Cómo crear registros de validación de correo:SPF, DKIM, DMARC

¿Alguna vez ha tenido:

• ¿Un mensaje de correo electrónico se recuperó con una respuesta críptica como "5.7.1 Comando rechazado", o alguien le envió un correo electrónico solo para recibir un mensaje similar?
• ¿Un correo electrónico devuelto con una respuesta clara sobre un registro SPF o una falla en el registro DKIM (o DomainKeys)?
• ¿Sus correos electrónicos llegan a la carpeta de correo no deseado del destino o no llegan?

¿Qué está causando eso? ¿Por qué es rechazado o filtrado a spam? Si bien puede haber razones adicionales para que un mensaje se filtre como correo no deseado, la mayoría de las veces, cualquiera de los problemas anteriores ocurrirá porque hay un problema con la configuración de protección contra la suplantación de correo electrónico del dominio de envío.

Estas protecciones se denominan SPF, DKIM y DMARC, y cada una toma la forma de uno o dos registros DNS que se pueden configurar para ayudar a garantizar que la reputación de envío de correo electrónico de su dominio se mantenga sólida.

Si bien individualmente estos registros no garantizan la prevención de direcciones falsificadas, combinados hacen mucho para ayudar a prevenirlo. Los spammers suelen utilizar la falsificación del remitente para tratar de engañar a sus destinatarios para que lean sus correos electrónicos SPAM.

Sugerencia:DKIM también tiene un encabezado de correo coincidente, por lo que, si opta por usar un registro DNS de DKIM, deberá asegurarse de que todos los mensajes de correo electrónico se encaminen a través de su servidor SMTP; no puede haber ninguna fuente adicional de correo, o servidores de correo alternativos utilizados, mientras tenga un registro DNS DKIM publicado.

Aquí hay un desglose de cada tipo de registro y cómo funcionan.

Registro SPF

Los registros SPF son una forma para que el propietario/administrador de un dominio indique qué servidores pueden enviar correo en nombre de ese dominio. Esto ayuda a evitar que los spammers u otros actores maliciosos envíen correo que parece ser de su dominio.

¿Necesita ayuda para obtener su registro SPF correcto? Desplácese hacia abajo hasta nuestro generador de registros SPF a continuación.

Entonces, ¿cómo funciona esto? Un registro SPF es un registro DNS para su dominio (un registro de tipo TXT) que se ve así:

v=spf1 include:_spf.websavers.ca +a +mx +ip4:2.2.2.2 -all

Analicemos esto. Cada parte del registro significa algo diferente y está separada por espacios en blanco:

1. v=spf1 -> Esto indica que es un registro SPF, versión 1 (predeterminado/estándar)
2. incluye:_spf.websavers.ca –> Incluir declaraciones significa incluir registros SPF disponibles en la dirección proporcionada. Este en particular significa incluir todos los servidores de correo saliente que Websavers ha considerado aceptables. Están publicados en _spf.websavers.ca (aunque no puede ir allí en un navegador web para verlos, solo son visibles para las solicitudes de DNS)
3. +a+mx -> Permitir que los servidores que residen en las direcciones de registro A y MX envíen correos electrónicos. Puede hacer una búsqueda de su dominio para saber en qué están configurados los registros A y MX, o simplemente buscar en Plesk o en su host DNS si el DNS no está alojado con nosotros.
4. +ip4:2.2.2.2 –> El servidor con dirección IP 2.2.2.2 puede enviar correos electrónicos desde su dominio
5. -todos –> No permitir que ningún otro servidor envíe mensajes.

Es posible que vea a otros usando ~all (con una tilde en lugar de un guión), que es un equivalente débil de nuestro "-all" predeterminado. Usar un ~ es como decir "si no coincide con estos, depende de ti si es legítimo o no". Recomendamos enfáticamente usar "-all" como se muestra arriba. Esto indica una declaración mucho más firme de "solo estos servidores son válidos".

Si desea obtener más información sobre SPF, como opciones adicionales para lo que puede incluir, consulte el sitio web de OpenSPF.

Los servidores que no aparecen en su registro SPF utilizando uno de los métodos descritos anteriormente no pueden enviar correos electrónicos utilizando ninguna de las direcciones de correo electrónico de ese dominio, y es probable que cualquier mensaje enviado a través de esos servidores se marque como spam o se bloquee. íntegramente en el destino.

