Back to Course
Լight modeDark mode

Configurando DMARC sin DKIM

Algoritmo de Evaluación DMARC 

El algoritmo de evaluación DMARC es un valor booleano que tiene en cuenta los resultados de autenticación de SPF y DKIM. Posteriormente, determina si aceptar o no un mensaje de correo electrónico como legítimo. El resultado depende de dos posibles resultados:

1. Pase: El correo electrónico pasa tanto la autenticación SPF como DKIM O solo una de estas. Por lo tanto, se considera limpio y es aceptado por el servidor receptor. 

Para explicar el algoritmo de autenticación "pase" en ecuaciones simples:

Autenticación DMARC pasada = Registro SPF con una alineación válida de identificadores SPF + Registro DKIM con una alineación válida de identificadores DKIM

O (cuando falta DKIM)

Autenticación DMARC pasada = Registro SPF con una alineación válida de identificadores SPF

O (cuando falta SPF)

Autenticación DMARC pasada = Registro DKIM con una alineación válida de identificadores DKIM


2. Falla: El mensaje falló tanto en las verificaciones de autenticación SPF como DKIM, lo que indica que está mal formado o contiene contenido malicioso. 

¿Puedo configurar DMARC sin DKIM? 

DMARC pasa en los siguientes tres escenarios: 

 

  1. ambos SPF y DKIM válidos están presentes 
  2. SPF válido sin DKIM está presente 
  3. DKIM válido sin SPF está presente 

Entonces sí, puedes configurar DMARC sin DKIM. 
 

DMARC se basa en SPF y DKIM con propósitos de autenticación, pero son tecnologías ortogonales. 
 

En sentido general, SPF es un mecanismo de 'autorización de ruta', lo que significa que permite a una IP enviar mensajes en nombre de un dominio dado. DKIM, por otro lado, es un mecanismo de 'integridad de contenido', lo que significa que asegura que lo que envías no cambia al llegar al servidor. 
 

Esto significa que no dependen el uno del otro para ser efectivos; pueden ser utilizados en paralelo o incluso de forma independiente. 
 

Sin embargo, se recomienda utilizar tanto SPF como DKIM junto con DMARC, ya que trabajan en conjunto para proporcionar capacidades de autenticación DMARC más robustas. DMARC sin DKIM, aunque posible, no es una práctica recomendada. 

¿Cómo tratan los clientes de correo electrónico a los correos electrónicos sin DKIM? 


La mayoría de los clientes de correo electrónico tratan los correos electrónicos que no tienen DKIM como spam. 


En algunos casos, esto puede resultar en que el mensaje sea marcado por el servidor de correo electrónico del receptor y se clasifique como spam.


Algunos proveedores de servicios de correo electrónico también pueden mostrar tus mensajes a los destinatarios como si fueran originados desde un dominio diferente al que tú pretendías. 


Por ejemplo, en Outlook y Gmail, tu correo electrónico sin DKIM se mostrará en la bandeja de entrada del destinatario con la dirección FROM correcta pero como "enviado por" o "a través de" otra persona. 


Esto puede ser confuso para los destinatarios e incluso podría llevarlos a creer que alguien más les envió el mensaje en lugar de ti. 


Ejemplo #1 (Outlook) 
 

Fig.1 Sin DKIM: Outlook muestra la dirección "enviado por" en la bandeja de entrada del destinatario. 

Fig.2 Con DKIMOutlook muestra solo la dirección FROM. 


Ejemplo #2 (Gmail) 


Fig.3 Sin DKIM: Gmail muestra la dirección "a través de" en la bandeja de entrada del destinatario. 

Fig.4 Con DKIM: Gmail muestra solo la dirección FROM. 


Sin embargo, si DKIM está presente en tu correo electrónico, los problemas mencionados anteriormente no son tan probables. El servidor de envío ya no se muestra en la pantalla del cliente, por lo que hay menos posibilidades de que vaya a las carpetas de spam o correo no deseado. Y la única información que tienen es la dirección FROM, lo que significa altos factores de confianza para las empresas que buscan clientes a través de estrategias de marketing por correo electrónico. 

Consecuencias de configurar DMARC con y sin DKIM 

Configurar DMARC con DKIM puede ayudar a prevenir que tus mensajes de correo electrónico sean marcados por filtros de spam y bloqueados. 


Sin embargo, configurar DMARC sin DKIM puede resultar en un aumento de falsos positivos, así como en demoras cuando un destinatario intenta verificar la dirección de correo electrónico del remitente. En esta sección, analizaremos algunas de las posibles consecuencias de configurar DMARC con y sin DKIM.

1. Al verificar la confianza del correo electrónico 

Con el enfoque basado solo en SPF, la protección DMARC estaría limitada a las direcciones invisibles de "remitente de sobre" (MAIL FROM o Return-path). Estas se utilizan para recibir devoluciones (informes de no entrega) de los remitentes. 


Sin embargo, cuando DKIM se combina con SPF, la protección DMARC se habilita también para la dirección "From:" del encabezado, así como para aquellas direcciones que son visibles para los destinatarios. Esto proporciona un mayor sentido de confianza en el correo electrónico que al usar DMARC solo con SPF.

2. Al reenviar correos electrónicos 


La autenticación SPF funciona enviando un correo electrónico que contiene tu registro SPF (la dirección IP del servidor desde el que deseas enviar correos electrónicos) a otro servidor. El otro servidor luego autentica si esta dirección IP está registrada con ellos y devuelve su propio registro SPF; si no tienen uno, rechazan la solicitud. 


Ahora, en el caso del reenvío de correo electrónico, la autenticación SPF puede fallar porque no hay garantías de que la dirección IP del servidor intermedio esté en la lista SPF del dominio remitente. Como resultado de esto, un correo electrónico legítimo sin una firma DKIM fallará la autenticación DMARC, lo que resultará en un falso negativo. 


Si DKIM se hubiera configurado en este dominio, el falso negativo no habría ocurrido. 


Pero ¿por qué? 


La firma DKIM (d=) se adjunta al cuerpo del correo electrónico, mientras que SPF se adjunta al encabezado 'Return-Path'. 


En el caso del reenvío de correo electrónico, el cuerpo del correo electrónico no se toca ni se modifica, por lo tanto, la firma DKIM (d=) contenida dentro del cuerpo del correo electrónico permanece intacta. Esto significa que se puede verificar la identidad del remitente con el par de claves pública y privada incluido en el cuerpo del correo electrónico y se pasa la autenticación DMARC. 


SPF, por otro lado, se adjunta al encabezado 'Return-Path', que cambia en caso de reenvío de correo electrónico. Por lo tanto, su validez no se verifica, lo que resulta en un falso negativo. 


En resumen, la autenticación SPF falla debido al reenvío de correo electrónico, pero DKIM sobrevive al reenvío de correo electrónico porque está adjunto al cuerpo del correo electrónico. Por lo tanto, es importante configurar DMARC también con DKIM.

3. Al actualizar la dirección IP 


Cuando envías un correo electrónico, el servidor receptor verifica el encabezado del correo electrónico para ver si ha sido manipulado. Si lo ha sido, entonces el servidor receptor rechaza tu mensaje y te envía una notificación. 

Aquí es donde entra SPF. SPF verifica que tu dirección IP esté listada como válida en el registro SPF del servidor remitente (es decir, que no haya direcciones IP falsificadas). 
 

Si tu dirección IP cambia, entonces tu registro SPF necesita ser actualizado con la nueva dirección. El tiempo que esto lleva depende de cuánto cambies tu dirección IP; en la mayoría de los casos, tarda hasta 48 horas en que el nuevo registro SPF entre en vigor. 
 

Entonces, ¿qué sucederá si tu proveedor de correo electrónico agrega una nueva IP a su rango? En este caso, la entrega de tu correo electrónico puede retrasarse debido al tiempo de propagación de la actualización del registro SPF. 
 

Sin embargo, una vez que tengas configurados tanto DKIM como SPF, puedes resolver este problema utilizando la firma criptográfica de DKIM para demostrar que el servidor de correo electrónico en sender@yourdomain.com estaba autorizado para enviarlo. 
 

Esto significa que incluso si su rango de IP cambia, DKIM aún podrá verificar que los correos electrónicos provenientes de ciertos dominios son auténticos y legítimos. 

Usar DMARC sin DKIM: Los escenarios posibles de OK/FALLA 


Cuando usas los mecanismos DKIM y SPF, estás utilizando efectivamente dos herramientas diferentes para lograr el mismo objetivo: prevenir el spoofing. 


Ambos funcionan de manera independiente, pero también pueden fallar de manera independiente. Por ejemplo, SPF puede fallar independientemente de DKIM, y DKIM puede fallar independientemente de SPF. 


Aquí están los cuatro escenarios posibles de OK/FALLA al configurar DMARC con o sin DKIM: 
 

Escenario

Significado

Email Estado de envio

SPF ok, DKIM ok

Esto asegura que los correos electrónicos sean enviados desde una fuente legítima. El servidor está autorizado para enviar correo porque tiene un registro SPF válido y una firma DKIM válida.

Entregado en la bandeja de entrada

SPF ok, DKIM falla

Significa que el correo es entregado por un servidor autorizado, pero la validación de su firma DKIM falla.

Entregado en la carpeta de spam o correo no deseado

SPF falla, DKIM ok

Significa que la firma DKIM del correo es válida, pero el servidor de envío no tiene la autorización para entregar el correo.

Entregado en la carpeta de spam o correo no deseado

SPF falla, DKIM falla

Si tanto SPF como DKIM fallan, entonces un correo electrónico se considera falsificado y será rechazado por cualquier servidor de correo habilitado con DMARC del destinatario.

No Entregado / Rechazado

Course content
Autenticación Avanzada de Correo Electrónico