Registros SPF, DKIM y DMARC

Estos 3 tipos de registro DNS son fundamentales para el correcto funcionamiento de sus sistemas de Mail. El DNS es una forma de anuncio publico de los parametros de su sistema, de manera que no se pueda o sea muy dificil suplantar su identidad o que se envien emails a su nombre por parte de terceros no autorizados.

AVAS – Registros SPF, DKIM y DMARC

Para habilitar la protección AvasCloud de su correo saliente es necesario agregar en el DNS de todos los dominios a proteger los registros SPF, DKIM y DMARC propuestos en este documento.

Protocolo SPF

El protocolo SPF (Sender Policy Framework), que se basa en el DNS de su nombre de dominio, puede certificar que el IP de emisión tiene el derecho de enviar mensajes de e-mail con su remitente.

Dicho de otra manera, con este registro se declaran las infraestructuras de direcciones IP de los proveedores a través de los cuales va a enviar e-mails con remitente en su dominio.

Para ésto, si va a utilizar el servicio Outbound o Saliente de AVAS de Planisys debe incluir los bloques de direcciones IP de Planisys en su registro SPF.

Este protocolo se utiliza para evitar el uso fraudulento de su nombre de dominio y evitar que terceros se hagan pasar por usted. Este protocolo es particularmente eficaz contra los ataques de phishing. Se utiliza en combinación con DKIM y DMARC.

Agregar registro SPF

Caso 1: El dominio no posee un registro SPF

Si el dominio no posee un registro SPF y va a enviar mails sólo a través del servicio de Planisys, se deberá crear en el DNS el siguiente registro:

dominio.com. IN TXT "v=spf1 include:spf.planisys.net -all"

Si en cambio no posee registro SPF y va a enviar mails a través del servicio de Planisys y adicionalmente a través de otros servicios, el registro deberá tener la siguiente forma:

dominio.com. IN TXT "v=spf1 include:spf.planisys.net ?all"

Caso 2: El dominio ya posee un registro SPF

Si el dominio ya posee un registro SPF, se deberá modificar agregando el include:spf.planisys.net al mismo. Si un dominio tiene un registro como el siguiente, por ejemplo:

dominio.com. IN TXT "v=spf1 a include:emailmarketing.net ip4:10.0.0.1 -all"

se deberá modificar, quedando de la siguiente manera:

dominio.com. IN TXT "v=spf1 a include:emailmarketing.net ip4:10.0.0.1 include:spf.planisys.net -all"

En PDNS el registro deberá crearse de la siguiente manera:

Protocolo DKIM

El protocolo DKIM (DomainKeys Identified Mail) es un protocolo criptográfico basado en el uso de claves públicas que se publican en su DNS.

Este protocolo le permite firmar sus e-mails con su nombre de dominio, tal como lo haría al firmar una carta con su nombre. De esta forma, el destinatario de su e-mail podrá asegurarse de que el correo que ha recibido, ha sido firmado por la infraestructura Outbound de su dominio y no ha sido alterado durante la transmisión.

Este protocolo es particularmente eficaz contra ataques del tipo Man in the Middle, al impedir que se altere el contenido del mail una vez que fue firmado.

Se pueden tener varios selectores en su dominio para diferentes sistemas que firman sus e-mails salientes. En el caso de AVAS Planisys, hemos generado un par de claves (privada y pública), y pedimos a los dominios que utilizan nuestro servicio Outbound que configuren en sus DNSs la clave pública provista por Planisys con el selector “selector1“.

Agregar registro DKIM

Se deberá crear en el DNS del dominio a proteger el siguiente registro:

"selector1._domainkey.dominio.com. IN TXT k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDJKwIQcgY5KrBFK80/YDosF3drO+0y1XsOFjK7H/FZPugsdkHtbe/axRu9aEjlJvdQr/QQqUM7jWSp/eSzb2G8UBG06xfRLQPPy7xKzK5jCzlbFy15Eq8zcdmMAIyCfAsF4fLoVbBvDctahFLEQqS03MiG+OgOUNbuJ4HG8oDEPwIDAQAB"

De esta manera, todos los e-mails que salgan por el servicio AVAS Planisys Outbound serán firmados independientemente de si ha dado de alta este registro o no, por lo tanto el registro es mandatorio.

Si no está seguro de todos los posibles carriles por los que sale su e-mail, es conveniente que agregre ;t=y al final del registro para mostrar que está en modo testing.

En PDNS el registro deberá crearse de la siguiente manera:

Protocolo DMARC

El protocolo DMARC (Domain-based Message Authentication, Reporting and Conformance) permite publicar en el DNS la política sugerida por el dueño de un dominio a los operadores de Mail de otros dominios, respecto a los mails con remitente u origen en este dominio.

En particular, la política sugerida es respecto a qué deberían hacer los operadores de Mail en caso que los mails con remitente en su dominio tengan fallas de SPF y/o DKIM.

Agregar registro DMARC

El registro sugerido por Planisys es el siguiente, para el caso que su dominio esté configurado correctamente con SPF y DKIM (copiar y pegar):

_dmarc.dominio.com. IN TXT "v=DMARC1; p=reject; rua=mailto:Dmarcplanisys@rebotes.planisys.net; fo=0:s; aspf=r; adkim=r; pct=100; rf=afrf; ri=86400; sp=reject"

De esta manera, si aparecen e-mails desde direcciones IP incorrectas o que no estén firmados con DKIM o firmados incorrectamente, la política sugerida es “REJECT”. Esto es, rechazar todo mail con remitente en su dominio que no cumpla con los requisitos de SPF y DKIM.

El registro DMARC es una manera de proteger su marca y reputación en Internet, comprometiéndose a enviar e-mails con su remitente sólo a través de canales seguros como AVAS o DMDS Planisys, y no arriesgando envíos desde servidores sin autenticación o envíos de e-mail marketing en plataformas compartidas.

En PDNS el registro deberá crearse de la siguiente manera: