009 | Configuración de DNS para correo y sitio — Parte 2 — Protección del correo (SPF, DKIM, DMARC)

Continuando el tema de DNS, además de los registros principales A y MX, hay tres registros críticamente importantes que responden por la seguridad de tu correo y su entregabilidad — es decir, para que tus mensajes no terminen en spam. Estos son SPF, DKIM y DMARC. Actúan como una especie de sellos digitales y reglas de verificación para tu correspondencia, confirmando su autenticidad.

• Registro SPF (Sender Policy Framework): Permitimos el envío

  Qué es: Un registro SPF es un registro de texto (TXT) que enumera todos los servidores de correo a los que se les permite enviar correos electrónicos en nombre de tu dominio.

  Para qué sirve: Es una protección potente contra el spoofing (falsificación del remitente). Si un correo llega supuestamente desde tu dominio pero desde un servidor que no está listado en el SPF, otros proveedores de correo pueden considerarlo spam o malicioso. Un SPF correcto mejora significativamente la entregabilidad de tus correos.

  Ejemplo de configuración:

  vashbiznes.ru. IN TXT "v=spf1 include:_spf.google.com include:mail.vashbiznes.ru -all"

  Aquí v=spf1 indica la versión de SPF. include: añade otros dominios permitidos (por ejemplo, si usas G Suite para correo). -all significa que todos los demás servidores no están autorizados a enviar correo en tu nombre.

• Registro DKIM (DomainKeys Identified Mail): Firma digital de los mensajes

  Qué es: DKIM añade una firma digital a cada correo saliente. El receptor puede verificar esa firma usando la clave pública que publicas en el DNS.

  Para qué sirve: La firma DKIM confirma que el correo fue realmente enviado desde un servidor autorizado (y que no fue alterado durante la entrega), lo que aumenta mucho la confianza en tus mensajes y reduce la probabilidad de que terminen en spam.

  Ejemplo de configuración:

  Primero necesitas generar las claves DKIM (normalmente lo hace tu servicio de correo o servidor).

  selector._domainkey.vashbiznes.ru. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ..."

  selector — es un nombre único que se genera para tu clave. p= — es tu clave pública DKIM, que será muy larga.

• Registro DMARC (Domain-based Message Authentication, Reporting & Conformance): Política de tratamiento de mensajes sospechosos

  Qué es: DMARC es un registro de texto (TXT) que indica a los proveedores de correo qué hacer con los mensajes que no pasan las comprobaciones SPF y/o DKIM. También te permite recibir informes sobre esos mensajes.

  Para qué sirve: DMARC unifica SPF y DKIM, dándote control sobre cómo se tratan los correos enviados supuestamente desde tu dominio pero que no superan la autenticación. Es otra herramienta potente para combatir el spam y el phishing.

  Ejemplo de configuración:

  _dmarc.vashbiznes.ru. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc_reports@vashbiznes.ru"

  v=DMARC1 indica la versión. p=quarantine significa que los correos que no pasen la verificación deben enviarse a la carpeta “Spam”. Hay otras opciones, por ejemplo p=none (solo monitorización) o p=reject (rechazar). rua=mailto: indica la dirección a la que recibirás los informes sobre las verificaciones.