otra persona use la misma IP compartida con tu registro SPF.

A pesar de los problemas asociados a este tipo de seguridad, el SPF debe ser implementado. Proporciona la base sobre la cual puedes construir una seguridad general mayor. Y si no has programado la entrada SPF, hay una posibilidad de que tus mensajes no lleguen a los destinatarios. Sin embargo, no es suficiente para garantizar la seguridad de los correos electrónicos actualmente, debiendo ser combinado con otros métodos de autenticación de correos electrónicos.

2. Correo electrónico identificado por DomainKeys (DKIM)

El método DKIM o DomainKeys, que en traducción libre significa claves del dominio, es un protocolo de autenticación de correos electrónicos más seguro, ya que garantiza que el mensaje no sea alterado durante la transmisión. 

El estándar DKIM permite el uso de una firma criptografiada que verifica el origen del mensaje. Cuando se envía un correo electrónico, se genera un “hash” basado en el contenido del mensaje. Este hash se cifra con la clave privada del dominio y se adjunta al encabezado del correo electrónico. 

El servidor de correo electrónico del destinatario lee la información cifrada con una clave pública ubicada en el DNS y, si todo va bien, se realiza la autenticación. Todo el proceso de descifrado de mensajes es realizado automáticamente por los proveedores. 

Los principales problemas con el protocolo de autenticación DKIM son:

• Provisionamiento y gestión de claves: claves más largas y seguras pueden ser problemáticas cuando se utilizan en un dominio DNS. Estas cadenas de datos largas pueden ser fácilmente violadas, incluyendo copiar y pegar.
• Contenido flexible: se vuelve problemático cuando el contenido del correo electrónico es alterado. Como resultado, la firma no puede ser verificada positivamente. Por lo tanto, debes cambiar la configuración y deshabilitar las alteraciones del contenido o configurar el DKIM para cifrar solo después de esa alteración.
• Clave de seguridad: un hacker que firma mensajes usando el dominio de otra persona puede verificar sus correos electrónicos usando la clave privada de ese dominio.
• Firmas inconsistentes: una firma DKIM válida puede usar un dominio completamente diferente al especificado en el campo “De”. Esto facilita el phishing de un dominio de correo electrónico diferente.

El DKIM es muy importante para los tipos de negocios que son objeto de ataques de phishing y spoofing. Recuerda que la falta de la firma DKIM puede hacer que, incluso el contenido más valioso de remitentes confiables, termine en el Spam, o sea bloqueado por el proveedor a nivel de servidor.

Para mejorar el aprovechamiento del DKIM, es necesario conectarlo al DMARC e incluir el dominio utilizado en el campo “De”. Gracias a esto, el destinatario, sabiendo que el verdadero remitente usa DKIM, puede verificar si es un ataque de spam. Para comprobar, vale la pena enviar un correo electrónico a un destinatario de confianza o a otra dirección de correo electrónico que utilices. Los proveedores de servicios de correo electrónico generalmente permiten que el destinatario verifique la precisión de la clave DKIM.

Lee también: Cómo configurar SPF y DKIM en los principales servicios de hospedaje

3. Informes y cumplimiento de autenticación de mensajes basados en dominio (DMARC)

El DMARC (Domain-based Message Authentication Reporting and Conformance o Informes y cumplimiento de autenticación de mensajes basados en dominio) garantiza que los correos electrónicos cumplan con los requisitos SPF y DKIM antes de la entrega. 

Como se mencionó anteriormente, el DMARC impone el uso del dominio definido en el campo de origen para impedir que hackers e invasores usen dominios alternativos para eludir las verificaciones de seguridad. Este método de autenticación de correo electrónico también incluye un mecanismo de informe que permite al remitente decidir cómo manejar los resultados de la verificación. 

Ten en cuenta que la protección definida como “estricta” puede resultar en el rechazo de boletines informativos y otros mensajes, como los de diferentes filiales de la misma empresa. Para determinar la opción apropiada, vale la pena leer los informes con anticipación.

