Cómo prevenir que los correos enviados desde de mi servidor lleguen a SPAM - Conceptos Básicos
Uno de los problemas mas comunes que presentan los servidores de correo personales, es que los correos enviados desde ellos tienden a ser clasificados como SPAM por los servicios de correo mas conocidos, como Gmail o Hotmail; por lo general esto se debe a una debil o nula implementación los protocolos de autenticación de correo. En esta entrada les explicare un poco acerca de los tres protocolos de autenticación de correo electrónico más importantes y luego en una siguiente entrada explicare como implementar cada uno de ellos.
Cómo funciona: Los remitentes de correos electrónicos publican los registros SPF en el DNS y listan las direcciones IP o nombres de host que están autorizadas a enviar el correo electrónico en nombre de sus dominios.
Durante una comprobación SPF, los servidores receptores del correo electrónico verifican el registro SPF buscando el nombre del dominio de la dirección del correo electrónico. Si la dirección IP que envía el correo electrónico en nombre del dominio no figura listada en ese registro SPF, el mensaje falla la autenticación SPF.
La siguiente imagen, ilustra el funcionamiento del protocolo SPF
Cómo funciona: DKIM es bastante complejo y está formado resumidamente por estos pasos.
Paso 1: Identificar qué elementos del mensaje firmar con DKIM
En primer lugar, un remitente decide qué elementos del correo electrónico desea incluir la firma. Puede decidir incluir el mensaje completo (cabecera y cuerpo) o sólo enfocarse en uno o más campos dentro de la cabecera del correo. Los elementos que decida incluir en el proceso de firma deben permanecer inalterados durane el tránsito, o de lo contrario la autenticación de la firma DKIM fallará.
Por ejemplo, si un correo electrónico es reenviado desde Hotmail a Gmail, Hotmail puede añadir una línea de texto en la parte superior del correo electrónico (ejemplo., "Reenviado a traves de Hotmail"). En ese instante se ha modificado el cuerpo del correo y si ese cuerpo fue incluido en la firma DKIM, la autenticación DKIM fallará para ese correo reenviado.
Sin embargo, si sólo se incluyó un elemento de la cabecera en la firma DKIM, como el campo “De” (From), y el mensaje fue reenviado por Hotmail a Gmail con la modificación mencionada arriba, la autenticación DKIM sería validada debido a que la porción del mensaje que fue modificada no llevaba la firma DKIM.
Paso 2: El proceso de codificación
La criptografía es la esencia de todo el proceso de codificación. El remitente configurará su servidor de correo electrónico para crear automáticamente un hash de las partes del correo que desea que lleven la firma. El proceso de hash convierte el texto legible en una cadena de texto única. Se verá así (utilizando el proceso de hash MD5):
De: Javier Salazar
Asunto: Prueba
Se convierte en la siguiente cadena de hash única:
3303baf8986f910720abcfa607d81f53
Antes de enviar el correo electrónico, esa cadena de hash es codificada utilizando una clave privada. La clave privada es asignada a una combinación única de dominio y selector, permitiéndole tener múltiples claves privadas legítimas para el mismo dominio (lo cual es importante a los fines de la gestión y la seguridad del correo electrónico). Sólo el remitente tiene acceso a la clave privada.
Una vez finalizado el proceso de codificación, se envía el correo electrónico.
Paso 3: Validación de la firma DKIM mediante una clave pública.
El receptor de correo electrónico que recibe el correo observa que el mismo posee una firma DKIM, lo cual revela qué combinación “dominio/selector” firmó el proceso de codificación. Para validar la firma, el receptor de correo electrónico realizará una consulta al DNS para identificar la clave pública para esa combinación de dominio/selector.
Esta clave pública posee la característica particular de ser la única que coincide con la clave privada que firmó el correo electrónico, lo que también se conoce como “coincidencia de claves”. La coincidencia de claves permite al receptor de correo electrónico descifrar la firma DKIM para la cadena hash original.
El proveedor de correo electrónico luego toma los elementos del correo firmados por DKIM y genera sus propio hash de los mismos. Finalmente, el proveedor de correo compara el hash que generó con el hash descifrado a partir de la firma DKIM. Si coinciden, sabremos que:
Los proveedores de correo electónico que validan las firmas DKIM pueden utilizar la información acerca del firmante como parte de un programa para limitar el spam, el spoofing y el phishing, aunque DKIM no le instruye a los receptores realizar ninguna acción específica. Dependiendo de la implementación, DKIM también puede garantizar que el mensaje no haya sido modificado ni manipulado en tránsito.
Cómo funciona: La función de alineación de DMARC previene la suplantación de identidad o spoofing de la dirección “De” (header from):
Para que un mensaje sea validado por DMARC, debe pasar la autenticación SPF y DKIM. Un mensaje no será validado por DMARC si falla tanto SPF como DKIM.
DMARC permite a los remitentes instruir a los receptores de correo cómo manejar al correo no autenticado mediante una política DMARC, eliminando toda suposición sobre cómo deberían manejar los mensajes que fallan la autenticación DMARC.
Los remitentes pueden optar por:
1. SPF
SPF es un protocolo de autenticación de correo electrónico que permite especificar cuales servidores de correo estan autorizados para enviar correos desde tu dominio.Cómo funciona: Los remitentes de correos electrónicos publican los registros SPF en el DNS y listan las direcciones IP o nombres de host que están autorizadas a enviar el correo electrónico en nombre de sus dominios.