¿Usas correo externo? Incluso si cambia a usar un proveedor de correo electrónico externo, pero mantiene su sitio web alojado con nosotros, sigue siendo importante mantener ambos +a y incluir:_spf.websavers.ca en su registro SPF. Esto se debe a que su sitio web a menudo envía correos electrónicos directamente desde el servidor en el que está alojado (p. ej., correos electrónicos de registro o notificación de pedidos) en lugar de enviarlos a través de su proveedor de correo electrónico, y aún desea permitir que esos correos electrónicos se envíen correctamente.

Generador de registros SPF

Hemos creado una herramienta para ayudarlo a generar el registro SPF adecuado para su dominio. Complete el formulario a continuación y generará un registro SPF para que lo use.

Referencia de configuración de SPF común

Los siguientes valores no el registro SPF completo, solo la parte que desea agregar a su registro SPF para permitir que los servidores SMTP de la empresa coincidente envíen correos electrónicos en nombre de su dominio.

Al agregar, asegúrese de que haya espacios entre estas adiciones y las otras partes del registro SPF. También asegúrese de que su registro comience con v=spf1 y termina con ~all (suelto) o -todos (más estricto). Consulte el registro de ejemplo cerca de la parte superior de esta página para obtener una representación visual de dónde insertar estos registros.

• Protectores web: incluyen:_spf.websavers.ca
• Google: incluir:_spf.google.com (detalles)
• Bellnexxia: +ptr:bellnexxia.net
• Enlace este: incluyen:_spf.eastlink.ca
• Microsoft Office 365 :include:spf.protection.outlook.com (detalles)
• GoDaddy: incluir:spf.secureserver.net
• Yahoo: Imposible. Utiliza DMARC en su lugar y obliga a que su SMTP sea utilizado solo por cuentas de Yahoo.
• Shopify: incluir:shops.shopify.com (detalles)

Registro DKIM

Los registros DKIM no son un componente estrictamente necesario, sin embargo, agregarán más confianza, por lo que si puede usarlos, debería hacerlo.

El mayor problema con los registros DKIM es que son un sistema de validación de dos piezas:un registro DNS Y un encabezado que su servidor de correo saliente (SMTP) agrega a cada correo electrónico. Debido a esto, debe asegurarse absolutamente de que todos los correos electrónicos enviados desde las direcciones de @yourdomain.com pasen exactamente por el mismo servidor SMTP. Esto significa que los mensajes enviados a través de su sitio web, CRM y cualquier otra herramienta web o basada en servidor que envíe correos electrónicos en nombre de su dominio también deben configurarse para usar su servidor SMTP para transmitir mensajes.

• Host de correo electrónico externo :Si su correo electrónico está alojado externamente, me temo que necesita hablar con su proveedor de correo para obtener el registro DNS correcto para aplicar.
• Correo de intercambio de Websavers: Nuestro servicio Exchange es uno de esos servicios que no admite DKIM, por lo que puede omitir esta sección.
• Alojamiento Websavers Plesk: Si está alojado con nosotros en un VPS compartido, de revendedor o (con Plesk Panel), simplemente puede habilitar DKIM en Plesk y configurará el servidor SMTP y su DNS en consecuencia. Consulte esta guía de Plesk para aprender a habilitar DKIM. Si su DNS es externo, puede verificar el registro de DNS que Plesk creó para este propósito y deberá duplicarlo en su host de DNS. Tenga en cuenta que solo podemos ayudarlo con este proceso si su DNS está alojado con nosotros; de lo contrario, su host de DNS deberá ser su vía de soporte.

Registro DMARC

Donde DKIM y SPF se usan para verificar que los correos electrónicos provienen de los servidores correctos, DMARC se basa en esas herramientas (especialmente SPF) y se usa para verificar que el sobre y las direcciones de correo electrónico sean correctas. También ayuda a los remitentes a saber cómo está su correo con los grandes proveedores como Google y Microsoft mediante la publicación de una dirección de correo electrónico a la que usted (como remitente) desea recibir informes sobre la capacidad de entrega.

Mientras que el registro SPF no usa subdominio y se aplica directamente a su dominio raíz (@), DMARC usa el subdominio _dmarc . Esto es lo que parece en su forma más simple:

• Subdominio:_dmarc
• Tipo:TXT
• Valor:v=DMARC1; p=ninguno

Pero ese registro básicamente dice "Oye, tengo un registro SPF y posiblemente un registro DKIM, pero no deseo que tú (el receptor) hagas nada especial con DMARC". Mejorémoslo un poco y proporcionemos un par de valores alternativos para usar. Tenga en cuenta que con cada uno de estos, el subdominio y el tipo son siempre los mismos que los anteriores y nunca debe publicar varios registros DMARC.

