A continuación se muestra un breve resumen de los tres mecanismos descritos en esta sección y lo que hacen:

• DKIM (DomainKeys Identified Mail) es un método usado para asociar la identidad de un nombre de dominio con un correo saliente. Asimismo, también sirve para validar la identidad de un nombre de dominio asociado con un correo entrante mediante autenticación criptográfica.
• SPF (Sender Policy Framework) es un método usado para impedir la falsificación de la dirección de un remitente, es decir, el uso de direcciones falsas. Este permite al servidor de correo verificar que los correos procedentes de un dominio proceden de un host autorizado por el administrador de dicho dominio. Asimismo, Plesk utiliza SRS (Sender Rewriting Scheme) para que así los mensajes reenviados puedan pasar la comprobación SPF.
• DMARC (Domain-based Message Authentication, Reporting and Conformance) es una tecnología que permite ampliar las capacidades de los métodos SPF y DKIM. La directiva DMARC define la forma en la que el receptor debería tratar los correos en función de los resultados de la comprobación DKIM y SPF.
• ARC (Authenticated Received Chain) is a technology that enables intermediate mail servers (for example, mailing lists and mail forwarding services) to store an email’s authentication results using special headers. This helps the destination mail server validate the email if its SPF and DKIM records are made invalid by the intermediate mail server’s processing.

Los requisitos de servidor de correo para estas soluciones son los siguientes:

En esta tabla, ‘+’ significa que la solución es soportada por todas las versiones soportadas por Plesk Obsidian. ‘-‘ significa que no se soporta la solución.

DKIM

La activación de DKIM para un dominio añade un encabezado especial a cada email enviado desde el dominio. Este encabezado contiene una clave privada de cifrado. Los servidores de correo del destinatario usan una clave pública para verificar que los emails fueron enviados desde el dominio y que nadie interceptó el contenido del email durante el envío. Aquellos emails que no presenten dicho encabezado se considerarán como no auténticos.

Para proporcionar soporte para DKIM, Plesk utiliza la funcionalidad de una librería externa (Linux) o del servidor de correo proporcionado con Plesk (Windows).

Activación o desactivación de DKIM en el servidor

Por omisión, DKIM viene activado en Plesk. Si desea desactivarlo o solo conservarlo para el correo entrante y saliente, vaya a Herramientas y configuración > Configuración del servidor de correo (debajo de «Correo»), desplácese hasta la sección «Protección antispam DKIM» y deseleccione una de las siguientes casillas o ambas:

• «Permitir la firma del correo saliente». Esta opción permite a los clientes gestionar la firma DKIM de los correos salientes de forma individualizada para cada dominio.
• (Plesk para Linux) «Comprobar correo entrante». Esta opción activa la comprobación DKIM para todos los correos entrantes. Se verifican todos los mensajes y, en caso de producirse algún error de verificación, los mensajes en cuestión se marcan con un encabezado especial.

Activación de DKIM para un dominio

Si la firma DKIM está activada en el servidor, los dominios nuevos que tengan su hosting de correo y DNS en Plesk firman los correos salientes con DKIM de forma predeterminada.

Los dominios que usan un servidor DNS externo tienen activado DKIM por omisión. La firma de los correos salientes con DKIM significa que Plesk añade los siguientes dos registros a la zona DNS del dominio (example.com sería su nombre de dominio):

• default._domainkey.example.com incluye la parte pública de la clave generada.
• _ domainkey.example.com incluye la directiva DKIM, que usted puede editar.

A diferencia de los dominios alojados en Plesk, Plesk no puede añadir estos registros a dominios que usen un servidor DNS externo. En este caso, DKIM debe activarse de forma manual.

Para activar la firma DKIM de los correos salientes para un dominio que use un servidor DNS externo:

1. Vaya a Sitios web y dominios > su dominio > pestaña «Correo» > Configuración de correo.

2. Deje seleccionada la casilla «Usar el sistema de protección antispam DKIM para la firma de mensajes de email salientes».

3. Haga clic en «Cómo configurar un DNS externo». Copie los dos registros DNS mostrados y añádalos al servidor DNS.

   Nota: Si dispone de alias de dominio usados para el envío de correo, añada también los registros DNS DKIM para estos. Use los mismos registros que para el dominio principal pero con el nombre del alias de dominio.

   

SPF y SRS

SPF (Sender Policy Framework) es un método usado para impedir la falsificación de direcciones de remitentes, es decir, el uso de direcciones de remitentes falsas. Con SPF, el administrador de un dominio puede establecer una directiva que autorice a determinados hosts a enviar correos desde el dominio. El servidor receptor del correo verifica que el correo entrante procede de un dominio de un host autorizado por el administrador del dominio en cuestión. SPF se basa en reglas especificadas por el administrador en la zona DNS del remitente.

En Plesk puede configurar una directiva SPF para los correos salientes especificando las reglas en un registro DNS. En Plesk para Linux, SPF también comprueba el correo entrante de forma predeterminada.

Cuando se configura SPF, el servidor de correo bloquea el correo entrante usando los pasos del siguiente algoritmo:

1. Lee las reglas locales.

   Las reglas locales son las reglas usadas por el filtro antispam. Un ejemplo de regla local puede ser el siguiente: a:test.plesk.com.

2. Busca el registro SPF del DNS del remitente (de existir).

   Un ejemplo de registro SPF puede ser el siguiente:example.com. TXT v=spf1 +a +mx -all

3. Concatena las reglas locales y el registro SPF en la directiva resultante.

   En nuestro ejemplo, la directiva resultante serà example.com. TXT v=spf1 +a +mx +a:test.plesk.com -all.

   Nota: Si el servidor de correo no detecta ningún registro SPF, la directiva resultante solo incluirá las reglas locales.

4. Comprueba el correo con la directiva resultante obtenida en el paso anterior.

5. Lea reglas de conjetura.

   Las reglas de conjetura son las reglas globales que invalidan el registro SPF. Un ejemplo puede ser el siguiente: v=spf1 +a/24 +mx/24 +ptr ?all.

6. Compruebe el correo solo con las reglas de conjetura.

7. Compare los resultados de las dos comprobaciones: la efectuada con la directiva resultante (paso 4) y la realizada únicamente con las reglas de conjetura (paso anterior). Aplique la comprobación cuyo resultado sea más permisivo.

Más información sobre los estados de verificación SPF.

Para establecer una directiva SPF para los correos salientes:

Vaya a Herramientas y configuración > Configuración de DNS (en «Configuración general») y edite el registro DNS TXT relacionado con SPF. Este registro DNS siempre está presente en la plantilla DNS de todo el servidor. A continuación se muestra un ejemplo de registro SPF creado por Plesk:

example.com.    TXT    v=spf1 +a +mx +a:test.plesk.com -all

Las partes de este registro significan lo siguiente:

Obtenga más información sobre la sintaxis de los registro DNS SPF. La notación de la directiva se encuentra disponible en RFC7208.

(Plesk para Linux) Para configurar SPF para que compruebe los correos entrantes:

1. Vaya a Herramientas y configuración > Configuración del servidor de correo (debajo de «Correo») y desplácese hasta la sección «Protección antispam SPF».

2. Seleccione una opción en el menú desplegable de modo de comprobación SPF para especificar cómo deben tratarse los correos cuando SPF aplique reglas locales y de conjetura:

   1. Sólo crear cabeceras SPF recibidas, nunca bloquear  - Para aceptar todos los correos entrantes sea cual sea el resultado de la comprobación SPF.
   2. Usar avisos de error temporal cuando tenga problemas de resolución DNS - Para aceptar todos los correos entrantes sea cual sea el resultado de la comprobación SPF, incluso si la comprobación SPF experimentó errores debido a problemas en la búsqueda DNS.
   3. Rechazar correo si SPF resuelve a «fail» (denegar) - Para rechazar los correos procedentes de remitentes que no puedan usar el dominio en cuestión.
   4. Rechazar correo si SPF resuelve a «softfail» - Para rechazar los correos procedentes de remitentes que el sistema SPF no pueda identificar como autorizados o no autorizados porque en el dominio no se haya publicado ningún registro SPF.
   5. Rechazar correo si SPF resuelve a «neutral» - Para rechazar los correos procedentes de remitentes que el sistema SPF no pueda identificar como autorizados o no autorizados porque en el dominio no se haya publicado ningún registro SPF.
   6. Rechazar correo si SPF no resuelve a «pass» - Para rechazar los correos que no han pasado la comprobación SPF por cualquier razón (por ejemplo, cuando el dominio del remitente no implementa SPF y la comprobación SPF devuelve el estado “desconocido”).
3. Si desea especificar reglas locales, introduzca las reglas deseadas en la casilla Reglas locales SPF.

   Por ejemplo: include:spf.trusted-forwarder.org.

   Obtenga más información sobre las reglas SPF.

4. También puede especificar las reglas de conjetura en la casilla Reglas de conjetura SPF.

   Por ejemplo: v=spf1 +a/24 +mx/24 +ptr ?all

5. Para indicar un aviso de error arbitrario para que se devuelva al SMTP remitente cuando se rechace un mensaje, indíquelo en la casilla Texto de explicación SPF.

   Si no se indica ningún valor, se usará el texto predeterminado como notificación.

6. Para finalizar la instalación haga clic en ACEPTAR.

(Plesk para Linux) Para desactivar la comprobación de correos entrantes por parte de SPF:

1. Vaya a Herramientas y configuración > Configuración del servidor de correo (debajo de «Correo»).
2. En la sección «DMARC», deseleccione la casilla «Activar DMARC para el análisis de los correos entrantes», si está seleccionada.
3. En la sección «Protección antispam SPF», deseleccione la casilla «Activar protección antispam SPF para el análisis del correo entrante» y haga clic en ACEPTAR.

Uso de SRS

Además de SPF, algunos servidores de correo en Plesk soportan SRS (Sender Rewriting Scheme), un mecanismo que permite reescribir direcciones remitentes cuando un correo se reenvía de tal forma que este sigue cumpliendo con SPF. En el caso de usar SPF, SRS ayuda a garantizar que los mensajes son entregados.

SRS se usa de forma automática cuando los correos se reenvían desde buzones de correo alojados en Plesk.

Para proporcionar la funcionalidad SRS, Plesk utiliza las capacidades de una librería externa (en el caso de Linux) o del software de servidor de correo (en el caso de Windows).

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) es una tecnología que permite ampliar las capacidades de las directivas de remitente SPF y DKIM . La directiva DMARC define la forma en la que el receptor debería tratar los correos en función de los resultados de la comprobación DKIM y SPF. Esta tecnología se basa en las reglas indicadas en la zona DNS del remitente.

En Plesk, puede configurar una directiva DMARC para los correos salientes especificando reglas en un registro DNS.

Para establecer una directiva DMARC personalizada para los correos salientes:

1. Vaya a Herramientas y configuración > Configuración DNS (en «Configuración general»).
2. Edite los registros DNS relacionados con la directiva DMARC. Estos registros DNS siempre están presentes en la plantilla DNS a nivel del servidor. Por otro lado, los registros DNS relacionados con DKIM se añaden a zonas DNS de dominios individuales cuando DKIM está activado en el dominio.

Por ejemplo, la directiva DMARC predeterminada de Plesk se define en el siguiente registro:

_dmarc.<domain>.    TXT    v=DMARC1; adkim=s; aspf=s; p=quarantine

De acuerdo con esta directiva, el servidor de correu receptor debería poner en cuarentena aquellos correos que no pasen las comprobaciones DKIM y SPF. Esto significa que los correos se trasladan a la carpeta de spam y se marcan como sospechosos. En todo caso, siempre puede especificar una directiva más estricta, si bien el servidor receptor puede aplicar su propia directiva a los correos entrantes.

Obtenga más información sobre DMARC, incluyendo las notas de la directiva.

Los dominios también disponen de sus propias directivas DMARC, que pueden ser editadas por los clientes. Los nuevos dominios que tengan su hosting de correo y DNS en Plesk ya tienen la directiva de cuarenta de DMARC activada por omisión.

Para desactivar la comprobación de los correos entrantes por parte de DMARC:

1. Vaya a Herramientas y configuración > Configuración del servidor de correo (debajo de «Correo»).
2. En la sección DMARC, deseleccione la casilla «Activar DMARC para el análisis de los correos entrantes» y haga clic en ACEPTAR.

(Plesk for Linux) ARC

ARC (Authenticated Received Chain) is a technology that enables intermediate mail servers to add an additional layer of authentication to emails that are forwarded or sent from a mailing list by adding extra headers to emails. This is so that the final receiving mail server may be able to (but does not have to) treat an email as legitimate even if it fails its SPF, DKIM, and/or DMARC checks.

Limitaciones

• ARC headers are not added to mail sent to a mailing list.
• Plesk does not validate the ARC headers for incoming mail.

Enabling ARC Support

(Plesk for Linux) To enable ARC support on your server:

1. Acceso a Plesk.
2. Vaya a Herramientas y configuración > Configuración del servidor de correo (debajo de «Correo»).
3. Under «DKIM spam protection», select the «Allow signing outgoing mail» checkbox.
4. (Recommended) Under «SPF spam protection», select the «Enable SPF spam protection to check incoming mail» checkbox.
5. (Recommended) Under «DMARC», select the «Enable DMARC to check incoming mail» checkbox.
6. Haga clic en ACEPTAR.

ARC headers can now be added to outgoing mail forwarded via the Plesk forwarding feature or sent by the autoresponder.

Once ARC support is enabled on your server, ARC can be enabled for individual mail domains.

(Plesk for Linux) To enable ARC for a domain:

1. Acceso a Plesk.
2. Go to Websites & Domains, find the domain hosting the mail account, go to the «Mail» tab, and then click Mail Settings.
3. Seleccione la casilla «Usar el sistema de protección antispam DKIM para la firma de mensajes de email salientes» y haga clic en ACEPTAR.

ARC headers will now be added to outgoing mail forwarded via the Plesk forwarding feature or sent by the autoresponder by any of the mail accounts hosted on the domain.