Plesk soporta distintas soluciones antispam para la validación de la identidad de los correos electrónicos:

  • DKIM (DomainKeys Identified Mail) es un método usado para asociar la identidad de un nombre de dominio con un correo saliente. Asimismo, también sirve para validar la identidad de un nombre de dominio asociado con un correo entrante mediante autenticación criptográfica.
  • SPF (Sender Policy Framework) es un método usado para impedir la falsificación de la dirección de un remitente, es decir, el uso de direcciones falsas. Este permite al servidor de correo verificar que los correos procedentes de un dominio proceden de un host autorizado por el administrador de dicho dominio. Asimismo, Plesk utiliza SRS (Sender Rewriting Scheme) para que así los mensajes reenviados puedan pasar la comprobación SPF.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) es una tecnología que permite ampliar las capacidades de los métodos SPF y DKIM. La directiva DMARC define la forma en la que el receptor debería tratar los correos en función de los resultados de la comprobación DKIM y SPF.

Los requisitos de servidor de correo para estas soluciones son los siguientes:

Servidor de correo DKIM SPF SRS DMARC
Postfix (Linux)
Qmail
MailEnable Professional
MailEnable Standard Versión 9.16 o posterior
SmarterMail
IceWarp

En esta tabla, ‘+’ significa que la solución es soportada por todas las versiones soportadas por Plesk Obsidian. ‘-‘ significa que no se soporta la solución.

DKIM

DKIM (DomainKeys Identified Mail) proporciona un método usado para validar la identidad de un nombre de dominio asociado con un mensaje. Este permite a las empresas responsabilizarse de los mensajes enviados añadiéndoles una firma digital generada de forma automática y usa técnicas criptográficas para validar la autorización para la presencia de firmas.

Para proporcionar soporte para DKIM, Plesk utiliza la funcionalidad de una librería externa (Linux) o del servidor de correo proporcionado con Plesk (Windows).

Advertencia: si usa un servicio DNS externo, la firma de DKIM funcionará correctamente en el caso de los mensajes salientes, si bien el servidor de correo receptor no podrá validar dichos mensajes. Como solución provisional, puede desactivar el servidor DNS de Plesk y añadir el registro DNS relacionado con DKIM correspondiente en el servicio DNS externo. En este caso, el servidor receptor podrá validar los mensajes. Obtenga más información sobre la activación de la firma de emails mediante DKIM para los dominios que usan un servidor DNS externo.

Activación o desactivación de DKIM en el servidor

Por omisión, DKIM viene activado en Plesk. Si desea desactivarlo o solo conservarlo para el correo entrante y saliente, vaya a Herramientas y configuración > Configuración del servidor de correo (debajo de «Correo»), desplácese hasta la sección «Protección antispam DKIM» y deseleccione una de las siguientes casillas o ambas:

  • Permitir firmar correo saliente. Esta opción permite a los clientes activar la firma con DKIM de los correos salientes por dominios. Tenga en cuenta que esta opción no activa la firma de todos los correos salientes de forma automática. Para poder usar DKIM, los usuarios deben activarlo para los dominios individuales.
  • Comprobar correo entrante (Plesk para Linux). Esta opción activa el análisis de todos los correos entrantes por parte de DKIM. Se analizan todos los correos y, de experimentarse algún error durante el análisis, los correos pertinentes se marcan con un encabezado especial.

Nota: si DMARC está activado, no podrá desactivar la comprobación DKIM para los correos entrantes.

Activación de la firma de correos con DKIM para un dominio

Si en el servidor se ha habilitado la firma con DKIM tal y como se detalla en la sección Activación o desactivación de DKIM en el servidor anterior, los clientes pueden firmar los correos salientes para sus dominios.

Para activar la firma con DKIM de los correos para un dominio en concreto:

  1. Abra la suscripción correspondiente para su posterior gestión.
  2. Vaya a la pestaña Correo > Configuración de correo.
  3. Seleccione el dominio deseado y haga clic en Activar/desactivar servicios.
  4. Seleccione Activar para Sistema de protección antispam DKIM para la firma de mensajes de email salientes y haga clic en ACEPTAR.

Nota: en el dominio debe haberse activado el servicio DNS.

Una vez activado DKIM para un dominio, Plesk añade los siguientes dos registros a la zona DNS del dominio:

  • default._domainkey.<example.com> - contiene la parte pública de la clave generada.
  • _ domainkey.<example.com> - contiene la directiva DKIM.

SPF y SRS

SPF (Sender Policy Framework) es un método usado para impedir la falsificación de la dirección de un remitente, es decir, el uso de direcciones falsas. SPF permite al administrador de un dominio establecer la directiva que autoriza a algunos hosts a enviar correos desde el dominio. El servidor de correo receptor comprueba que el correo procedente del dominio ha sido enviado desde un host autorizado por el administrador de dicho dominio. SPF se basa en las reglas especificadas por el administrador en la zona DNS del remitente.

En Plesk puede configurar una directiva SPF para los correos salientes especificando las reglas en un registro DNS. En Plesk para Linux, SPF también comprueba el correo entrante de forma predeterminada.

Cuando se ha activado SPF para los correos entrantes, el servidor de correo efectúa una búsqueda DNS en el host del remitente para localizar algún registro DNS relacionado con SPF. Pueden definirse los siguientes grupos de reglas:

  • Reglas locales - Reglas usadas por el filtro antispam antes de que el servidor de correo inicie la comprobación SPF.

    Nota: estas reglas se concatenan con las reglas especificadas en el registro DNS relacionado con SPF o el remitente. Por ejemplo, si el remitente tiene la siguiente directiva SPF: example.com. TXT v=spf1 +a +mx -all y la regla local es a:test.plesk.com, la directiva resultante será example.com. TXT v=spf1 +a +mx +a:test.plesk.com -all.

  • Reglas de conjetura - Reglas aplicadas a los dominios que no publican registros SPF.

La información sobre el estado de la comprobación SPF puede encontrarse aquí.

Para establecer una directiva SPF para los correos salientes:

Vaya a Herramientas y configuración > Plantilla DNS y edite el registro DNS TXT relacionado con SPF. Este registro DNS siempre está presente en la plantilla DNS a nivel del servidor. A continuación puede ver un ejemplo de un registro SPF creado por Plesk:

example.com.    TXT    v=spf1 +a +mx +a:test.plesk.com -all

Las partes de este registro significan lo siguiente:

Parte Descripción
v=spf1 El dominio usa SPF de la versión 1.
+a Todos los hosts de los registros «A» pueden enviar correos.
+mx Todos los hosts de los registros «MX» pueden enviar correos.
+a:test.plesk.com El dominio test.plesk.com puede enviar correos.
-all Todos los demás dominios no pueden enviar correos.

Si desea más información sobre la sintaxis del registro DNS relacionado con SPF, visite  http://www.openspf.org/SPF_Record_Syntax. La nota de la directiva está disponible en RFC7208.

(Plesk para Linux) Para configurar SPF para que compruebe los correos entrantes:

  1. Vaya a Herramientas y configuración > Configuración del servidor de correo (debajo de «Correo») y desplácese hasta la sección «Protección antispam SPF».

  2. Seleccione una opción en el menú desplegable de modo de comprobación SPF para especificar cómo deben tratarse los correos cuando SPF aplique reglas locales y de conjetura:

    1. Sólo crear cabeceras SPF recibidas, nunca bloquear  - Para aceptar todos los correos entrantes sea cual sea el resultado de la comprobación SPF.
    2. Usar avisos de error temporal cuando tenga problemas de resolución DNS - Para aceptar todos los correos entrantes sea cual sea el resultado de la comprobación SPF, incluso si la comprobación SPF experimentó errores debido a problemas en la búsqueda DNS.
    3. Rechazar correo si SPF resuelve a «fail» (denegar) - Para rechazar los correos procedentes de remitentes que no puedan usar el dominio en cuestión.
    4. Rechazar correo si SPF resuelve a «softfail» - Para rechazar los correos procedentes de remitentes que el sistema SPF no pueda identificar como autorizados o no autorizados porque en el dominio no se haya publicado ningún registro SPF.
    5. Rechazar correo si SPF resuelve a «neutral» - Para rechazar los correos procedentes de remitentes que el sistema SPF no pueda identificar como autorizados o no autorizados porque en el dominio no se haya publicado ningún registro SPF.
    6. Rechazar correo si SPF no resuelve a «pass» - Para rechazar los correos que no han pasado la comprobación SPF por cualquier razón (por ejemplo, cuando el dominio del remitente no implementa SPF y la comprobación SPF devuelve el estado “desconocido”).
  3. Si desea especificar reglas locales, introduzca las reglas deseadas en la casilla Reglas locales SPF.
    Por ejemplo: include:spf.trusted-forwarder.org.

