Plesk soporta distintas soluciones antispam para la validación de la identidad de los correos electrónicos:

  • DKIM (DomainKeys Identified Mail) es un método usado para asociar la identidad de un nombre de dominio con un correo saliente. Asimismo, también sirve para validar la identidad de un nombre de dominio asociado con un correo entrante mediante autenticación criptográfica.
  • SPF (Sender Policy Framework) es un método usado para impedir la falsificación de la dirección de un remitente, es decir, el uso de direcciones falsas. Este permite al servidor de correo verificar que los correos procedentes de un dominio proceden de un host autorizado por el administrador de dicho dominio. Asimismo, Plesk utiliza SRS (Sender Rewriting Scheme) para que así los mensajes reenviados puedan pasar la comprobación SPF.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) es una tecnología que permite ampliar las capacidades de los métodos SPF y DKIM. La directiva DMARC define la forma en la que el receptor debería tratar los correos en función de los resultados de la comprobación DKIM y SPF.

Los requisitos de servidor de correo para estas soluciones son los siguientes:

Servidor de correo DKIM SPF* SRS DMARC
Postfix (Linux)
Qmail (Linux)
MailEnable Professional (Windows)
MailEnable Standard (Windows) Versión 9.16 o posterior
SmarterMail (Windows)
IceWarp (Windows)

En esta tabla, ‘+’ significa que la solución es soportada por todas las versiones soportadas por Plesk Obsidian. ‘-‘ significa que no se soporta la solución.

Nota: *In the table above, SPF support means SPF for incoming mail. Linux mail servers are marked with ‘+’ because Plesk for Linux supports SPF for incoming and outgoing mail. Windows mail servers are marked with ‘-’ because Plesk for Windows supports SPF for outgoing mail only.

DKIM

Enabling DKIM for a domain attaches a special header to every email sent from the domain. This header contains a cryptographic private key. The recipient mail servers use a public key to verify that an email was indeed sent from the domain and no one tampered with the email content in transit. Emails that do not have the header will be detected as not authentic.

Para proporcionar soporte para DKIM, Plesk utiliza la funcionalidad de una librería externa (Linux) o del servidor de correo proporcionado con Plesk (Windows).

Enabling or Disabling DKIM on the Server

Por omisión, DKIM viene activado en Plesk. Si desea desactivarlo o solo conservarlo para el correo entrante y saliente, vaya a Herramientas y configuración > Configuración del servidor de correo (debajo de «Correo»), desplácese hasta la sección «Protección antispam DKIM» y deseleccione una de las siguientes casillas o ambas:

  • Permitir firmar correo saliente. Esta opción permite a los clientes activar la firma con DKIM de los correos salientes por dominios. Tenga en cuenta que esta opción no activa la firma de todos los correos salientes de forma automática. Para poder usar DKIM, los usuarios deben activarlo para los dominios individuales.
  • Comprobar correo entrante (Plesk para Linux). Esta opción activa el análisis de todos los correos entrantes por parte de DKIM. Se analizan todos los correos y, de experimentarse algún error durante el análisis, los correos pertinentes se marcan con un encabezado especial.

Nota: si DMARC está activado, no podrá desactivar la comprobación DKIM para los correos entrantes.

Enabling DKIM for a Domain

Si en el servidor se ha habilitado la firma con DKIM tal y como se detalla en la sección Activación o desactivación de DKIM en el servidor anterior, los clientes pueden firmar los correos salientes para sus dominios.

To enable DKIM signing of outgoing mail for a domain:

  1. Go to Websites & Domains > your domain > the «Mail» tab > Mail Settings.

  2. Select the «Use DKIM spam protection system to sign outgoing email messages» checkbox and then click Apply.

    If you use the Plesk DNS server, you have enabled DKIM for the domain. Plesk adds the following two records to the DNS zone of the domain (example.com stands for your domain name):

    • default._domainkey.example.com contains the public part of the generated key.
    • _ domainkey.example.com contains the DKIM policy. You can edit this policy.

    If you use an external DNS server, you have one more step left. Plesk cannot add the DNS records to the external DNS server. Add them yourself using a hint from Plesk.

  3. Click «How to configure external DNS» to open the hint. Copy two DNS records you see there and add them to the DNS server.

Nota: If you have domain aliases you use to send mail, add the DKIM DNS records for them as well. Use the same records as for the main domain but with the domain alias name.

image DKIM external DNS

SPF y SRS

SPF (Sender Policy Framework) es un método usado para impedir la falsificación de direcciones de remitentes, es decir, el uso de direcciones de remitentes falsas. Con SPF, el administrador de un dominio puede establecer una directiva que autorice a determinados hosts a enviar correos desde el dominio. El servidor receptor del correo verifica que el correo entrante procede de un dominio de un host autorizado por el administrador del dominio en cuestión. SPF se basa en reglas especificadas por el administrador en la zona DNS del remitente.

En Plesk puede configurar una directiva SPF para los correos salientes especificando las reglas en un registro DNS. En Plesk para Linux, SPF también comprueba el correo entrante de forma predeterminada.

When SPF is set up, the mail server checks incoming mail using the following algorithm steps:

  1. Read local rules.

    Local rules are the rules used by the spam filter. An example local rule can be the following: a:test.plesk.com.

  2. Search for the sender’s DNS SPF record (if any).

    An example SPF record can be the following:example.com. TXT v=spf1 +a +mx -all

  3. Concatenate the local rules and the SPF record into the resulting policy.

    In our example, the resulting policy will be example.com. TXT v=spf1 +a +mx +a:test.plesk.com -all.

    Nota: If the mail server detects no SPF record, the resulting policy will comprise the local rules only.

  4. Check mail against the policy resulting from the previous step.

  5. Read guess rules.

    Guess rules are the global rules that override the SPF record. An example guess rule can be the following: v=spf1 +a/24 +mx/24 +ptr ?all.

  6. Check mail against the guess rules only.

  7. Compare the results of the two checks: the one made against the resulting policy (step 4) and the one made against the guess rules only (the previous step). Apply the check whose result is more permissive.

See more information on SPF check statuses.

Para establecer una directiva SPF para los correos salientes:

Vaya a Herramientas y configuración > Plantilla DNS y edite el registro DNS TXT relacionado con SPF. Este registro DNS siempre está presente en la plantilla DNS a nivel del servidor. A continuación puede ver un ejemplo de un registro SPF creado por Plesk:

example.com.    TXT    v=spf1 +a +mx +a:test.plesk.com -all

Las partes de este registro significan lo siguiente:

Parte Descripción
v=spf1 El dominio usa SPF de la versión 1.
+a Todos los hosts de los registros «A» pueden enviar correos.
+mx Todos los hosts de los registros «MX» pueden enviar correos.
+a:test.plesk.com El dominio test.plesk.com puede enviar correos.
-all Todos los demás dominios no pueden enviar correos.

Obtenga más información sobre la sintaxis de los registro DNS SPF. La notación de la directiva se encuentra disponible en RFC7208.

(Plesk para Linux) Para configurar SPF para que compruebe los correos entrantes:

  1. Vaya a Herramientas y configuración > Configuración del servidor de correo (debajo de «Correo») y desplácese hasta la sección «Protección antispam SPF».

  2. Seleccione una opción en el menú desplegable de modo de comprobación SPF para especificar cómo deben tratarse los correos cuando SPF aplique reglas locales y de conjetura:

    1. Sólo crear cabeceras SPF recibidas, nunca bloquear  - Para aceptar todos los correos entrantes sea cual sea el resultado de la comprobación SPF.
    2. Usar avisos de error temporal cuando tenga problemas de resolución DNS - Para aceptar todos los correos entrantes sea cual sea el resultado de la comprobación SPF, incluso si la comprobación SPF experimentó errores debido a problemas en la búsqueda DNS.
    3. Rechazar correo si SPF resuelve a «fail» (denegar) - Para rechazar los correos procedentes de remitentes que no puedan usar el dominio en cuestión.
    4. Rechazar correo si SPF resuelve a «softfail» - Para rechazar los correos procedentes de remitentes que el sistema SPF no pueda identificar como autorizados o no autorizados porque en el dominio no se haya publicado ningún registro SPF.
    5. Rechazar correo si SPF resuelve a «neutral» - Para rechazar los correos procedentes de remitentes que el sistema SPF no pueda identificar como autorizados o no autorizados porque en el dominio no se haya publicado ningún registro SPF.
    6. Rechazar correo si SPF no resuelve a «pass» - Para rechazar los correos que no han pasado la comprobación SPF por cualquier razón (por ejemplo, cuando el dominio del remitente no implementa SPF y la comprobación SPF devuelve el estado “desconocido”).
  3. Si desea especificar reglas locales, introduzca las reglas deseadas en la casilla Reglas locales SPF.
    Por ejemplo: include:spf.trusted-forwarder.org.