Durante una comprobación SPF, los servidores receptores del correo electrónico verifican el registro SPF buscando el nombre del dominio de la dirección del correo electrónico. Si la dirección IP que envía el correo electrónico en nombre del dominio no figura listada en ese registro SPF, el mensaje falla la autenticación SPF.
La siguiente imagen, ilustra el funcionamiento del protocolo SPF
2. DKIM
DomainKeys Identified Mail (DKIM) es un protocolo que le permite a una organización responsabilizarse de la transmisión de un mensaje de una forma que pueda ser verificada por el receptor de correo electrónico. Esta verificación se hace posible a través de una autenticación criptográfica.Cómo funciona: DKIM es bastante complejo y está formado resumidamente por estos pasos.
Paso 1: Identificar qué elementos del mensaje firmar con DKIM
En primer lugar, un remitente decide qué elementos del correo electrónico desea incluir la firma. Puede decidir incluir el mensaje completo (cabecera y cuerpo) o sólo enfocarse en uno o más campos dentro de la cabecera del correo. Los elementos que decida incluir en el proceso de firma deben permanecer inalterados durane el tránsito, o de lo contrario la autenticación de la firma DKIM fallará.
Por ejemplo, si un correo electrónico es reenviado desde Hotmail a Gmail, Hotmail puede añadir una línea de texto en la parte superior del correo electrónico (ejemplo., "Reenviado a traves de Hotmail"). En ese instante se ha modificado el cuerpo del correo y si ese cuerpo fue incluido en la firma DKIM, la autenticación DKIM fallará para ese correo reenviado.
Sin embargo, si sólo se incluyó un elemento de la cabecera en la firma DKIM, como el campo “De” (From), y el mensaje fue reenviado por Hotmail a Gmail con la modificación mencionada arriba, la autenticación DKIM sería validada debido a que la porción del mensaje que fue modificada no llevaba la firma DKIM.
Paso 2: El proceso de codificación
La criptografía es la esencia de todo el proceso de codificación. El remitente configurará su servidor de correo electrónico para crear automáticamente un hash de las partes del correo que desea que lleven la firma. El proceso de hash convierte el texto legible en una cadena de texto única. Se verá así (utilizando el proceso de hash MD5):
De: Javier Salazar
Asunto: Prueba
Se convierte en la siguiente cadena de hash única:
3303baf8986f910720abcfa607d81f53
Antes de enviar el correo electrónico, esa cadena de hash es codificada utilizando una clave privada. La clave privada es asignada a una combinación única de dominio y selector, permitiéndole tener múltiples claves privadas legítimas para el mismo dominio (lo cual es importante a los fines de la gestión y la seguridad del correo electrónico). Sólo el remitente tiene acceso a la clave privada.
Una vez finalizado el proceso de codificación, se envía el correo electrónico.
Paso 3: Validación de la firma DKIM mediante una clave pública.
El receptor de correo electrónico que recibe el correo observa que el mismo posee una firma DKIM, lo cual revela qué combinación “dominio/selector” firmó el proceso de codificación. Para validar la firma, el receptor de correo electrónico realizará una consulta al DNS para identificar la clave pública para esa combinación de dominio/selector.
Esta clave pública posee la característica particular de ser la única que coincide con la clave privada que firmó el correo electrónico, lo que también se conoce como “coincidencia de claves”. La coincidencia de claves permite al receptor de correo electrónico descifrar la firma DKIM para la cadena hash original.
El proveedor de correo electrónico luego toma los elementos del correo firmados por DKIM y genera sus propio hash de los mismos. Finalmente, el proveedor de correo compara el hash que generó con el hash descifrado a partir de la firma DKIM. Si coinciden, sabremos que:
- El correo electrónico realmente “pertenece” al dominio DKIM, de lo contrario, el proceso de descifrado no habría funcionado en primer lugar.
- Los elementos del correo electrónico firmados por DKIM no fueron alterados en tránsito (de haberlo sido, los hashes no coincidirían).
Los proveedores de correo electónico que validan las firmas DKIM pueden utilizar la información acerca del firmante como parte de un programa para limitar el spam, el spoofing y el phishing, aunque DKIM no le instruye a los receptores realizar ninguna acción específica. Dependiendo de la implementación, DKIM también puede garantizar que el mensaje no haya sido modificado ni manipulado en tránsito.
3. DMARC
DMARC garantiza que un correo electrónico legítimo sea autenticado correctamente en función de estándares DKIM y SPF establecidos y que se bloquee la actividad fraudulenta que pareciera provenir de dominios bajo el control de la organización (dominios de envío activos, dominios que no envían emails y dominios registrados en forma defensiva). Los dos valores clave de DMARC son la alineación de dominios y la generación de informes.Cómo funciona: La función de alineación de DMARC previene la suplantación de identidad o spoofing de la dirección “De” (header from):
DMARC permite a los remitentes instruir a los receptores de correo cómo manejar al correo no autenticado mediante una política DMARC, eliminando toda suposición sobre cómo deberían manejar los mensajes que fallan la autenticación DMARC.
Los remitentes pueden optar por:
- Monitorear todos los correos para comprender el ecosistema de autenticación de correos electrónicos de su dominio y garantizar que el correo legítimo sea autenticado adecuadamente sin interferir con la entrega de mensajes que no sean autenticados por DMARC.
- Poner en cuarentena los mensajes no autenticados por DMARC (por ej., moverlos a la carpeta de spam).
- O rechazar los mensajes que no sean autenticados por DMARC (por ej., nunca entregar el mensaje).
Comentarios
Publicar un comentario