<spf> declare your smtp servers

Explicación del SPF

SPF es la abreviatura de Sender Policy Framework, un estándar de autenticación de correo electrónico,
que te permite indicar cuáles son los servidores SMTP autorizados para enviar correos electrónicos en nombre de tu dominio.

Te permite verificar la dirección del remitente y su relación con el servidor que envió el mensaje.
Si los correos electrónicos se envían con tu dominio de remitente, el destinatario puede comprobar si han sido enviados desde un servidor SMTP que tú reconoces.

Se recomienda configurarlo, ya que algunos destinatarios podrían rechazar tus mensajes si no se ha configurado el SPF.

cómo hacer que el SPF funcione

Hay dos enfoques diferentes:

• una «suave» (~all tag), que genera un error «softfail» si el mensaje ha sido enviado por un servidor no declarado
• una «rígida» (-all tag), que genera un error de «fallo» si el mensaje ha sido enviado por un servidor no declarado

La configuración «suave» provocará menos rechazos, o ninguno, por parte de los destinatarios.
La configuración «rigurosa» provocará que algunos mensajes sean rechazados si el servidor no ha sido declarado o, en algunos casos, cuando el correo electrónico haya sido redirigido o enviado a través de una lista de distribución.

La configuración «rígida» ofrece al servidor de correo de destino más libertad para decidir si acepta o no el mensaje; este es el enfoque que recomendamos.

Cómo configurar SPF

Para configurar SPF es necesario saber exactamente qué servidores utilizas para enviar mensajes de correo electrónico.

Con RealSender, el registro TXT de tu dominio (ejemplo.com) debe contener la cadena
a:ejemplo.realsender.com y tener este aspecto:

example.com   TXT   «v=spf1 a:example.realsender.com ~all» 

Con HighSender, el registro TXT de tu dominio (ejemplo.com) debe contener la cadena
include:spf.realsender.com y tener este aspecto:

example.com   TXT   «v=spf1 include:spf.realsender.com ~all» 

Estas herramientas te ayudarán a validar la configuración:
www.kitterman.com/spf/validate.html *
recupera los registros SPF del nombre de dominio especificado y determina si el registro es válido
comprobación de SPF en línea
valida la configuración SPF de tu correo electrónico enviando un mensaje de correo electrónico

* = enlace a una página web externa; se abrirá en una nueva pestaña

desventajas del SPF

Aunque todo esté configurado correctamente, la verificación del mensaje puede fallar
si el correo electrónico se ha redirigido (reenviado) o se ha enviado a través de una lista de correo.

In these cases, to keep the email authentication consistent,
configure the dkim signature domain to be aligned with the sender’s From address.
See: email authentication advanced » <dkim> alignment for dmarc.

<spf> check online

1. envía un correo electrónico a:

spf@tester.realsender.com

2. Consulta en línea los resultados de la validación del SPF:
   (tardará un minuto en aparecer)

https://tester.realsender.com/spf

La comprobación SPF en línea de RealSender añadirá un prefijo al asunto si el mensaje no se ha autenticado correctamente:

!! spf-fail !!       El servidor SMTP no figura entre los autorizados
                      y el correo electrónico debe rechazarse o descartarse
!! spf-softfail !!   El servidor SMTP no figura entre los autorizados
                      pero este caso debe tratarse como un «softfail»  
!! spf-neutral !!    el registro SPF especifica explícitamente que no se puede determinar nada sobre su validez  
!! spf-none !!       el dominio del remitente no contiene información para autenticar el correo electrónico  

A veces, la información registrada a nivel de dominio no es correcta o no se entiende bien.

!! spf-permerror !!  Se ha producido un error permanente (por ejemplo, un registro SPF mal formateado)  
!! spf-temperror !!  Se ha producido un error temporal

La comprobación SPF se realiza con la dirección de correo electrónico «Mail-From», que está oculta en los encabezados del correo electrónico.
Solo es visible la dirección de correo electrónico «De». Si sus dominios raíz son diferentes, aparece esta advertencia:

!! spf-diff !!       Los dominios raíz de «Mail-From» y «From» son diferentes

Si el mensaje supera tanto la comprobación SPF como la comprobación de alineación SPF para DMARC (alineación flexible), obtendrás:

|OK| spf-pass        Tu correo electrónico supera la comprobación SPF y la comprobación de alineación SPF

Si solo uno de ellos, SPF o DKIM, supera la comprobación de alineación de DMARC (alineación flexible),
el mensaje sigue considerándose «OK» (de confianza) y se añade el símbolo ~ (tilde) al principio:

|~OK| spf-pass       Tu correo electrónico supera la comprobación SPF (pero no la de alineación) + comprobación de alineación DKIM

<dkim> seal the email content

Explicación de DKIM

DKIM es el acrónimo de DomainKeys Identified Mail, un estándar de autenticación de correo electrónico,
diseñado para garantizar que el correo electrónico (incluidos los archivos adjuntos) no ha sido modificado desde que se añadió la «firma».

