Compartir vía


Procedimientos recomendados para admitir la autenticación de remitentes en el correo electrónico de Azure Communication Services

En este artículo se proporcionan los procedimientos recomendados de envío de correo electrónico en los registros DNS y cómo usar los métodos de autenticación del remitente que ayudan a evitar que los atacantes envíen mensajes que parecen que proceden del dominio.

Autenticación de correo electrónico y configuración de DNS

El envío de un correo electrónico requiere varios pasos que incluyen la comprobación de que el remitente del correo electrónico posee realmente el dominio, la comprobación de la reputación del dominio, el examen de virus, el filtrado de correo no deseado, los intentos de suplantación de identidad, el malware, etc. Configurar la autenticación de correo electrónico adecuada es un principio fundamental para establecer la confianza en el correo electrónico y proteger la reputación de su dominio. Si un correo electrónico pasa las comprobaciones de autenticación, el dominio receptor puede aplicar la directiva a ese correo electrónico en consonancia con la reputación ya establecida para las identidades asociadas a esas comprobaciones de autenticación, y el destinatario puede estar seguro de que esas identidades son válidas.

Registro MX (Intercambio de correo)

El registro MX (Intercambio de correo) se usa para enrutar el correo electrónico al servidor correcto. Especifica el servidor de correo responsable de aceptar mensajes de correo electrónico en nombre del dominio. DNS debe actualizarse con la información más reciente de los registros MX del dominio de correo electrónico; de lo contrario, provocará algunos errores de entrega.

SPF (marco de directivas de remitentes)

SPF RFC 7208 es un mecanismo que permite a los propietarios del dominio publicar y mantener, a través de un registro TXT DNS estándar, una lista de sistemas autorizados para enviar correo electrónico en su nombre. Este registro se usa para especificar qué servidores de correo están autorizados para enviar correo electrónico en nombre de su dominio. Ayuda a evitar la suplantación de correo electrónico y a aumentar la entrega de correo electrónico.

DKIM (correo identificado por claves de dominio)

DKIM RFC 6376 permite a una organización reclamar la responsabilidad de transmitir un mensaje de una manera que el destinatario pueda validar. Este registro también se usa para autenticar el dominio desde el que se envía el correo electrónico y ayuda a evitar la suplantación de correo electrónico y a aumentar la entrega de correo electrónico.

DMAC (Autenticación, informes y conformidad de mensajes basados en dominios)

DMARC RFC 7489 es un mecanismo escalable por el que una organización de origen de correo puede expresar directivas y preferencias de nivel de dominio para la validación, eliminación e informes de mensajes que una organización receptora de correo puede usar para mejorar el control de correo. También se usa para especificar cómo los receptores de correo electrónico deben controlar los mensajes que producen errores en las comprobaciones de SPF y DKIM. Esto mejora la entrega de correo electrónico y ayuda a evitar la suplantación de correo electrónico.

ARC (Cadena recibida autenticada)

El protocolo ARC RFC 8617 proporciona una cadena de custodia autenticada para un mensaje, lo que permite que cada entidad que controle el mensaje identifique qué entidades la controlaron anteriormente, así como la evaluación de autenticación del mensaje en cada salto. ARC aún no es un estándar de Internet, pero la adopción está aumentando.

Funcionamiento de la autenticación de correo electrónico

La autenticación de correo electrónico comprueba que los mensajes de correo electrónico de un remitente (por ejemplo, notification@contoso.com) sean legítimos y procedan de orígenes esperados para ese dominio de correo electrónico (por ejemplo, contoso.com). Un mensaje de correo electrónico puede contener varias direcciones de remitente o de origen. que se usan para distintos propósitos. Por ejemplo, observe las siguientes direcciones:

  • La dirección "Mensaje de" identifica al remitente y especifica dónde enviar avisos de devolución si se producen problemas con la entrega del mensaje, como avisos de no entrega. Aparece en la parte del sobre de un mensaje de correo electrónico y la aplicación de correo electrónico no la muestra. Esto se denomina a veces dirección 5321.MailFrom o dirección de ruta de acceso inversa.

  • La dirección "De" es la dirección que se muestra como dirección del remitente por la aplicación de correo. Esta dirección identifica al autor del correo electrónico. Es decir, el buzón de la persona o sistema responsable de escribir el mensaje. A veces se denomina dirección 5322.From.

  • El marco de directivas de remitentes (SPF) ayuda a validar el correo electrónico saliente enviado desde el correo desde el dominio (procede de quién dice que es).

  • El correo identificado por claves de dominio (DKIM) ayuda a garantizar que los sistemas de correo electrónico de destino confíen en los mensajes enviados desde el correo desde el dominio.

  • La autenticación de mensajes basada en dominio, los informes y la conformidad (DMARC) funcionan con el marco de directivas de remitentes (SPF) y el correo identificado por claves de dominio (DKIM) para autenticar a los remitentes de correo y asegurarse de que los sistemas de correo electrónico de destino confíen en los mensajes enviados desde el dominio.

Implementación de DMARC

La implementación de DMARC con SPF y DKIM ofrece una protección enriquecida contra la suplantación de identidad y el correo electrónico de suplantación de identidad. SPF usa un registro TXT de DNS para proporcionar una lista de direcciones IP de envío autorizadas en un dominio dado. Normalmente, solo se realizan comprobaciones de SPF en la dirección 5321.MailFrom. Esto significa que la dirección 5322.From no se autentica cuando se usa SPF por sí mismo. Esto permite un escenario en el que un usuario puede recibir un mensaje, que pasa una comprobación de SPF pero tiene una dirección de remitente 5322.From suplantada.

Al igual que los registros DNS para SPF, el registro para DMARC es un registro de texto (TXT) de DNS que ayuda a evitar la suplantación de identidad. Los registros TXT de DMARC se publican en DNS. Los registros TXT de DMARC validan el origen de los mensajes de correo electrónico comprobando la dirección IP del autor de un correo electrónico contra el supuesto propietario del dominio de envío. El registro TXT de DMARC identifica los servidores de correo electrónico saliente autorizados. Así, los sistemas de correo electrónico de destino comprueban que los mensajes que reciben proceden de servidores de correo electrónico saliente autorizados. Esto fuerza una discrepancia entre las direcciones 5321.MailFrom y 5322.From en todo el correo electrónico enviado desde el dominio y DMARC producirá un error en ese correo electrónico. Para evitar esto, debe configurar DKIM para el dominio.

Un registro de directiva DMARC permite a un dominio anunciar que su correo electrónico usa la autenticación; proporciona una dirección de correo electrónico para recopilar comentarios sobre el uso de su dominio; y especifica una directiva solicitada para el control de mensajes que no pasan comprobaciones de autenticación. Es recomendable que:

  • Los dominios de instrucciones de directiva que publican registros DMARC sean "p=reject", siempre que sea posible; "p=quarantine", en caso contrario.
  • La declaración de directiva de "p=none", "sp=none" y pct100< solo deba considerarse como estados transitorios, con el objetivo de eliminarlos lo antes posible.
  • Cualquier registro de directiva DMARC publicado debe incluir, como mínimo, una etiqueta "rua" que apunte a un buzón para recibir informes agregados de DMARC y no debe devolver respuestas al recibir informes debido a problemas de privacidad.

Pasos siguientes

Puede que los siguientes documentos le resulten interesantes: