A partir del 1 de febrero de 2024, Google exige estándares específicos de autenticación de email para enviar mensajes a cuentas personales de Gmail. Estos estándares son esenciales para evitar que los emails se marquen como spam o se bloqueen.
-
Todos los remitentes: implemente SPF (Sender Policy Framework) o DKIM (DomainKeys Identified Mail)
-
Remitentes masivos (cualquier remitente de email que envíe cerca de 5.000 o más mensajes al día): Implemente SPF, DKIM y DMARC (autenticación, reportes y conformidad de mensajes basados en dominios)
Las directrices se aplican a todos los remitentes de email, independientemente del proveedor de servicios de email que emplees, siempre que envíes emails a cuentas personales de Gmail (cuentas que terminen en @gmail.com o @googlemail.com).
Nota
Para obtener ayuda con la información de inicio de sesión, la configuración o los registros TXT de tu dominio, ponte en contacto con tu proveedor de dominio.
Los requisitos de autenticación de email de Google mejoran la seguridad y evitan actividades maliciosas como la suplantación de identidad y el phishing. Al implementar estas prácticas recomendadas de autenticación de email, mejora la capacidad de entrega y la confiabilidad de sus emails a las cuentas de Gmail, al tiempo que protege tanto a su organización como a los destinatarios de la suplantación de identidad y el marcado de spam.
Para un rendimiento óptimo de la entrega de email:
-
Configure SPF: Garantice la entrega de correo y evite la suplantación de identidad especificando servidores autorizados para su dominio.
-
Configurar DKIM: Aumente la seguridad de los emails salientes agregando firmas digitales cifradas.
-
Configurar DMARC: Por último, mejore la seguridad contra el spam falsificado con DMARC. DMARC indica a los servidores receptores qué hacer con los emails que no superan SPF o DKIM y proporciona reportes sobre la actividad de autenticación.
Cerciorar de que SPF, DKIM y DMARC estén configurados para cada uno de sus dominios de envío a través de su proveedor de dominio. Si empleas un proveedor de servicios de email, verifica que autentique el email de tu dominio con SPF y DKIM para evitar problemas de entrega.
A continuación, se muestran los métodos de autenticación clave que debe configurar para cumplir con los requisitos de Google y mejorar la seguridad de su email:
-
SPF (Sender Policy Framework): SPF evita la suplantación de identidad de email especificando qué servidores de correo están autorizados a enviar email en nombre de su dominio. Funciona mediante la publicación de un registro DNS que enumera estos servidores autorizados. Cuando se recibe un email, el servidor de correo del destinatario comprueba el registro SPF para verificar el remitente. Para obtener instrucciones de configuración, consulte Configurar registros TXT SPF para su dominio.
-
DKIM (DomainKeys Identified Mail): DKIM garantiza la autenticidad e integridad del email agregando una firma digital a la cabecera del email. Esto se logra mediante un par de claves criptográficas, una privada y otra pública. La clave privada se emplea para firmar el email, y la clave pública, publicada en los registros DNS de su dominio, es empleada por el servidor receptor para verificar la firma. Para obtener instrucciones de configuración, consulte Configurar registros TXT DKIM para su dominio.
-
DMARC (Domain-based Message Authentication, Reporting, and Conformance): DMARC se basa en SPF y DKIM proporcionando instrucciones a los servidores receptores sobre cómo gestionar los emails que no superan estas comprobaciones. Publica una política en DNS que indica a los servidores de correo receptores qué hacer con los emails que no superan la verificación SPF o DKIM, como rechazarlos o ponerlos en cuarentena. DMARC también proporciona un mecanismo para recibir reportes sobre la actividad de autenticación de email que puede emplear para monitorear el email enviado desde su dominio e identificar a los remitentes que pueden estar suplantando su dominio. Para obtener instrucciones de configuración, consulte Configurar registros TXT DMARC para su dominio.
Sender Policy Framework (SPF) es un protocolo de autenticación de email diseñado para evitar la suplantación de identidad de email y los ataques de phishing al especificar qué servidores de correo están autorizados a enviar emails en nombre de su dominio. Al configurar un registro SPF, ayuda a los servidores destinatarios a verificar que los emails que afirman provenir de su dominio se envían realmente desde servidores autorizados. Si se envía un email desde un servidor no autorizado, puede marcar como spam o rechazar.
Nota
Para obtener ayuda con la información de inicio de sesión, la configuración o los registros TXT de tu dominio, ponte en contacto con tu proveedor de dominio.
Antes de configurar SPF, cerciorar de tener:
-
Acceso del proveedor de dominio: credenciales para iniciar sesión en la consola de administración de su proveedor de dominio. El SPF se configura en el proveedor de alojamiento de tu dominio, no en la consola de administración de Google.
-
(Opcional) Registro SPF existente: Compruebe si ya hay un registro SPF configurado.
-
Información del servidor de correo: una lista de direcciones IP o dominios para todos los servidores de correo que envían email en nombre de su dominio.
Para configurar SPF:
-
Inicie sesión en la consola de administración de su proveedor de dominio: Inicie sesión en la consola de administración proporcionada por su proveedor de dominio (p. ej. GoDaddy). Localiza la página o el panel de control dedicado a la actualización de los registros TXT de DNS de tu dominio.
-
Comprobar el registro SPF existente: Es posible que ya tengas un registro TXT configurado para SPF con tu proveedor de dominio. Compruebe si ya existe un registro SPF mediante la caja de herramientas de administración de Google:
-
Ingrese su nombre de dominio y haga clic en ¡Ejecutar comprobaciones!.
-
Luego de la prueba, haga clic en Rangos de direcciones SPF efectivos.
-
Revise los resultados de las entradas SPF existentes, como:
-
_spf.google.com
-
_netblocks.google.com
seguido de varias direcciones IP -
_netblocks2.google.com
seguido de varias direcciones IP -
_netblocks3.google.com
seguido de varias direcciones IPNota
Los resultados contienen un resumen contiene indicadores que muestran si el flujo de correo es:
-
funcionando sin problemas y sin necesidad de realizar ninguna acción,
-
funcionando, pero indicando problemas que deben abordar, o
-
necesita ser configurado.
-
-
-
-
Defina su registro SPF: Para definir su registro SPF, debe crear un registro TXT. Luego de iniciar sesión en la consola de administración de tu dominio, busca la página en la que puedes actualizar los registros TXT de tu dominio. Tenga en cuenta que un solo dominio solo puede tener un registro TXT para SPF.
-
Registro SPF: Si solo empleas Google Workspace. Si todos los emails de tu organización se envían solo a través de Google Workspace, copia esta línea de texto para tu registro SPF:
v=spf1 include:_spf.google.com ~todos
-
Registro SPF: Si empleas Google Workspace y otros remitentes. Si envías correo de otras formas además de Google Workspace, debes crear un registro TXT personalizado para SPF a fin de autorizar a estos remitentes. Su registro SPF debe incluir una referencia a Google Workspace y a todos los servidores que envían email para su organización o dominio. Estos pueden incluir servicios que envían emails automáticos, por ejemplo, formularios de "Contáctenos", y cualquier proveedor o servicio externo que envíe email para su dominio.
Para crear un registro TXT personalizado para tu registro SPF, incluida la referencia a Google Workspace y a otros remitentes que emplees:
(Tenga en cuenta que las direcciones IP y los nombres de dominio empleados en los siguientes pasos son ejemplos. Reemplácelos con direcciones IP y dominios para sus remitentes. Un registro normal tendrá una mezcla de elementos).
-
Comience con el registro SPF para Google Workplace:
v=spf1 include:_spf.google.com ~todos
-
Direcciones IP autorizadas: Enumere las direcciones IP individuales (por ejemplo, 198.51.100.1 y 2001:db8:1:1:1:1:1:1) o subredes IP (por ejemplo, 198.51.100.0/24 y 2001:db8:1:1:::/64) autorizadas para enviar emails. Emplee la
ip4:
tag para las direcciones IPv4 y la para lasip6:
tag direcciones IPv6. Por ejemplo:v=SPF1 IP4:198.51.100.0/24 IP6:2001:DB8:1:1:1:1:1:1 include:_spf.google.com ~todos
-
Incluir servicios de terceros: Si otros servicios envían emails en su nombre, emplee el
include:
tag para incluir otro dominio o subdominio. Por ejemplo:v=SPF1 IP4:198.51.100.0/24 IP6:2001:DB8:1:1:1:1:1:1 include:thirdpartydomain.com include:_spf.google.com ~todos
-
Especificar servidores de correo: Si otros servidores de correo envían emails en su nombre, emplee el
a:
tag. Por ejemplo:v=SPF1 a:mail.exampledomain.com IP4:198.51.100.0/24 IP6:2001:DB8:1:1:1:1:1:1 include:thirdpartydomain.com include:_spf.google.com ~todos
-
Especifique la política para servidores no autorizados: Finalice con
~all
para definir cómo se deben tratar los emails de servidores no autorizados. Por ejemplo, como ya se especifica en el registro SPF empleado para Google Workspace:v=SPF1 a:mail.exampledomain.com IP4:198.51.100.0/24 IP6:2001:DB8:1:1:1:1:1:1 include:thirdpartydomain.com include:_spf.google.com ~todos
Comenzar con un error
(~all
leve ) se recomienda monitorear y ajustar su registro SPF sin interrumpir la entrega de email, cerciorar de que todas las fuentes de email legítimas estén correctamente autorizadas antes de aplicar un error estricto (-all
). Su uso~all
suele ser eficaz, ya que marca los mensajes que no coinciden como spam.-
~all
(soft fail): Se aceptan los emails de servidores que no figuran en la lista, pero se marcan como sospechosos. -
-all
(hard fail): Los emails de servidores que no figuran en la lista se rechazan de plano.