El DMARC permite que los propietarios de dominio publiquen políticas que informan a los iniciadores de la bandeja de entrada DMARC, cómo manejar mensajes no autenticados, enviados desde sus dominios. 

La política tiene tres resultados: no hacer nada, poner en cuarentena (marcar como spam) o rechazar. El informe DMARC alerta a los propietarios de dominio sobre el origen de esos mensajes fallidos y proporciona información importante sobre la violación y lo que pueden hacer para protegerse aún más.

La configuración adecuada del DMARC es la única manera conocida de impedir la falsificación de mensajes de correo electrónico. El usuario que utiliza el DMARC no necesita realizar ninguna acción adicional porque las pruebas del DMARC son ejecutadas por los proveedores de servicio.

4. Indicadores de Marca para Identificación de Mensajes (BIMI)

El BIMI (Brand Indicators for Message Identification o Indicadores de Marca para Identificación de Mensajes) permite que tu empresa publique un nuevo registro DNS estandarizado para su dominio. Esto significa que, al usar este método de autenticación de correo electrónico, el logotipo de tu empresa será visualizado al lado de un correo electrónico en la bandeja de entrada del cliente. 

Con la integración del BIMI por Google en G Suite, es solo cuestión de tiempo hasta que el resto del mundo siga el ejemplo. 

El BIMI realiza una verificación final enfocada en la confiabilidad del remitente y en la exhibición de la imagen de la marca en la bandeja de entrada del destinatario. Para las marcas, el BIMI significa mayor confianza de los destinatarios que se sienten seguros al recibir correos electrónicos verificados. Por lo tanto, proporciona identificación de contenido y sus creadores ayudan a combatir el phishing y tiene un impacto positivo en la seguridad, reforzando la identidad y la confianza de la marca.

Principales ventajas del BIMI

El BIMI es importante para fines de branding y capacidad de entrega de correo electrónico. Para habilitar el BIMI, primero debes verificar correos electrónicos con protocolos de autenticación SPF, DKIM y DMARC y asegurarte de que coincidan entre sí (el dominio es el mismo en todos los casos). 

Para que la autenticación resultante aparezca en las bandejas de entrada de los destinatarios, también debes colocar el archivo del logotipo correspondiente como un enlace. Antes de esto, sin embargo, la URL del logotipo es escaneada y verificada con el VMC. 

Es decir, debes probar al BIMI que tienes el derecho de uso de imágenes asociadas a la marca, principalmente tu logotipo. El objetivo es proteger tu marca, asegurando que los destinatarios reciban solo correos electrónicos enviados por ti y no por otra persona. 

5. Certificado de Marca Verificada (VMC)

El VMC (Verified Mark Certificate o certificado de Marca verificada) es un nuevo tipo de certificado digital que certifica la autenticidad del logotipo asociado al dominio del remitente de un correo electrónico, y ya son un requisito para la operación BIMI. 

Es importante resaltar que el logotipo usado para VMC debe estar registrado en la Oficina de Patentes. Para México, se debe solicitar el registro de patentes por el INPI (Instituto Nacional de la Propiedad Industrial).  

Todos los días, decenas o incluso cientos de correos electrónicos llegan a nuestras bandejas de entrada. Algunos pasan desapercibidos, otros son considerados spam, y otros representan diversas formas de abuso. 

Desafortunadamente, elegir solo un método de autenticación de correo electrónico no proporciona una solución integral que deje tu marca a prueba de fraudes. Sin embargo, si decides combinar estos protocolos en uno, pronto notarás un aumento en el número de mensajes entregados por campaña de email marketing, llevando a una mejora en la comunicación por correo electrónico y en la autenticidad de tu marca.

Con los escenarios de automatización de marketing de edrone también puedes mejorar el alcance de tus campañas, segmentando mejor a tus clientes y enviando el mensaje correcto, a la persona correcta, en el momento correcto!