Protección DKIM, SPF y DMARC

Plesk soporta distintas soluciones antispam para la validación de la identidad de los correos electrónicos:

  • DKIM (DomainKeys Identified Mail) es un método usado para asociar la identidad de un nombre de dominio con un correo saliente. Asimismo, también sirve para validar la identidad de un nombre de dominio asociado con un correo entrante mediante autenticación criptográfica.
  • SPF (Sender Policy Framework) es un método usado para impedir la falsificación de la dirección de un remitente, es decir, el uso de direcciones falsas. Este permite al servidor de correo verificar que los correos procedentes de un dominio proceden de un host autorizado por el administrador de dicho dominio. Asimismo, Plesk utiliza SRS (Sender Rewriting Scheme) para que así los mensajes reenviados puedan pasar la comprobación SPF.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) es una tecnología que permite ampliar las capacidades de los métodos SPF y DKIM. La directiva DMARC define la forma en la que el receptor debería tratar los correos en función de los resultados de la comprobación DKIM y SPF.

Los requisitos de servidor de correo se estas soluciones son los siguientes:

Servidor de correo DKIM SPF SRS DMARC

Postfix (Linux)

+

+

+

+

Qmail

+

+

-

+

MailEnable Professional

+

+

-

-

MailEnable Standard

Versión 9.16 o posterior

+

-

-

SmarterMail

+

+

+

+

IceWarp

+

+

+

-

En esta tabla, ‘+’ significa que la solución es soportada por todas las versiones soportadas por Plesk Onyx. ‘-‘ significa que la solución no se soporta.

En este capítulo:

DKIM

SPF y SRS

DMARC

 

DKIM

DKIM (DomainKeys Identified Mail) proporciona un método usado para validar la identidad de un nombre de dominio asociado con un mensaje. Este permite a las empresas responsabilizarse de los mensajes enviados añadiéndoles una firma digital generada de forma automática y usa técnicas criptográficas para validar la autorización para la presencia de firmas.

Para proporcionar soporte para DKIM, Plesk utiliza la funcionalidad de una librería externa (Linux) o del servidor de correo proporcionado con Plesk (Windows).

Importante: si usa un servicio DNS externo, la firma de DKIM funcionará correctamente en el caso de los mensajes salientes, si bien el servidor de correo receptor no podrá validar dichos mensajes. Como solución provisional, puede desactivar el servidor DNS de Plesk y añadir el registro DNS relacionado con DKIM correspondiente en el servicio DNS externo. En este caso, el servidor receptor podrá validar los mensajes.

Activación o desactivación de DKIM en el servidor

Para activar la funcionalidad DKIM en su servidor, vaya a Herramientas y configuración > Configuración del servidor de correo (en el grupo Correo) y desplácese a la sección Protección antispam DKIM. Las siguientes opciones le permiten gestionar DKIM en su servidor:

  • Permitir firmar correo saliente. Esta opción permite a los clientes activar la firma con DKIM de los correos salientes por dominios. Tenga en cuenta que esta opción no activa la firma de todos los correos salientes de forma automática. Para poder usar DKIM, los usuarios deben activarlo para los dominios individuales.
  • Comprobar correo entrante (Plesk para Linux). Esta opción activa el análisis de todos los correos entrantes por parte de DKIM. Se analizan todos los correos y, de experimentarse algún error durante el análisis, los correos pertinentes se marcan con un encabezado especial.

Tenga en cuenta que cada una de estas opciones puede seleccionarse de forma independiente. Puede optar por habilitar la firma de correo saliente, comprobar el correo entrante o ambas.

Nota: si DMARC está activado, no podrá desactivar la comprobación DKIM para los correos entrantes.

Activación de DKIM tras la actualización de Plesk

Cuando actualiza versiones anteriores de Plesk a Plesk Onyx, DomainKeys se reemplaza automáticamente por DKIM. Si en Plesk se activó la funcionalidad DomainKeys, DKIM también será activado.

Activación de la firma de correos con DKIM para un dominio

Si en el servidor se ha habilitado la firma con DKIM tal y como se detalla en la sección Activación o desactivación de DKIM en el servidor anterior, los clientes pueden firmar los correos salientes para sus dominios.

Para activar la firma con DKIM de los correos para un dominio en concreto:

  1. Abra la suscripción correspondiente para su posterior gestión.
  2. Vaya a la pestaña Correo > Configuración de correo.
  3. Seleccione el dominio deseado y haga clic en Activar/desactivar servicios.
  4. Seleccione Activar para Sistema de protección antispam DKIM para la firma de mensajes de email salientes y haga clic en ACEPTAR.

Nota: en el dominio debe haberse activado el servicio DNS.