-
Ejemplo de registro SPF
Descripción
v=SPF1 IP4:198.51.100.0/24 include:_spf.google.com ~todos
Autoriza emails de:
-
Servidores con direcciones IP entre 198.51.100.0 y 198.51.100.255
-
Google Workspace
Este registro permite el email de un rango de direcciones IPv4 específico y Google Workspace, marcando las fuentes no enumeradas como sospechosas.
v=SPF1 IP4:198.51.100.0/24 include:_spf.google.com include:thirdpartydomain.com ~todos
Autoriza emails de:
-
Servidores con direcciones IP entre 198.51.100.0 y 198.51.100.255
-
Google Workspace
-
Servicio de email de terceros Thirdpartydomain
Este registro permite el email de un rango de direcciones IPv4 específico, Google Workspace y un servicio adicional de terceros, marcando los que no figuran en la lista como sospechosos.
v=SPF1 IP6:2001:DB8::/32 include:_spf.google.com ~todos
Autoriza emails de:
-
Servidores con direcciones IP entre 2001:db8:0000:0000:0000:0000:0000:0000 y 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
-
Google Workspace
Este registro permite el email de un amplio rango de direcciones IPv6 y Google Workspace, marcando las fuentes no enumeradas como sospechosas.
v=SPF1 a:mail.exampledomain.com IP4:198.51.100.0/24 ip6:2001:db8::/32 include:_spf.google.com ~todos
Autoriza emails de:
-
Servidor de correo mail.exampledomain.com
-
Servidores con direcciones IP entre 198.51.100.0 y 198.51.100.255
-
Servidores con direcciones IP entre 2001:db8:0000:0000:0000:0000:0000:0000 y 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
-
Google Workspace
Este registro cubre los rangos de IPv4 e IPv6, Google Workspace y un servidor de correo específico, marcando otros como sospechosos.
-
-
Para activar el SPF en tu dominio, introduce tu registro SPF en la consola de gestión de tu proveedor de dominio:
-
Inicie sesión en la consola de administración de su proveedor de dominio: inicie sesión en la consola de administración proporcionada por su proveedor de dominio. Localiza la página o el panel de control dedicado a la actualización de los registros TXT de DNS de tu dominio.
-
Introduzca estos valores:
Nombre del campo
Valor a introducir
Tipo
Txt
Host
-
Para el dominio raíz:
@
-
Al configurar un registro SPF, empléelo
@
en el campo Host de su dominio raíz y consolide todos los elementos (por ejemplo, include:, ip4:, ip6:, a:) en un solo registro TXT, ya que un dominio solo puede tener un registro TXT SPF.
Valor
-
Si solo empleas Google Workspace, introduce:
v=spf1 include:_spf.google.com ~all
-
• Si emplea remitentes de email adicionales, introduzca el registro SPF que creó.
Tiempo de vida (TTL)
1 hora o 3600 segundos
-
-
Nota
Para obtener ayuda con la información de inicio de sesión, la configuración o los registros TXT de tu dominio, ponte en contacto con tu proveedor de dominio.
Si configuró SPF (Sender Policy Framework) pero tiene problemas como errores en la autenticación SPF, emails rechazados o mensajes que llegan a las carpetas de correo no deseado, siga estos pasos de solución de problemas:
-
Verificación de la configuración del registro SPF
-
Comprobar el registro SPF existente: Emplee un tool como MXToolbox o la interfaz de administración de DNS de su dominio para confirmar que existe un registro SPF para su dominio.
-
Defina y añada el registro SPF: Cerciorar de que su registro SPF tenga el formato correcto e incluya todos los servidores de correo relevantes. Por ejemplo, un registro SPF podría tener el siguiente aspecto:
v=spf1 ip4:192.168.0.1 include:_spf.example.com -all.
-
-
Comprobar los resultados de la autenticación SPF
-
Encabezados de email: En Gmail, abra un email, haga clic en los tres puntos de la esquina superior derecha y seleccione "Mostrar original" para ver los resultados de SPF en la sección "Resultados de autenticación".
-
Google Admin Toolbox: Copie los encabezados de email y emplee el tool Google Admin Toolbox Messageheader para analizar los resultados de SPF.
-
-
Cerciorar de que todos los remitentes estén incluidos en el registro SPF
-
Revise las entradas SPF: cerciorar de que todos los servidores y servicios de correo que envían emails para su dominio estén incluidos. Esto incluye proveedores de email de terceros y formularios de sitios web.
-
Actualizar registro SPF: agregue las direcciones IP o dominios que faltan a su registro SPF. Por ejemplo, si emplea un servicio de marketing por email, cerciorar de que sus direcciones IP de envío o mecanismos de inclusión se agreguen a su registro.
-
-
Solucionar problemas de reenvío de email
-
Verifique los detalles de reenvío: Emplee la búsqueda de registro de email para verificar si los emails reenviados no cumplen con el SPF. Busque la dirección del destinatario original para confirmar si se trata de un reenvío.
-
Servicio de reenvío de contactos: Póngase en contacto con el servicio de reenvío de terceros para comprobar si pueden ajustar su método de reenvío o proporcionar información sobre problemas de SPF.