    Obtenga más información sobre las reglas SPF.

  4. También puede especificar las reglas de conjetura en la casilla Reglas de conjetura SPF.

    Por ejemplo: v=spf1 +a/24 +mx/24 +ptr ?all

  5. Para indicar un aviso de error arbitrario para que se devuelva al SMTP remitente cuando se rechace un mensaje, indíquelo en la casilla Texto de explicación SPF.

    Si no se indica ningún valor, se usará el texto predeterminado como notificación.

  6. Para finalizar la instalación haga clic en ACEPTAR.

(Plesk para Linux) Para desactivar la comprobación de correos entrantes por parte de SPF:

  1. Vaya a Herramientas y configuración > Configuración del servidor de correo (debajo de «Correo»).
  2. En la sección «DMARC», deseleccione la casilla «Activar DMARC para el análisis de los correos entrantes», si está seleccionada.
  3. En la sección «Protección antispam SPF», deseleccione la casilla «Activar protección antispam SPF para el análisis del correo entrante» y haga clic en ACEPTAR.

Uso de SRS

Además de SPF, algunos servidores de correo en Plesk soportan SRS (Sender Rewriting Scheme), un mecanismo que permite reescribir direcciones remitentes cuando un correo se reenvía de tal forma que este sigue cumpliendo con SPF. En el caso de usar SPF, SRS ayuda a garantizar que los mensajes son entregados.

SRS se usa de forma automática cuando los correos se reenvían desde buzones de correo alojados en Plesk.

Para proporcionar la funcionalidad SRS, Plesk utiliza las capacidades de una librería externa (en el caso de Linux) o del software de servidor de correo (en el caso de Windows).

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) es una tecnología que permite ampliar las capacidades de las directivas de remitente SPF y DKIM . La directiva DMARC define la forma en la que el receptor debería tratar los correos en función de los resultados de la comprobación DKIM y SPF. Esta tecnología se basa en las reglas indicadas en la zona DNS del remitente.

En Plesk puede configurar una directiva DMARC para los correos salientes especificando las reglas en un registro DNS. Por defecto, en Plesk para Linux y Plesk para Windows que usen SmarterMail, DMARC también verifica los correos entrantes.

Para establecer una directiva DMARC personalizada para los correos salientes:

Vaya a Herramientas y configuración > Plantilla DNS y edite los registros DNS relacionados con la directiva DMARC. Estos registros DNS siempre están presentes en la plantilla DNS a nivel del servidor. Por otro lado, los registros DNS relacionados con DKIM se añaden a las zonas DNS de los dominios individuales cuando activa DKIM en el dominio.

Por ejemplo, la directiva DMARC predeterminada de Plesk se define en el siguiente registro:

_dmarc.<domain>.    TXT    v=DMARC1; p=none

Esta directiva recomienda que el servidor receptor no elimine los correos, incluso cuando estos no puedan analizarse. De todos modos, puede especificar una directiva más estricta. Tenga en cuenta que el servidor receptor puede aplicar su propia directiva en lo que se refiere a los correos entrantes.

Los clientes de hosting pueden editar las directivas para dominios individuales.

Si desea más información acerca de DMARC, incluyendo las notas de la directiva, visite https://datatracker.ietf.org/doc/rfc7489/.

Para desactivar la comprobación de los correos entrantes por parte de DMARC:

  1. Vaya a Herramientas y configuración > Configuración del servidor de correo (debajo de «Correo»).
  2. En la sección DMARC, deseleccione la casilla «Activar DMARC para el análisis de los correos entrantes» y haga clic en ACEPTAR.

image-78142.png