Una vez activado DKIM para un dominio, Plesk añade los siguientes dos registros a la zona DNS del dominio:

  • default._domainkey.<example.com> - contiene la parte pública de la clave generada.
  • _ domainkey.<example.com> - contiene la directiva DKIM.
 

SPF y SRS

SPF (Sender Policy Framework) es un método usado para impedir la falsificación de la dirección de un remitente, es decir, el uso de direcciones falsas. SPF permite al administrador de un dominio establecer la directiva que autoriza a algunos hosts a enviar correos desde el dominio. El servidor de correo receptor comprueba que el correo procedente del dominio ha sido enviado desde un host autorizado por el administrador de dicho dominio. SPF se basa en las reglas especificadas por el administrador en la zona DNS del remitente.

En Plesk puede establecer una directiva SPF para los correos salientes especificando las reglas en un registro DNS. Asimismo, en el caso de Linux, puede activar SPF para la comprobación del correo entrante.

Cuando activa SPF para comprobar los correos entrantes, el servidor de correo efectúa una búsqueda DNS en el host del remitente para localizar algún registro DNS relacionado con SPF. Pueden definirse los siguientes grupos de reglas:

  • Reglas locales - Reglas usadas por el filtro antispam antes de que el servidor de correo inicie la comprobación SPF.

    Nota: estas reglas se concatenan con las reglas especificadas en el registro DNS relacionado con SPF o el remitente. Por ejemplo, si el remitente tiene la siguiente directiva SPF: example.com.   TXT  v=spf1 +a +mx –all y la regla local es a:test.plesk.com, la directiva resultante será example.com.   TXT  v=spf1 +a +mx +a:test.plesk.com –all.

  • Reglas de conjetura - Reglas aplicadas a los dominios que no publican registros SPF.

La información sobre el estado de la comprobación SPF puede encontrarse aquí.

Para establecer una directiva SPF para los correos salientes:

Vaya a Herramientas y configuración > Plantilla DNS y edite el registro DNS TXT relacionado con SPF. Este registro DNS siempre está presente en la plantilla DNS a nivel del servidor. A continuación puede ver un ejemplo de un registro SPF creado por Plesk:

example.com. TXT v=spf1 +a +mx +a:test.plesk.com -all

Las partes de este registro significan lo siguiente:

Parte Descripción

v=spf1

El dominio usa SPF de la versión 1.

+a

Todos los hosts de los registros "A" pueden enviar correos.

+mx

Todos los hosts de los registros "MX" pueden enviar correos.

+a:test.plesk.com

El dominio test.plesk.com puede enviar correos.

-all

Todos los demás dominios no pueden enviar correos.

Si desea más información sobre la sintaxis del registro DNS relacionado con SPF, visite  http://www.openspf.org/SPF_Record_Syntax. La nota de la directiva está disponible en RFC7208.

Para activar SPF para que compruebe los correos entrantes en un servidor basado en Linux:

  1. Vaya a Herramientas y configuración > Configuración del servidor de correo (en el grupo Correo). En la pestaña Configuración se abrirá la pantalla de preferencias de correo a nivel del servidor.
  2. En la sección Protección antispam SPF, seleccione la casilla Activar protección antispam SPF para el análisis del correo entrante.
  3. Si desea que SPF continúe con la comprobación en el caso de que la búsqueda DNS experimente algún problema, seleccione La comprobación SPF sigue en curso aunque se experimenten problemas al realizar la búsqueda en el DNS. En este caso, si el host no puede resolverse o no se encuentra ningún registro relacionado con SPF, se aplicarán las reglas de conjetura SPF.
  4. Seleccione una opción en el menú desplegable de modo de comprobación SPF para especificar cómo deben tratarse los correos cuando SPF aplique reglas locales y de conjetura:
    1. Sólo crear cabeceras SPF recibidas, nunca bloquear  - Para aceptar todos los correos entrantes sea cual sea el resultado de la comprobación SPF.
    2. Usar avisos de error temporal cuando tenga problemas de resolución DNS - Para aceptar todos los correos entrantes sea cual sea el resultado de la comprobación SPF, incluso si la comprobación SPF experimentó errores debido a problemas en la búsqueda DNS.
    3. Rechazar correo si SPF resuelve a "fail" (denegar) - Para rechazar los correos procedentes de remitentes que no puedan usar el dominio en cuestión.
    4. Rechazar correo si SPF resuelve a "softfail" - Para rechazar los correos procedentes de remitentes que el sistema SPF no pueda identificar como autorizados o no autorizados porque en el dominio no se haya publicado ningún registro SPF.
    5. Rechazar correo si SPF resuelve a "neutral" - Para rechazar los correos procedentes de remitentes que el sistema SPF no pueda identificar como autorizados o no autorizados porque en el dominio no se haya publicado ningún registro SPF.
    6. Rechazar correo si SPF no resuelve a "pass" - Para rechazar los correos que no han pasado la comprobación SPF por cualquier razón (por ejemplo, cuando el dominio del remitente no implementa SPF y la comprobación SPF devuelve el estado 'desconocido').
  5. Si desea especificar reglas locales, introduzca las reglas deseadas en la casilla Reglas locales SPF.
    Por ejemplo: include:spf.trusted-forwarder.org.

