Protección DKIM, SPF y DMARC
Plesk soporta distintas soluciones antispam para la validación de la identidad de los correos electrónicos:
- DKIM (DomainKeys Identified Mail) es un método usado para asociar la identidad de un nombre de dominio con un correo saliente. Asimismo, también sirve para validar la identidad de un nombre de dominio asociado con un correo entrante mediante autenticación criptográfica.
- SPF (Sender Policy Framework) es un método usado para impedir la falsificación de la dirección de un remitente, es decir, el uso de direcciones falsas. Este permite al servidor de correo verificar que los correos procedentes de un dominio proceden de un host autorizado por el administrador de dicho dominio. Asimismo, Plesk utiliza SRS (Sender Rewriting Scheme) para que así los mensajes reenviados puedan pasar la comprobación SPF.
- DMARC (Domain-based Message Authentication, Reporting and Conformance) es una tecnología que permite ampliar las capacidades de los métodos SPF y DKIM. La directiva DMARC define la forma en la que el receptor debería tratar los correos en función de los resultados de la comprobación DKIM y SPF.
Los requisitos de servidor de correo para estas soluciones son los siguientes:
Servidor de correo | DKIM | SPF | SRS | DMARC |
---|---|---|---|---|
Postfix (Linux) | ➕ | ➕ | ➕ | ➕ |
Qmail | ➕ | ➕ | ➖ | ➕ |
MailEnable Professional | ➕ | ➕ | ➖ | ➖ |
MailEnable Standard | Versión 9.16 o posterior | ➖ | ➖ | ➖ |
SmarterMail | ➕ | ➕ | ➕ | ