blog webempresa

Añadir registros DKIM y SPF de Mailrelay en WePanel

por | Nov 26, 2023 | Administración del Hosting

Imagen destacada - Añadir registros DKIM y SPF de Mailrelay en WePanel

Cuando se realiza una campaña de email Marketing en WordPress a través de algún servicio de correo como Mailrelay, pocas veces se toma en cuenta desde el inicio el factor seguridad, y como consecuencia de esto surgen los problemas, como el SPAM, el phishing, o que tu dominio entre a formar parte de una lista negra (blacklist domain).

¿Cómo evitar estos incidentes?, mediante la autenticación de los correos que debe ser un factor a tener en cuenta para protegerse frente a problemas de esta naturaleza, por eso te explico cómo añadir registros DKIM y SPF de Mailrelay en WePanel.

De esta manera se detectan y bloquean los correos maliciosos antes de llegar a las bandejas de entrada de los usuarios o clientes.

Existen tres protocolos principales que ayudan a autenticar un correo electrónico:

  • SPF: Sender Policy Framework.
  • DKIM: Domain Keys Identified Mail.
  • DMARC: Domain based Message Authentication Reporting and Conformance.

Entender cuál es su papel en el análisis de los correos para evitar problemas como el Spam u otros te va a permitir garantizar la entregabilidad y tener listas de correo saneadas.

Cuando me refiero a WePanel en este artículo, estoy hablando del Panel de Hosting desarrollado por Webempresa llamado WePanel, que tiene sus particularidades y personalizaciones con respecto a otros paneles de administración de cuentas de Hosting.

Tienes que tener en cuenta que a partir de 2024 servicios como Gmail obligarán a todos los usuarios a configurar los registros DKIM y DMARC, además del registro SPF. De esto te informa el propio servicio de MailRelay desde hace unos días al loguearte en tu cuenta de ese servicio externo.

Aviso Mailrelay SPF 2024

  Configurar SPF en el Panel de Hosting WePanel

 

De forma resumida, el protocolo SPF compara el correo recibido con la lista de direcciones autorizadas. Tras la comprobación se encarga de permitir o no la comunicación.

     Para poder añadir un registro DKIM o SPF a un dominio, este debe apuntar sus DNS al Hosting desde el que se van a gestionar los registros citados, de lo contrario no funcionará.

Y ¿desde dónde se obtiene esa lista? se hace desde un registro DNS que hay como parte de los datos del dominio.

Para configurar el registro SPF de MailRelay, desde el panel de administración de tu cuenta de hosting, localiza la sección Dominios, luego el Editor de Zona DNS.

Editor de zona DNS en wePanel

Aparecerá un selector con la indicación –selecciona un dominio — haz clic y selecciona el dominio al que quieres añadir el registro SPF.

Editor de zona DNS en wePanel, selector de dominio

En el formulario que se despliega tras seleccionar el dominio tienes que configurar los siguientes valores en los campos disponibles:

Registro: Nombre de este registro SPF (Ej: huerta4bosques.store.)
TTL: 14400
Clase: IN
Clase: TXT
Valor: v=spf1 include:spf.ipzmarketing.com +a +mx ip4:146.59.148.8 include:_spf.webempresa.eu ~all

La IP del registro debe ser la que corresponda a tu caso. El parámetro ~all le indica al servidor cómo gestionar correos procedentes de IP no autorizadas en el SPF, y mejorar la entregabilidad. No es lo mismo ~all que -all, ya que el comportamiento con los correos es diferente en cada caso. Los registros CNAME no soportan caracteres especiales, necesario en los registros SPF.

Crear registro SPF TXT para el dominio

Tras añadirlo debes comprobar en la lista inferior, en esa misma pantalla, que aparece con los parámetros especificados a la hora de crearlo.

Añadido registro SPF TXT para el dominio

Una vez configurado el registro SPF, es bueno que realices pruebas de envío de correos a buzones de confianza (tuyos) a los que tengas acceso para ver si recibes los mensajes en INBOX o en SPAM y de paso poder ver las cabeceras de los correos en busca del registro SPF.

Prueba de envío de correo cifrado desde el dominio

Si ves parte del mensaje original recibido en la cuenta de correo de destino (en este ejemplo de Gmail) podrás observar en las cabeceras si SPF es correcto.

SPF en cabecera de correo recibido

Si el destinatario responde al mensaje desde la cuenta donde lo haya recibido, este deberá entrar en la bandeja de entrada del remitente (la respuesta) y en la cabecera se podrá ver que pasó SPF.