El siguiente ejemplo de registro dice poner en cuarentena (esto generalmente significa poner en spam, pero algunos proveedores literalmente ocultarán el mensaje de los destinatarios hasta que un administrador de correo electrónico lo permita) cualquier mensaje que no coincida (SPF, DKIM, Sobre). También dice que para el 20 % de todos los mensajes recibidos de su dominio, si hay fallas, envíe un informe sobre cada falla a la dirección de correo electrónico especificada.

v=DMARC1; p=quarantine; pct=20; ruf=mailto:[email protected];

El siguiente registro dice:rechazar cualquier mensaje que no coincida; que desea recibir informes sobre el 100% de fallas; que DKIM debe ser tratado como relajado; que el SPF debe ser tratado como estricto; que no desea ver informes *individuales* sobre cada error de mensaje (ruf ), sino obtener un informe agregado (rua ). Creo que los informes generalmente se envían mensualmente, pero esto puede quedar a discreción del proveedor receptor, como Google o Microsoft.

v=DMARC1; p=reject; pct=100; adkim=r; aspf=s rua=mailto:[email protected];

Deberá ingresar la dirección de correo electrónico real en la que desea recibir estos informes; de lo contrario, omita la opción rua/ruf y la opción pct, ya que es inútil si no desea ver los informes. Puede usar pct y ruf/rua con p=none. Eso solo significará que el servidor receptor pasará el mensaje de forma normal, incluso si falla las comprobaciones de DKIM, SPF, DMARC.

Las opciones adkim y aspf parecen estar relajadas de forma predeterminada si las omite.

Consejo:siempre debe usar DMARC, incluso si no tiene DKIM habilitado. Pero asegúrese de tener SPF configurado correctamente, de lo contrario, DMARC no le será útil.

¿Dónde pongo estos registros DNS?

Si su DNS está alojado con nosotros, aquí le mostramos cómo editar sus registros de DNS. En esa guía, buscará editar un registro existente de tipo TXT .

Si su DNS está alojado en otro lugar, deberá iniciar sesión en su panel para editar o agregar su registro SPF.

Con nuestro alojamiento Plesk, configuramos todos estos registros por usted; sin embargo, si tiene problemas con la capacidad de entrega, debe verificar que sean correctos. Es posible que tenga una versión anterior del registro que no sea óptima, o que usted o alguien con acceso a su cuenta lo haya modificado sin conocer las implicaciones.

No cree varios registros SPF. Si ve uno existente en su configuración de DNS, asegúrese de editarlo en lugar de agregar otro . Los registros duplicados con frecuencia harán que ninguno de ellos funcione.

Debido a que se trata de registros DNS, los cambios que realice en la configuración de DNS tardarán algunas horas (hasta 48 horas) en aplicarse en todo el mundo. Tenga paciencia.

Resolución de problemas

Error de demasiadas búsquedas de SPF: si ve un error con un verificador de registros SPF sobre demasiadas búsquedas, la interpretación simple es que hay demasiados elementos en su registro. La única forma de resolver esto es eliminar los elementos menos importantes de su registro SPF y/o consolidar los servicios de correo para que no use tantos. Si está utilizando un servicio de lista de correo, puede cambiar su configuración para usar un subdominio como mailing-list.mydomain.com y mover esa parte de su registro SPF al registro SPF del subdominio en su lugar.

Lea más sobre el error SPF Too Many Lookups en este artículo detallado aquí.

Si utiliza un servicio de correo externo como Google Workspace (anteriormente G Suite), la mejor opción para reducir el número total de búsquedas es eliminar la parte de Websavers del registro SPF (include:_spf.websavers.ca ). Pero si hace esto, asegúrese absolutamente de que todos los sitios web que haya alojado con nosotros estén configurados para enviar correo electrónico utilizando el servicio SMTP de su proveedor de correo externo (como Google Workspace en este ejemplo). Esto asegurará que todo el correo proveniente del sitio web fluya a través de un servidor SMTP que permanezca autorizado en su registro SPF, y no nuestros servidores que no permanecerán en su registro SPF.

Si debe eliminar la declaración "incluir", definitivamente conserve esta en su lugar, ya que permitirá que nuestro retransmisor de correo principal continúe sirviendo su correo:

+ip4:149.56.38.109

Mensajes enviados a Spam o Junk: Si configuró correctamente todos los registros DNS anteriores y han pasado 48 horas desde que lo hizo (recuerde que los cambios de DNS tardan en propagarse), pero sus correos electrónicos siguen llegando a las carpetas de correo no deseado de sus destinatarios, consulte nuestra guía de solución de problemas. aquí.