Para ello, añade una firma digital, vinculada a un nombre de dominio, a cada mensaje de correo electrónico saliente.

Se utilizan dos claves: una «pública» y otra «privada»:

1. la clave «pública» se publica en el registro TXT del dominio firmante
2. La clave «privada» se guarda en el servidor SMTP y se utiliza para «firmar» los mensajes de correo electrónico.

Al enviar un mensaje, el servidor SMTP genera una «firma hash cifrada» basada en el contenido del mensaje de correo electrónico y en la clave privada.

El sistema receptor puede verificar la firma que figura en el encabezado del correo electrónico, comparándola con el contenido del mensaje y la clave «pública» del remitente.

Cómo hacer que DKIM funcione

Las firmas DKIM no son visibles de inmediato para los usuarios finales, sino que son añadidas y verificadas por la infraestructura de correo electrónico.

Los servidores SMTP de RealSender firman todos los mensajes de correo electrónico salientes con la firma DKIM.

Cómo configurar DKIM

RealSender firma inicialmente todos los mensajes salientes con su propio dominio vinculado al servidor SMTP,
sin que sea necesaria ninguna configuración por parte del usuario o del administrador.

Para obtener la«alineación de dominio DKIM para DMARC»,
el mensaje debe estar firmado con el mismo dominio del remitente.

Con RealSender, debes añadir dos registros CNAME
en la configuración de DNS de tu dominio (example.com), tal y como se muestra a continuación:

key1._domainkey.example.com   CNAME   key1._domainkey.yourcompany.realsender.com
key2._domainkey.example.com   CNAME   key2._domainkey.yourcompany.realsender.com

Esta herramienta te ayudará a validar la configuración:
toolbox.googleapps.com *

* = enlace a una página web externa; se abrirá en una nueva pestaña

Inconvenientes de DKIM

Un mensaje sellado con DKIM no se puede modificar, pero cualquiera puede leerlo.

Un mensaje firmado que no supera la verificación suele ser rechazado.
Si no se han producido cambios durante el trayecto desde el remitente hasta el destinatario, esto no debería ocurrir.

Hemos detectado algunos casos aislados, todos relacionados con la longitud de las líneas (que debe ser de un máximo de 990 caracteres).
Algunas aplicaciones envían el contenido en una sola línea o transmiten una línea muy larga dentro del código HTML.
En estas ocasiones, la firma DKIM se corrompe, lo que provoca que el resultado de la comprobación sea «dkim=fail».

<dkim> check online

1. envía un correo electrónico a:

dkim@tester.realsender.com

2. Comprueba en línea los resultados de la validación DKIM:
   (tardará un minuto en aparecer)

https://tester.realsender.com/dkim

La comprobación DKIM en línea de RealSender añadirá un prefijo al asunto si el mensaje no se ha firmado correctamente:

!! dkim-none !!      No se han encontrado encabezados DKIM-Signature (ni válidos ni no válidos)  
!! dkim-fail !!      Se ha encontrado un encabezado DKIM-Signature válido, pero la firma 
                      no contiene un valor correcto para el mensaje  

A veces no es posible realizar la comprobación:

!! dkim-invalid !!   Hay un problema en la propia firma o en el registro de la clave pública. 
                      Es decir, no se ha podido procesar la firma
!! dkim-temperror !! Se ha detectado algún error que probablemente sea de carácter transitorio, 
                      como una imposibilidad temporal de recuperar una clave pública

Cuando el mensaje se haya firmado utilizando un dominio diferente, se añadirá una alerta «diff» al asunto.
Esta advertencia NO se mostrará si el remitente supera la comprobación SPF y la alineación SPF para DMARC:

!! dkim-diff !!      El mensaje NO ha sido firmado por el dominio del remitente

Si el mensaje supera tanto la comprobación DKIM como la comprobación de alineación DKIM para DMARC (alineación flexible), obtendrás:

|OK| dkim-pass        Tu correo electrónico supera la comprobación DKIM y la comprobación de alineación DKIM

Si solo uno de los dos, DKIM o SPF, supera la comprobación de alineación de DMARC (alineación flexible),
el mensaje sigue considerándose «OK» (de confianza) y se añade el símbolo ~ (tilde) al principio:

|~OK| dkim-pass       Tu correo electrónico supera la comprobación DKIM (no la alineación) + comprobación de alineación SPF