-0.0 SPF_PASS SPF: sender matches SPF record

Y si analizas un poco más la cabecera podrás ver también la puntuación o score de este correo:

X-Spam-Status: No, score=-0.1,No

Los valores para score de X-Spam son:

  • -1.4 ALL_TRUSTED: Pasado a través de hosts de confianza sólo a través de SMTP.
  • -0.0 DKIM_VERIFIED Claves de dominio Correo identificado: la firma pasa verificación.
  • 0.0 DKIM_SIGNED Claves de dominio Correo identificado: el mensaje tiene una firma.
  • 0.0 HTML_MESSAGE BODY: HTML incluido en el mensaje.
  • 2.0 URIBL_BLACK Contiene una URL incluida en la lista negra de URIBL [URIs: websitehere.com]
  • -0.9 AWL AWL: Desde: está en la lista blanca automática.

Con esto deberías ya tener SPF configurado para tu dominio en tu cuenta de Hosting y realizadas las pruebas que lo garanticen.

  Configurar DKIM en el Panel de Hosting WePanel

 

DKIM es otro de los protocolos útiles para evitar el spam y el phishing desde cuentas de correo de tu dominio.

     DKIM permite validar un correo comprobando que su origen es reflejado en sus cabeceras, se trata, por tanto, de firmar digitalmente un correo con el nombre de dominio de origen.

Al igual que SPF, el protocolo DKIM realiza la validación tras la comprobación de un registro DNS del dominio, al llegar el correo, el servidor destinatario comprueba con el servidor DNS del remitente, y si la firma coincide, entonces valida el mensaje.

Para configurar el registro DKIM de MailRelay, desde el panel de administración de tu cuenta de hosting, localiza la sección Dominios, luego el Editor de Zona DNS.

Aparecerá un selector con la indicación –selecciona un dominio– haz clic y selecciona el dominio al que quieres añadir el registro DKIM.

En el formulario que se despliega tras seleccionar el dominio tiene que establecer los siguientes valores en los campos disponibles:

Registro: Nombre de este registro DKIM (Ej: miareaweb.com.) con punto al final.
TTL: 14400
Clase: IN
Clase: TXT
Valor: v=DKIM1; k=rsa; p=MIIBIjANBgkqhk  --clave recortada de ejemplo--  cUr16aQIDAQAB\;
Crear registro DKIM para el dominio

Comprueba luego que el registro aparece correctamente añadido y sin errores.

Añadido registro DKIM para el dominio

Si realizas pruebas de envío de correos a cuentas de las que tengas control y puedas luego consultar esos emails, mira las cabeceras para comprobar la validación DKIM de esos mensajes y que naturalmente entran en INBOX y no en la bandeja de Spam de tu cliente de correo electrónico.

DKIM en cabecera de correo recibido

Con estas pruebas te garantizas que la validación DKIM funciona y que con ello te aseguras la entregabilidad de los correos que envíes desde el dominio para el que configures este registro con Mailrelay.

  Configurar DMARC en el Panel de Hosting WePanel

 

Para mejorar la seguridad, los dos protocolos anteriores se complementan con el protocolo DMARC, el cual está específicamente diseñado para evitar la usurpación de la identidad.

Básicamente lo que hace es informar a los servidores SMTP de lo que deben hacer al recibir un correo electrónico del dominio que no haya sido autenticado.

Al igual que en los casos anteriores, se necesita un registro DNS, cualquier servidor receptor de correros puede autenticar el mensaje entrante conforme a lo que se indique en este registro. El mensaje puede ser entregado, puesto en cuarentena o rechazado.

Para configurar el registro DMARC de MailRelay, desde el panel de administración de tu cuenta de hosting, localiza la sección Dominios, luego el Editor de Zona DNS.

El registro DMARC puedes configurarlo por defecto tal como viene porque MailRelay no te va a pedir que lo modifiques.

Verás el selector –selecciona un dominio– haz clic y escoge el dominio al que quieres añadir el registro DMARC.

En el formulario que se despliega tras seleccionar el dominio tiene que establecer los siguientes valores en los campos disponibles:

Registro: Nombre de este registro DMARC (Ej: miareaweb.com.)
TTL: 14400
Clase: IN
Clase: TXT
Valor: v=DMARC1; p=none;
Crear registro DMARC para el dominio

Para comprobar si este registro está correcto y activo para el dominio donde lo hayas configurado puedes acceder a la herramienta online de MXToolbox y verificarlo escribiendo el nombre de dicho dominio y haciendo clic en DMARC Lookup, esperar el resultado y verificar si lo ha detectado como activo.

 

Una vez has añadido todos los registros, verifica en Zona de DNS de tu Hosting que los registros SPF, DKIM y DMARC existen para el dominio que hayas configurado y que funcionan correctamente.

Comprobar registros  SPF, DKIM y DMARC en WePanel

  Validar registros SFP, DKIM y DMARC

 

Una vez has configurado los registros SPF, DKIM y DMARC para tu dominio ¿Cómo saber si son correctos?

Lo puedes comprobar fácilmente desde el propio servicio de Mailrelay, desde tu área de administración, en el menú de Configuración ➜ Autenticación de Email.

Aparecerá la siguiente pantalla, en donde puedes consultar tu dominio y verificar el funcionamiento de los registros.

Opcion de autenticación de email en MailRelay

Si todo ha sido configurado correctamente, debería aparecer algo similar a la siguiente imagen.

 
validación spf dkim y dmarc mailrelay
 

Si hay algún problema con las configuraciones, o bloqueos de salida del correo desde tu Hosting, te aparecerá un mensaje indicando el error y cómo solucionarlo.

Si no tienes añadidos los registros indicados y realizas una comprobación en MailRelay, te devolverá avisos (en amarillo) de todos los datos o configuraciones que faltan por realizar.

Avisos de registros faltantes en MailRelay

  Seguimiento de correo desde wePanel

 

Si necesitas hacer un seguimiento de los correos electrónicos que salen desde el servidor de correo asociado a tu cuenta de Hosting, desde el Panel de Hosting wePanel tienes la herramienta (solo clientes de Webempresa) llamada Seguimiento de correo en la sección de Correo electrónico.

Verás un listado de correos enviados, fecha y desde que buzón de correo y en el botón derecho Ver detalles podrás ver las cabeceras de dicho correo, algo muy útil para detectar por ejemplo si SpamAssassin ha clasificado el correo saliente como SPAM o no, el score asignado a este mensaje y el reporte de DKIM entre otros datos útiles.

Ejemplo de cabecera de email desde seguimiento de correo

  DKIM y DMARC en 2024

 

Ten en cuenta, como te anticipaba al principio del artículo, que a partir del 1 de enero de 2024, todos los dominios que envíen correos electrónicos deberán implementar DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting and Conformance).

Mediante DKIM los servidores de correo pueden verificar que un mensaje proviene realmente del remitente indicado porque este se firma digitalmente en el encabezado del mensaje y en el dominio del remitente antes de enviarlo.

El receptor puede verificar esta firma comparándola con la clave pública publicada en el DNS del dominio remitente.

Por otro lado, DMARC añade políticas y monitorización a autenticación de correo existente. Junto con SPF y DKIM, conforma una suite de protecciones contra correo fraudulento y su adopción mejora la entregabilidad y reputación del remitente.

Esta nueva norma busca combatir el phishing, el spam y otros tipos de correo fraudulento, ya que dificulta la suplantación de identidad de los remitentes.

Los proveedores de correo que no cumplan con esta norma corren el riesgo de que sus correos sean rechazados o marcados como spam por los servidores receptores.

Todos los administradores de dominio deberán generar claves DKIM, configurar registros DKIM en su DNS y asegurarse que su servidor de correo firme los mensajes salientes con estas claves.

Por ello, DKIM y DMARC serán obligatorios en 2024 para autenticar que un correo realmente proviene del remitente que indica. Esto mejorará la seguridad del correo electrónico en general.

  Conclusiones

 

Los usuarios malintencionados envían más de tres mil millones de correos electrónicos diarios con el fin de conseguir de que sus correos pasen por válidos mediante suplantación como si procedieran de un remitente de confianza como tú.

Los ataques de phishing causan pérdidas económicas importantes, y exponen información delicada de la empresa, de las personas y hasta información bancaria o médica.

Mediante el uso de SPF, DKIM y DMARC (también BIMI, aunque no lo abordamos en este artículo) se pone coto a estas prácticas y mediante las validaciones indicadas se asegura al destinatario que los correos proceden de un emisor de confianza y no obedecen a SPAM o suplantaciones.

Para mejorar la seguridad de la entrega de tus correos desde Mailrelay tienes que configurar los protocolos SPF, DKIM y DMARC, así como un dominio personalizado.

En este artículo has aprendido cómo realizar estas configuraciones añadiendo los correspondientes registros y validando las configuraciones.

¿Te ha resultado útil este artículo?

Black Friday 2024