    Obtenga más información sobre las reglas SPF.

  4. También puede especificar las reglas de conjetura en la casilla Reglas de conjetura SPF.

    Por ejemplo: v=spf1 +a/24 +mx/24 +ptr ?all

  5. Para indicar un aviso de error arbitrario para que se devuelva al SMTP remitente cuando se rechace un mensaje, indíquelo en la casilla Texto de explicación SPF.

    Si no se indica ningún valor, se usará el texto predeterminado como notificación.

  6. Para finalizar la instalación haga clic en ACEPTAR.

(Plesk para Linux) Para desactivar la comprobación de correos entrantes por parte de SPF:

  1. Vaya a Herramientas y configuración > Configuración del servidor de correo (debajo de «Correo»).
  2. En la sección «DMARC», deseleccione la casilla «Activar DMARC para el análisis de los correos entrantes», si está seleccionada.
  3. En la sección «Protección antispam SPF», deseleccione la casilla «Activar protección antispam SPF para el análisis del correo entrante» y haga clic en ACEPTAR.

Uso de SRS

Además de SPF, algunos servidores de correo en Plesk soportan SRS (Sender Rewriting Scheme), un mecanismo que permite reescribir direcciones remitentes cuando un correo se reenvía de tal forma que este sigue cumpliendo con SPF. En el caso de usar SPF, SRS ayuda a garantizar que los mensajes son entregados.

SRS se usa de forma automática cuando los correos se reenvían desde buzones de correo alojados en Plesk.

Para proporcionar la funcionalidad SRS, Plesk utiliza las capacidades de una librería externa (en el caso de Linux) o del software de servidor de correo (en el caso de Windows).

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) es una tecnología que permite ampliar las capacidades de las directivas de remitente SPF y DKIM . La directiva DMARC define la forma en la que el receptor debería tratar los correos en función de los resultados de la comprobación DKIM y SPF. Esta tecnología se basa en las reglas indicadas en la zona DNS del remitente.

En Plesk puede configurar una directiva DMARC para los correos salientes especificando las reglas en un registro DNS. Por defecto, en Plesk para Linux y Plesk para Windows que usen SmarterMail, DMARC también verifica los correos entrantes.

Para establecer una directiva DMARC personalizada para los correos salientes:

Vaya a Herramientas y configuración > Plantilla DNS y edite los registros DNS relacionados con la directiva DMARC. Estos registros DNS siempre están presentes en la plantilla DNS a nivel del servidor. Por otro lado, los registros DNS relacionados con DKIM se añaden a las zonas DNS de los dominios individuales cuando activa DKIM en el dominio.

Por ejemplo, la directiva DMARC predeterminada de Plesk se define en el siguiente registro:

_dmarc.<domain>.    TXT    v=DMARC1; p=none

Esta directiva recomienda que el servidor receptor no elimine los correos, incluso cuando estos no puedan analizarse. De todos modos, puede especificar una directiva más estricta. Tenga en cuenta que el servidor receptor puede aplicar su propia directiva en lo que se refiere a los correos entrantes.

Los clientes de hosting pueden editar las directivas para dominios individuales.

Si desea más información acerca de DMARC, incluyendo las notas de la directiva, visite https://datatracker.ietf.org/doc/rfc7489/.

Para desactivar la comprobación de los correos entrantes por parte de DMARC:

  1. Vaya a Herramientas y configuración > Configuración del servidor de correo (debajo de «Correo»).
  2. En la sección DMARC, deseleccione la casilla «Activar DMARC para el análisis de los correos entrantes» y haga clic en ACEPTAR.

image 78142