Comprender la autenticación del correo electrónico
Objetivos de aprendizaje
Conoce los protocolos de autenticación de correo electrónico que se utilizan para construir tu reputación de remitente, validar que el correo electrónico procede de un remitente legítimo y protegerte contra el abuso del correo electrónico.
Google y Yahoo han anunciado nuevos requisitos para los remitentes que tienen previsto empezar a aplicar en febrero de 2024. Para las marcas que envíen más de 5000 correos electrónicos diarios, configurar la autenticación DMARC será un requisito clave para aterrizar con éxito en las bandejas de entrada de Gmail y Yahoo. Microsoft Outlook también empezará a aplicar estos requisitos a partir de mayo de 2025.
Acerca de la autenticación del correo electrónico
"autenticación de correo electrónico" se refiere a las normas técnicas que permiten verificar la identidad de un remitente de correo electrónico. Las normas de autenticación de correo electrónico más utilizadas son SPF, DKIM y DMARC. Los servidores de correo utilizan estos protocolos de autenticación para verificar que el correo electrónico entrante procede de remitentes legítimos, protegiendo tu marca y a tu cliente de actores malintencionados. Además de evitar los intentos de phishing y spoofing, la aplicación de estos protocolos puede ayudar a mejorar la capacidad de entrega, ya que el proveedor del buzón podrá confirmar la identidad del remitente.
FPSFPS
Sender Policy Framework (SPF) es un método de autenticación de correo electrónico diseñado para detectar direcciones de remitente falsificadas durante la entrega del correo electrónico. SPF permite al servidor de correo receptor verificar que el correo electrónico procedente de un dominio concreto se ha enviado a través de una dirección IP autorizada por los administradores de ese dominio.
Cuando se envía un correo electrónico desde una dirección IP que no ha sido permitida mediante SPF, el servidor de correo receptor puede rechazar el correo electrónico o desviarlo de la bandeja de entrada principal. Sin los registros SPF no podías autenticar las IP que utilizaban tu dominio de envío, lo que permitía a los actores maliciosos suplantar fácilmente tu marca.
En Klaviyo's dominio compartido de envío, correo electrónico se autentican automáticamente a través de SPF. Si utilizas tu propio dominio de envío de marca en Klaviyo, el registro SPF necesario se añade automáticamente a través de los registros CNAME o NS añadidos durante la configuración.
DKIM
DomainKeys Identified Mail (DKIM) actúa como una firma digital que se añade a la cabecera de un correo electrónico para verificar aún más la identidad del remitente. Los servidores de correo electrónico receptores verificarán que la firma DKIM coincide con la del dominio de envío asociado. Dado que la firma DKIM existe en la cabecera de un correo electrónico, también permanecerá cuando se reenvíe un correo electrónico, a diferencia de la autenticación SPF.
En Klaviyo's dominio compartido de envío, correo electrónico se autentican automáticamente a través de DKIM. Si utilizas tu propio dominio de envío de marca en Klaviyo, el registro DKIM necesario se añade automáticamente a través de los registros CNAME o NS añadidos durante la configuración.
DMARC
DMARC significa autenticación de mensajes basada en dominio, creación/elaboración de informes y conformidad. Es un protocolo que utiliza SPF y DKIM para determinar la autenticidad de un correo electrónico, dando a los propietarios de dominios la posibilidad de proteger su dominio de usos no autorizados.
DMARC proporciona instrucciones a los servidores receptores sobre cómo tratar el correo entrante. Para ser entregados, los mensajes deben pasar las comprobaciones de alineación DKIM y SPF de acuerdo con los requisitos establecidos por la política DMARC. Los mensajes que no superen las comprobaciones DMARC pueden permitirse, rechazarse o colocarse en la carpeta de correo no deseado.
Implantar una política DMARC en tu dominio puede ayudarte a protegerte del spoofing, limitando la exposición de tu marca y de los destinatarios a mensajes potencialmente fraudulentos y dañinos.
Ejemplo de política DMARC
DMARC es un protocolo de autenticación, política y creación/elaboración de informes de correo electrónico que afecta a cualquier envío de correo electrónico de tu marca, más allá de Klaviyo. Ten en cuenta que es importante que trabajes con tu equipo informático o con un profesional externo para implantar una política DMARC que se adapte mejor a las necesidades de tu marca.
A continuación se muestra un ejemplo de cómo puede ser un registro DMARC sencillo, y cómo afectan los distintos registros a la entrega del correo electrónico.
v=DMARC1; p=ninguno; rua=mailto:dmarc-reports@yourbrand.com
Es habitual que la etiqueta sp se omita en un registro DMARC, en cuyo caso la etiqueta sp adopta por defecto el valor de la etiqueta p.
Aunque las políticas DMARC pueden tener varias etiquetas con distintas funciones, las etiquetas de las políticas p y sp son las más importantes cuando se trata de Klaviyo y de tu marketing por correo electrónico.
Los valores de estas dos etiquetas indican al proveedor de la bandeja de entrada cómo debe reaccionar cuando fallan las comprobaciones de alineación. Cuando se utiliza en direcciones de correo electrónico de origen, la etiqueta p se aplica al dominio raíz (por ejemplo, @tumarca.com) mientras que la etiqueta sp se aplica a los subdominios(e.g.,@shop.yourbrand.com).
Mientras tanto, la etiqueta rua del ejemplo determina la bandeja de entrada a la que se enviarán los informes DMARC. Esta etiqueta es recomendable, pero no obligatoria.
Asegúrate de cambiar la dirección de correo electrónico del marcador de posición anterior (es decir, dmarc-reports@yourbrand.com) por una bandeja de entrada que esté preparada para recibir informes DMARC si plan utiliza la rua etiqueta.
| Valor de la etiqueta p/sp | Qué hace el proveedor de la bandeja de entrada en respuesta |
| p=ninguno | Acepta el correo electrónico con normalidad, a pesar de la desalineación. |
| p=cuarentena | Acepta el correo electrónico pero muestra una advertencia y coloca el correo electrónico en spam. |
| p=rechazar | bloquea el correo electrónico desalineado. |
Una política DMARC se coloca como un registro TXT en el panel de control DNS de un dominio, pero tiene que seguir unas reglas de sintaxis específicas.
Cómo influyen p y sp etiqueta de envío en Klaviyo
Al enviar en un dominio de envío compartido, el correo electrónico siempre tendrá un desajuste entre tu dirección de origen (por ejemplo, marketing@yourbrand.com) y el dominio de envío real del correo electrónico (por ejemplo, ksdn.klaviyomail.com). KlaviyoEl propio dominio de envío compartido tiene una política DMARC establecida en p=none, de modo que tu correo electrónico puede llegar a las bandejas de entrada de los clientes a pesar de la desalineación.
Cuando utilizas un dominio de envío de marca, un dominio propiedad de tu marca, el dominio de dirección de origen se alinea con el dominio de envío. Como resultado, las comprobaciones DMARC pasarán.
rua etiqueta y DMARC creación/elaboración de informesrua etiqueta y DMARC creación/elaboración de informes
La etiqueta rua de un registro DMARC permite que la dirección de correo electrónico asociada reciba informes DMARC en .xml formato. Estos informes son difíciles y tediosos de interpretar, por lo que Klaviyo recomienda trabajar con un proveedor de servicios DMARC si plan utilizar la rua etiqueta para DMARC creación/elaboración de informes. Estos proveedores ayudan a procesar el .xml Informes DMARC, y preséntalos para que tu marca pueda reunir más fácilmente oportunidades/información.
El dominio de la dirección de correo electrónico establecido en la etiqueta rua para recibir informes DMARC debe coincidir con el dominio raíz del registro DMARC. Para recibir informes DMARC a través de un dominio diferente, tendrás que añadir un registro TXT proporcionado por el propietario del dominio al dominio raíz de tu marca.
Ejemplo de informe DMARC
Algunos ejemplos de proveedor DMARC que recomienda Klaviyo son:
Configurar la autenticación del correo electrónicoConfigurar la autenticación del correo electrónico
Al enviar correo electrónico con Klaviyo, no necesitas añadir tus propios registros SPF y DKIM. Si estás enviando en el dominio de envío compartido de Klaviyo, ya se han configurado los registros necesarios para pasar la autenticación. Con un dominio de envío de marca (también conocido como dominio de envío dedicado), los registros NS o CNAME de Klaviyo añadidos durante la configuración habilitan automáticamente la autenticación DKIM y SPF.
Sin embargo, configurar DMARC es un proceso externo que se realiza fuera de Klaviyo con tu proveedor de DNS. La política DMARC que establezcas determina cómo tratar los mensajes que no superen la autenticación SPF y DKIM. Las políticas DMARC pueden poner en cuarentena el correo electrónico no autenticado y enviarlo a la carpeta de spam del destinatario, permitir que aterrice en las bandejas de entrada a pesar de la desalineación, o rechazarlo por completo y bloquear la entrega al destinatario.
Si tu marca no tiene actualmente una política DMARC, configurar p=none es un gran primer paso para cumplir los requisitos de Gmail y Yahoo. Sin embargo, Klaviyo recomienda encarecidamente que trabajes con tu equipo informático o con un profesional externo si deseas configurar una política DMARC más estricta que evite la suplantación de identidad y permita la creación/elaboración de informes sobre fallos de alineación.
Klaviyo no puede implementar DMARC en tu nombre porque el proceso afecta a la seguridad de tu marca y al envío fuera de Klaviyo. Además, implementar DMARC requiere acceso y control sobre la configuración DNS de tu marca. Klaviyo no puede realizar dichos cambios de DNS para tu marca con el fin de proteger tu seguridad y propiedad sobre tu dominio.
Configurar DMARC en tu DNS
Configurar DMARC es un proceso que se realiza fuera de Klaviyo en tu proveedor de DNS. Hay un gran número de proveedores de DNS diferentes, pero los pasos que se indican a continuación describen cómo se implementa generalmente el DMARC.
Para configurar DMARC, el administrador de red del dominio tendrá que acceder a la configuración DNS del dominio para añadir un registro DMARC, como el que se muestra a continuación. Una vez iniciada la sesión con tu proveedor de DNS, crea un nuevo registro con la siguiente información.
- Tipo: TXT
- Anfitrión: _dmarc
- Valor: v=DMARC1; p=ninguno
La rua etiqueta es una etiqueta opcional que se utiliza para DMARC creación/elaboración de informes. Si plan utilizar los informes y deseas recibirlos en una bandeja de entrada, el valor del registro DMARC es: v=DMARC1; p=none; rua=mailto:email@yourbrand.com
Los nombres de los campos, interfaces y procesos para crear un nuevo registro pueden variar según el proveedor de DNS. Algunos ejemplos de proveedores de DNS son GoDaddy y Namecheap, pero hay muchos otros.
Para obtener más instrucciones sobre cómo configurar DMARC para tu dominio, te recomendamos los siguientes recursos y servicios, o ponerte en contacto con tu proveedor de DNS.
- Comprende cómo DMARC protege la reputación de tu dominio
- MXToolBox: Cómo configurar DMARC
- DMARCian: primeros pasos con DMARC
- Valimail
Haz que tu correo electrónico Klaviyo sea compatible con DMARC
Para ser compatible con DMARC, tienes que conectar a tu cuenta un dominio de envío de marca que coincida con el dominio raíz de tu dirección de correo electrónico de origen amistoso (es decir, tu dirección de origen). Por ejemplo, si envías un correo electrónico utilizando sales@yourbrand.com como dirección de origen y tumarca.com está protegida por DMARC, tu cuenta tendrá que utilizar un dominio de envío de marca como send.tumarca.com para cumplir los requisitos de DMARC.
Aprende a actualizar tu dirección de correo electrónico de remitente para alinearla con tu dominio de envío de marca.
Destinatarios internos
Al utilizar un dominio compartido para enviar correo electrónico a destinatarios internos, el proveedor de la bandeja de entrada puede mostrar un mensaje de advertencia y colocar el correo electrónico en spam cuando la dirección de correo electrónico del destinatario coincida con el dominio de la dirección del remitente.
Por ejemplo, en Gmail:
Aunque esto sólo afecta a los usuarios con direcciones de correo electrónico que coinciden con tu propio dominio de dirección de origen, puedes configurar un dominio de envío de marca para evitarlo.
Si ves esta advertencia en una bandeja de entrada personal, no de empresa, es probable que se deba a un fallo del DMARC. Para ser compatible con DMARC, tienes que conectar a tu cuenta un dominio de envío de marca que coincida con el dominio de tu dirección de correo electrónico de remitente (es decir. tu dirección de origen).
Verificar tu configuración de autenticación de correo electrónicoVerificar tu configuración de autenticación de correo electrónico
Para verificar que el registro se ha publicado correctamente, puedes introducir tu dominio en el comprobador DMARC que ofrece EasyDMARC. Con esta herramienta, un estado de Advertencia o Válido cumple los requisitos de remitente de Gmail y Yahoo.
Alternativamente, puedes verificar que la autenticación de tu correo electrónico está configurada correctamente utilizando la cabecera de un correo electrónico enviado por tu marca.
Una cabecera de correo electrónico contiene metadatos sobre un correo electrónico y la ruta de red que ha seguido. Esto incluye información como dirección del remitente, asunto, destinatarios y detalles clave de autenticación, como si SPF, DKIM y DMARC son correctos.
Pasar a una política DMARC más segura
Aunque una política DMARC de p=nadie es suficiente para cumplir los requisitos iniciales de remitente establecidos por Gmail y Yahoo, pasar a una política más segura puede proteger mejor a tu empresa de los actores malintencionados.
Ventajas de unas políticas más segurasVentajas de unas políticas más seguras
La principal ventaja de utilizar p=quarantine o p=reject es que impedirán que el correo electrónico desalineado (es decir, el correo electrónico enviado desde un dominio de envío que no coincide con el dominio raíz de tu marca) aterrice en la bandeja de entrada principal de un destinatario. P=none no afecta a la ubicación en la bandeja de entrada en los casos en que un correo electrónico se envía desde un dominio desalineado, por lo que los destinatarios pueden seguir recibiendo correos electrónicos de un actor malicioso que intente hacerse pasar por tu marca. Si un usuario acaba viendo un correo electrónico falsificado que parece haber sido enviado desde tu marca, esto puede causar tensión en la confianza que un cliente tiene en el correo electrónico de tu marca.
Mientras tanto, si utilizas una política de p=cuarentena o p=rechazar, el correo electrónico desalineado se bloqueará o se enviará a la carpeta de spam de los destinatarios. El proveedor de la bandeja de entrada sabrá que debe evitar mostrar el correo electrónico a los destinatarios, y el correo electrónico suplantado no llegará a la bandeja de entrada principal.
Otras consideracionesOtras consideraciones
Es importante tener en cuenta que DMARC se aplica a cualquier correo electrónico enviado desde tu marca, incluidos los enviados fuera de Klaviyo. Con una política de p=ninguno, tus envíos no se verán afectados, ya que el correo electrónico seguirá llegando a la bandeja de entrada principal. Sin embargo, las políticas DMARC más estrictas pueden hacer que el correo electrónico no se entregue si tus dominios no están alineados en toda la infraestructura de envío de correo electrónico y casos de uso de tu empresa.
Por este motivo, Klaviyo recomienda trabajar con tu equipo informático o con un proveedor de servicios DMARC para implantar la política que mejor se adapte a las necesidades de tu marca.
Recursos adicionalesRecursos adicionales
Cómo configurar un dominio de envío de marca
Capacidad de entrega de correos electrónicos
Comprender los dominios que intervienen en la capacidad de entrega del correo electrónico