-
-
Solución de problemas avanzados de SPF
-
Analice los encabezados de los mensajes: Consulte la sección "Resultados de autenticación" para ver los resultados de SPF como "softfail", "fail" o "neutral" y dirigir en función del resultado. Por ejemplo:
-
Sin entrada SPF: Cerciorar de que su registro SPF esté configurado correctamente.
-
Softfail o Fail: Verifique que todas las IP de envío legítimas estén incluidas en su registro SPF.
-
TempError o PermError: compruebe si hay problemas de DNS o si se supera el límite de 10 búsquedas.
-
-
-
Comprobar búsquedas de DNS
-
Recuentos de búsqueda de monitores: Los registros SPF están limitados a 10 búsquedas de DNS. Por lo tanto, su registro TXT SPF no puede incluir más de 10 referencias a otros dominios. Cada uno de estos mecanismos, incluidas las búsquedas anidadas, en el registro SPF da como resultado una búsqueda:
a, mx, include, ptr
. Emplee tool como Check MX de Google Admin Toolbox para monitorear los recuentos de búsquedas y ajustar su registro SPF para evitar superar este límite.
-
DKIM, o DomainKeys Identified Mail, es un método de autenticación de email esencial que ayuda a proteger su dominio de la suplantación de identidad y evita que los mensajes salientes se marquen como spam. La suplantación de identidad es una práctica engañosa de email que falsifica la dirección del remitente para que parezca que proviene de una organización o dominio legítimo. DKIM desempeña un papel crucial al detectar cualquier modificación no autorizada en el contenido del mensaje, incluidos los cambios en la dirección De. Sin DKIM, es más probable que los emails enviados desde su dominio sean marcados como spam por los servidores de correo receptores. Para garantizar que tus mensajes se entreguen de forma fiable, especialmente a los usuarios de Gmail, te recomendamos que configures DKIM junto con la autenticación SPF (Sender Policy Framework) para tu dominio. Esto ayuda a cumplir con las directrices de Google para remitentes de email y mejora la autenticación de los emails de tu organización.
Nota
Para obtener ayuda con la información de inicio de sesión, la configuración o los registros TXT de tu dominio, ponte en contacto con tu proveedor de dominio.
Antes de configurar DKIM, cerciorar de tener:
-
Acceso de administrador de Google: credenciales para iniciar sesión en la consola de administración de Google. Obtendrás tu clave DKIM desde la consola de administración de Google.
-
Acceso del proveedor de dominio: credenciales para iniciar sesión en la consola de administración de su proveedor de dominio. Agregará la información de la clave DKIM desde su consola de administración de Google a la configuración de su proveedor de dominio.
-
Configuración de las pasarelas de salida configuradas para no alterar los emails luego de ser enviados: Compruebe que la configuración de las pasarelas de email de salida no interfiere con el correcto funcionamiento de la autenticación DKIM para los mensajes salientes, ya que modificaciones como agregar pies de página o reescribir el contenido después de que se envió el mensaje pueden hacer que el email falle la verificación DKIM.
-
Configure la puerta de enlace para que no modifique los mensajes salientes, o configure la puerta de enlace para cambiar primero el contenido del mensaje y, a continuación, agregue la firma DKIM.
-
-
(Opcional) Clave DKIM existente: Compruebe si existe una clave DKIM para su dominio.
Para configurar DKIM:
-
Inicia sesión en la consola de administración de Google: accede a la consola de administración de Google. Debes iniciar sesión como superadministrador para obtener tu clave DKIM.
-
Comprueba la clave DKIM existente: Si ya estás empleando una clave DKIM para tu dominio, puede ser con Google Workspace o con otro sistema de email.
-
En la consola de administración de Google, ve a Menú y selecciona Aplicaciones , selecciona Google Workspace y haz clic en Gmail.
-
Haga clic en Autenticar email y seleccione el dominio que desea verificar en el menú Dominio seleccionado .
-
Localice la sección Nombre de host DNS (nombre de registro TXT):
-
Si nunca configuraste DKIM en Google Workspace, este campo estará vacío.
-
Si este campo tiene un valor, observe el texto que precede
._domainkey
a . Este es el prefijo del selector.
-
-
Ve a la caja de herramientas de administración de Google e ingresa tu nombre de dominio en el campo Nombre de dominio.
-
Haga clic en el botón ¡Ejecutar comprobaciones! y espere a que se complete la prueba.
-
Una vez finalizada la prueba, revise cuál de estos mensajes se muestra:
-
Configuración de DNS de autenticación DKIM: Se configura una clave DKIM para el dominio y el selector.
-
DKIM no está configurado: No existe ninguna clave DKIM para su dominio con el selector de prefijo introducido. Para resolver esto, configure una nueva tecla usando el selector proporcionado (el selector predeterminado es
google
).
-
-
-
Generar clave DKIM:
-
En la consola de administración de Google, ve a Menú y selecciona Aplicaciones, selecciona Google Workspace y haz clic en Gmail.
-
Haga clic en Autenticar email y seleccione el dominio en el que desea configurar DKIM en el menú Dominio seleccionado.