    Si desea más información sobre las reglas SPF, visite http://tools.ietf.org/html/rfc4408.

  6. También puede especificar las reglas de conjetura en la casilla Reglas de conjetura SPF.

    Por ejemplo: v=spf1 +a/24 +mx/24 +ptr ?all

  7. Para indicar un aviso de error arbitrario para que se devuelva al SMTP remitente cuando se rechace un mensaje, indíquelo en la casilla Texto de explicación SPF.

    Si no se indica ningún valor, se usará el texto predeterminado como notificación.

  8. Para finalizar la instalación haga clic en ACEPTAR.

Para desactivar la comprobación SPF para los correos entrantes:

  1. Vaya a Herramientas y configuración > Configuración del servidor de correo (en el grupo Correo). En la pestaña Configuración se abrirá la pantalla de preferencias de correo a nivel del servidor.
  2. En la sección Protección antispam SPF, deseleccione la casilla Activar protección antispam SPF para el análisis del correo entrante.

Nota: si DMARC está activado, no podrá desactivar la comprobación SPF para los correos entrantes en servidores basados en Linux.

Uso de SRS

Además de SPF, algunos servidores de correo en Plesk soportan SRS (Sender Rewriting Scheme), un mecanismo que permite reescribir direcciones remitentes cuando un correo se reenvía de tal forma que este sigue cumpliendo con SPF. En el caso de usar SPF, SRS ayuda a garantizar que los mensajes son entregados.

SRS se usa de forma automática cuando los correos se reenvían desde buzones de correo alojados en Plesk.

Para proporcionar la funcionalidad SRS, Plesk utiliza las capacidades de una librería externa (en el caso de Linux) o del software de servidor de correo (en el caso de Windows).

 

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) es una tecnología que permite ampliar las capacidades de las directivas de remitente SPF y DKIM . La directiva DMARC define la forma en la que el receptor debería tratar los correos en función de los resultados de la comprobación DKIM y SPF. Esta tecnología se basa en las reglas indicadas en la zona DNS del remitente.

En Plesk puede establecer una directiva DMARC para los correos salientes especificando las reglas en un registro DNS. Asimismo, puede activar DMARC para comprobar los correos entrantes en un servidor basado en Linux (usando cualquier servidor de correo soportado por Plesk) o en un servidor basado en Windows (usando únicamente SmarterMail).

Para establecer una directiva DMARC personalizada para los correos salientes:

Vaya a Herramientas y configuración > Plantilla DNS y edite los registros DNS relacionados con la directiva DMARC. Estos registros DNS siempre están presentes en la plantilla DNS a nivel del servidor. Por otro lado, los registros DNS relacionados con DKIM se añaden a las zonas DNS de los dominios individuales cuando activa DKIM en el dominio.

Por ejemplo, la directiva DMARC predeterminada de Plesk se define en el siguiente registro:

_dmarc.<domain>. TXT v=DMARC1; p=none

Esta directiva recomienda que el servidor receptor no elimine los correos, incluso cuando estos no puedan analizarse. De todos modos, puede especificar una directiva más estricta. Tenga en cuenta que el servidor receptor puede aplicar su propia directiva en lo que se refiere a los correos entrantes.

Los clientes de hosting pueden editar las directivas para dominios individuales.

Si desea más información acerca de DMARC, incluyendo las notas de la directiva, visite https://datatracker.ietf.org/doc/rfc7489/.

Para activar la comprobación de los correos entrantes por parte de DMARC:

  1. Vaya a Herramientas y configuración > Configuración del servidor de correo (en el grupo Correo). En la pestaña Configuración se abrirá la pantalla de preferencias de correo a nivel del servidor.
  2. En la sección DMARC, seleccione la casilla Activar DMARC para el análisis de los correos entrantes. En un servidor basado en Linux, esta opción sólo estará disponible si se ha activado DKIM y SPF para la comprobación de los correos entrantes.

DMARC_DKIM_SPF

 

Leave your feedback on this topic here

If you have questions or need support, please visit the Plesk forum or contact your hosting provider.
The comments below are for feedback on the documentation only. No timely answers or help will be provided.