-
Haga clic en el botón Generar nuevo registro.
-
Seleccione la configuración de su llave DKIM:
Ajuste
Opciones
Longitud de bits de la llave DKIM
Año 2048. Si tu proveedor de dominio admite claves de 2048 bits, selecciona esta opción. Las claves más largas son más seguras que las más cortas. 1024. Si el host de tu dominio no admite claves de 2048 bits, selecciona esta opción.
Artículo 1024. Si el host de tu dominio no admite claves de 2048 bits, selecciona esta opción.
Selector de prefijos
El prefijo selector predeterminado es google. Le recomendamos que emplee el valor predeterminado. Pero si tu dominio ya emplea una clave DKIM con el prefijo google, introduce un prefijo diferente.
-
Haga clic en Generar y copiar los valores DKIM que se muestran en la ventana Autenticar email:
-
Nombre de host DNS (nombre de registro TXT): este texto es el nombre del registro TXT DKIM que agregará a los registros DNS de su proveedor de dominio.
-
Valor del registro TXT: este texto es la clave DKIM que agregará a su registro TXT DKIM.
-
-
-
agregar DKIM Key: Tenga en cuenta que luego de agregar una clave DKIM, la autenticación DKIM puede tardar hasta 48 horas en comenzar a funcionar.
-
Inicie sesión en la consola de administración de su proveedor de dominio: inicie sesión en la consola de administración proporcionada por su proveedor de dominio. Localiza la página o el panel de control dedicado a la actualización de los registros TXT de DNS de tu dominio.
-
Introduzca un nuevo registro TXT para DKIM: Introduzca los siguientes valores y, a continuación, almacene los cambios.
Nombre del campo
Valor a introducir
Nombre del registro TXT (en el primer campo, debajo del nombre de host DNS)
Introduzca el nombre de host DNS (nombre del registro TXT) que se muestra en la consola de administración de Google.
Valor del registro TXT (en el segundo campo)
Introduzca el valor del registro TXT (clave DKIM) que se muestra en la consola de administración de Google.
-
-
Activar la firma DKIM: Ten en cuenta que es posible que la página Autenticar email de la consola de administración de Google siga mostrando este mensaje durante un máximo de 48 horas: "Debes actualizar los registros DNS de este dominio. Si agregaste correctamente tu clave DKIM en tu proveedor de dominio, puedes ignorar el mensaje".
-
En la consola de administración de Google, ve a Menú y selecciona Aplicaciones, selecciona Google Workspace y haz clic en Gmail.
-
Haga clic en Autenticar email y seleccione el dominio en el que desea configurar DKIM en el menú Dominio seleccionado .
-
Haga clic en el botón Iniciar autenticación .
-
-
Verifique la autenticación DKIM:
-
Envía un mensaje de email a alguien que emplee Gmail o Google Workspace. (No puede verificar que DKIM esté activado enviar a sí mismo un mensaje de prueba).
-
Abra el mensaje en la bandeja de entrada del destinatario y busque el encabezado completo del mensaje. (Los pasos para ver el encabezado del mensaje difieren según las distintas aplicaciones de email. Para mostrar los encabezados de los mensajes en Gmail, junto a Responder, haz clic en Más Mostrar original).
-
En el encabezado del mensaje, busque Authentication-Results. Los servicios receptores emplean diferentes formatos para los encabezados de los mensajes entrantes, sin embargo, los resultados DKIM deben decir algo como DKIM=pass o DKIM=OK. Si el encabezado del mensaje no incluye una línea sobre DKIM, los mensajes enviados desde su dominio no se firman con DKIM.
-
Nota
Para obtener ayuda con la información de inicio de sesión, la configuración o los registros TXT de tu dominio, ponte en contacto con tu proveedor de dominio.
Si los emails de tu dominio no pasan la autenticación DKIM o se rechazan o se marcan como spam, sigue estos pasos para solucionar y resolver problemas de DKIM:
-
Verificación de la configuración de DKIM
-
Obtener la clave DKIM: en la consola de administración, obtén la clave DKIM necesaria para tu dominio.
-
agregar DKIM Key: agrega la clave DKIM como un registro TXT en la configuración de DNS de tu proveedor de dominio. Cerciorar de que la clave se ingresó y completado correctamente.
-
Activar DKIM: En la consola de administración, habilita la firma DKIM para tu dominio.
-
-
Comprobar los resultados de la autenticación DKIM
-
Verificar mensajes: envíe un email de prueba a una cuenta de email personal (por ejemplo, Gmail) para descartar problemas con servidores receptores específicos.
-
Revisar los encabezados de los emails: En Gmail, haga clic en "Mostrar original" para ver el estado de DKIM en el encabezado "Authentication-Results".
-
Emplee Google Admin Toolbox: Analice los encabezados de los mensajes con el toolGoogle Admin Toolbox Messageheader para comprobar los resultados DKIM.
-
-
Confirmar la integridad de la clave DKIM
-
Comprobar el registro TXT de DKIM: Cerciorar de que su registro TXT de DKIM no esté truncado y tenga el formato correcto. Las claves DKIM de más de 255 caracteres pueden dividir en varios registros TXT.
-
Comparar registros: emplea el tool de búsqueda de Google Admin Toolbox para verificar que el valor del registro TXT coincida con la clave de la consola de administración. Introduzca su registro DKIM (por ejemplo, google._domainkey) seguido de su dominio para comparar los resultados.
-
-
Problemas de reenvío de mensajes de dirección
-
Comprobar si hay modificaciones: Inspeccione el encabezado "Authentication-Results" en busca de mensajes de "el hash del cuerpo no se verificó", lo que indica que el email se modificó durante el reenvío.
-
Pasarelas de salida: Cerciorar de que las pasarelas de salida no modifiquen el contenido de los mensajes salientes, ya que esto puede causar fallos de DKIM.
-
Verificar el reenvío: Emplee la búsqueda en el registro de email para comprobar si los mensajes reenviados son la causa de los problemas de DKIM. Póngase en contacto con el servicio de transporte si es necesario.
-
-
Póngase en contacto con los administradores para los mensajes firmados por DKIM rechazados
-
Comunícate: Si DKIM está configurado correctamente pero los mensajes aún se rechazan o se envían a spam, comunícate con el administrador del servidor de email que lo rechaza para obtener más ayuda.
-
-
Comprobar los límites de caracteres de los registros TXT
-
Revisar límites: Cerciórate de que tus registros TXT de DKIM se adhieren a los límites de caracteres de tu proveedor de dominio. La mayoría de los registros TXT pueden tener hasta 255 caracteres. En el caso de los registros TXT que incluyen más de 255 caracteres, DNS suma varias cadenas en un solo registro.
Si empleas una clave DKIM de 2048 bits, no puedes introducirla como una sola cadena de texto en un registro DNS con un límite de 255 caracteres. En su lugar, siga estos pasos:
-
Divida los caracteres clave en varias cadenas de texto.
-
Coloque cada cadena entre comillas.
-
Introduzca las cadenas una tras otra en el campo Valor del registro TXT de su proveedor de dominio.
-
-
Domain-based Message Authentication, Reporting, and Conformance (DMARC) es un protocolo de autenticación de email que se basa en SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail) para evitar la suplantación de identidad de email y los ataques de phishing. Con DMARC, los propietarios de dominios pueden instruir a los servidores de correo receptores sobre cómo gestionar los emails que no superan las comprobaciones SPF y DKIM.
Los componentes clave de DMARC son:
-
Política (p): Especifica la acción que se debe realizar cuando un email no supera las comprobaciones de autenticación. Las opciones de directiva son none (solo monitor), cuarentena (marcar como correo no deseado) o rechazar (no entregar).
-
Reporting (rua=mailto:): Especifica dónde se deben enviar los reportes DMARC. Estos reportes proporcionan información detallada sobre los emails que pasan y no pasan las comprobaciones de autenticación.
Antes de configurar DMARC, cerciorar de tener:
-
Acceso del proveedor de dominio: Credenciales para iniciar sesión en la consola de administración de su proveedor de dominio. DMARC está habilitado en tu proveedor de alojamiento de dominio, no en tu consola de administración de Google.
-
SPF y DKIM ya configurados: Antes de implementar DMARC, cerciorar de que el Sender Policy Framework (SPF) y el DomainKeys Identified Mail (DKIM) estén activados para su dominio. Esta autenticación es esencial para la funcionalidad DMARC, ya que DMARC indica a los servidores de correo receptores qué hacer cuando reciben un mensaje que parece ser de su organización, pero el mensaje no pasa las comprobaciones de autenticación de email SPF y/o DKIM.
Advertencia
-
Si no configuras SPF y DKIM antes de activar DMARC, es probable que los mensajes enviados desde tu dominio experimenten problemas de entrega.
-
Espere 48 horas luego de configurar SPF y DKIM antes de configurar DMARC.
-
-
(Opcional) Registro DMARC existente: Compruebe si existe un registro DMARC para su dominio.
-
Autenticación de correo de terceros: Cerciorar de que los mensajes enviados por proveedores externos estén autenticados para cumplir con las políticas DMARC. Para mejorar la autenticación de los mensajes enviados por proveedores externos:
-
Confirme con su proveedor externo que DKIM está configurado correctamente.
-
Cerciorar de que el dominio del remitente del sobre empleado por el proveedor coincida con su dominio.
-
Agrega las direcciones IP de los servidores de correo emisor del proveedor al registro SPF de tu dominio.
-
Para configurar DMARC:
-
Inicie sesión en la consola de administración de su proveedor de dominio: Accede a la plataforma de tu proveedor de dominio y navega hasta la sección de administración de registros TXT de DNS.
-
Comprobar el registro DMARC existente: Antes de la configuración de DMARC, verifique si su dominio ya tiene un registro DMARC DNS TXT. Si está presente, revise los reportes DMARC para confirmar que la autenticación y la entrega de mensajes se realizaron correctamente. Para comprobar en su proveedor de dominio si hay un registro TXT para DMARC:
-
Inicie sesión en la consola de administración proporcionada por su proveedor de dominio.
-
Localiza la página o el panel de control dedicado a la actualización de los registros TXT de DNS de tu dominio.
-
Revisa los registros TXT de DNS asociados a tu dominio. Si existe un registro DMARC, normalmente comenzará con v=DMARC.
-
-
Defina su registro DMARC: Para definir su registro DMARC, debe crear un registro TXT que defina el grado de rigor con el que DMARC debe comprobar los mensajes y las acciones recomendadas para los servidores receptores.
A medida que comience a implementar DMARC, le sugerimos que comience con una política de aplicación relajada establecida en "ninguno". A medida que obtenga información sobre cómo los servidores receptores autentican los mensajes de su dominio, ajuste gradualmente su política de "ninguno" a "cuarentena" y, en última instancia, a "rechazo".
El registro DMARC tiene la forma de una línea de texto sin formato que consta de una lista de valores de tag DMARC, separados por punto y coma. Algunas tag son obligatorias y otras son opcionales. Ejemplo: v = DMARC1; p = rechazar; rua=mailto:mailbox@example.com, mailto:dmarc@example.com; pct = 10; adkim = r; aspf = r
etiqueta
¿Obligatorio?
Descripción
Valores
v
Requ
Especifica la versión de DMARC.
Debe ser DMARC1.
p
Requerido
Indica al servidor de correo receptor las acciones de los mensajes que no superan la autenticación.
none
— No realice ninguna acción, entregue el mensaje y registrar. Los reportes se envían a la dirección de email especificada en la tagde rua .quarantine
— Marque el mensaje como spam y envíelo a la carpeta de spam. Los destinatarios pueden revisarlo para verificar su legitimidad.reject
— Rechaza el mensaje y, por lo general, envía un mensaje de rebote al remitente.Pct
Requerido
Define el porcentaje de mensajes sujetos a la política DMARC.
Debe ser un número entero del 1 al 100. Si no se especifica, la política se aplica al 100% de los mensajes.
Rua
Opcional
Reciba reportes DMARC enviados a una dirección de email. La dirección de email debe incluir mailto:.
Para enviar reportes DMARC a varios emails, separe cada dirección de email con una coma y añada el prefijo mailto: antes de cada dirección.
Ejemplo: mailto:dmarc-reports@example.com, mailto:dmarc-admin@example.com (reemplaza example.com por tu dominio).
Sp
Opcional
Establece la política para los subdominios de tu dominio principal.
none
— No realice ninguna acción, entregue el mensaje y registrar. Los reportes se envían a la dirección de email especificada en la tagde rua .quarantine
— Marque el mensaje como spam y envíelo a la carpeta de spam. Los destinatarios pueden revisarlo para verificar su legitimidad.reject
— Rechaza el mensaje y, por lo general, envía un mensaje de rebote al remitente.Si no se especifica, los subdominios heredan la política del dominio principal.
Adkim
Opcional
Especifica la política de alineación para DKIM, indicando el grado de precisión con el que el dominio del remitente debe coincidir con las
d=domainname
firmas DKIM.s—Alineación estricta. El nombre de dominio del remitente debe coincidir exactamente con el nombre de dominio d=correspondiente en las cabeceras de correo DKIM.
r: alineación relajada (valor predeterminado). Permite coincidencias parciales. Se acepta cualquier subdominio válido de d=domain en las cabeceras de correo DKIM
ADSPF
Opcional
Especifica la política de alineación para SPF, que indica el grado de precisión con el que el dominio del remitente debe coincidir con el dominio del comando SMTP MAIL FROM.
s—Alineación estricta. El dominio del remitente debe coincidir exactamente con el dominio del comando SMTP MAIL FROM.
r: alineación relajada (valor predeterminado). Permite coincidencias parciales. Se acepta cualquier subdominio válido de nombre de dominio.
-
agregar DMARC Record: Tenga en cuenta que DKIM y SPF deben autenticar los mensajes durante al menos 48 horas antes de activar DMARC.
-
Inicie sesión en la consola de administración de su proveedor de dominio: inicie sesión en la consola de administración proporcionada por su proveedor de dominio. Localiza la página o el panel de control dedicado a la actualización de los registros TXT de DNS de tu dominio.
-
agregar a Nuevo registro TXT para DMARC. Introduzca los siguientes valores y, a continuación, almacene los cambios.
Nombre del campo
Valor a introducir
Nombre del registro TXT (en el primer campo, debajo del nombre de host DNS)
Ingrese
_dmarc.exampledomain.com
(reemplaceexampledomain.com
con su dominio)Valor del registro TXT (en el segundo campo)
Introduzca el texto de su política DMARC.
Por ejemplo, escriba
v=DMARC1; p=none; rua=mailto:dmarc-reports@exampledomain.com
(reemplaceexampledomain.com
con su dominio).
-
-
Extender a Subdominios y Dominios Adicionales (si corresponde). Si tiene varios dominios o subdominios, cada dominio para que cada dominio pueda tener una política diferente y diferentes opciones de reporte (definidas en el registro). Para definir una política DMARC para los subdominios, emplee la política sp tag en el registro DMARC del dominio principal. Si no crea políticas DMARC para los subdominios, estos heredan la política DMARC del dominio principal.
Monitorear de manera regular los reportes sobre la actividad DMARC de su dominio. Estos reportes, enviados a la dirección de email especificada en la política DMARC (rua tag), proporcionan información sobre la actividad del servidor de email. Ajuste su política DMARC según sea necesario en función de estos reportes.
Revise los reportes para averiguar:
-
Qué servidores o remitentes de terceros envían correo a tu dominio
-
¿Qué porcentaje de los mensajes de su dominio pasan por DMARC?
Busque cualquier tendencia problemática, como:
-
Mensajes válidos marcados como spam
-
Mensajes de rebote o error de los destinatarios
Inicialmente, comience con una política DMARC relajada con la aplicación establecido en ninguna. Esto le permite comenzar a recibir reportes sin correr el riesgo de que los servidores receptores rechacen o marquen los mensajes de su dominio como spam. Luego de observar los reportes DMARC durante al menos una semana, ajuste su política a "cuarentena" y añada la tag pct para aplicar la política a un pequeño porcentaje de su correo.
Para poner en cuarentena un pequeño porcentaje de mensajes:
-
Inicie sesión en la consola de administración proporcionada por su proveedor de alojamiento de dominios para actualizar el registro DMARC DNS TXT.
-
agregar una política que afecta a un pequeño porcentaje de mensajes y aplica la cuarentena. Por ejemplo, una política que se aplica sólo al 5% de los emails entrantes y dirige los mensajes que no superan las comprobaciones DMARC a las carpetas de spam de los destinatarios:
v=DMARC1; p=cuarentena; PCT=5; rua=mailto:dmarc-reports@exampledomain.com
Recomendación
Las grandes organizaciones deben aumentar gradualmente el porcentaje de mensajes afectados para minimizar el riesgo de rechazos o marcas de spam. Por ejemplo, una organización pequeña podría comenzar con un 10% en cuarentena, mientras que una compañía más grande podría comenzar con un 1%.
Si los emails de su dominio no superan la autenticación DMARC, son rechazados por los servidores receptores o acaban en las carpetas de spam de los destinatarios, siga estos pasos para solucionar y resolver los problemas de DMARC:
-
Verificar el registro DMARC
-
Comprobar la configuración: Cerciorar de que su registro DMARC esté configurado correctamente. Verifique que el registro DMARC esté configurado correctamente con su proveedor de dominio y esté presente en la configuración de DNS.
-
-
Cerciorar de que SPF y DKIM estén habilitados
-
Habilitar SPF y DKIM: Confirme que SPF y DKIM están habilitados y configurados correctamente para su dominio. Ambos deben estar activos durante al menos 48 horas antes de habilitar DMARC.
-
Configuración detallada: Siga las instrucciones de configuración de SPF y DKIM para cerciorar de que se implementan correctamente.
-
-
Comprobar los resultados de la autenticación
-
Revisar encabezados: Inspeccione los encabezados de email para verificar los resultados de SPF, DKIM y DMARC. En Gmail, haz clic en "Mostrar original" para ver estos resultados.
-
Usar de diagnóstico tool: Introduzca los encabezados de los mensajes en el de encabezado de mensajes de Google Admin Toolbox tool para comprobar los estados de autenticación.
-
-
Comprobar los reportes DMARC
-
Comprobar reportes: Compruebe sus reportes DMARC para cerciorar de que los mensajes pasan las comprobaciones SPF, DKIM y DMARC. Puede emplear un tool o servicio de análisis de reportes DMARC para obtener información completa.
-
-
Abordar los fallos de DMARC
-
Resolver fallos: Si los mensajes salientes fallan en DMARC, verifique la configuración de SPF y DKIM. Cerciorar de que los mensajes pasen al menos una de estas comprobaciones para cumplir con las políticas DMARC.
-
Revise la política de DMARC: Verifique la política de DMARC y la configuración de alineación. Una política estricta puede conducir a un aumento de las tasas de rechazo o de la colocación de spam.
-
Comprobar los reportes diarios: Examine los reportes diarios de DMARC para identificar qué mensajes salientes no pasan SPF, DKIM o DMARC.
-
-
Evalúe las prácticas de envío de correo
-
Siga las mejores prácticas: Garantice el cumplimiento de las mejores prácticas para el envío de emails, especialmente si envía grandes volúmenes. Consulta las directrices para enviar emails a los usuarios de Gmail.
-
-
Usar la búsqueda de registros de email para obtener información
-
Búsqueda detallada: Emplee la búsqueda de registros de email para obtener información detallada sobre mensajes específicos enviados a través de Google Workspace. Busque por dirección IP del remitente y revise los detalles del mensaje para diagnosticar problemas.
-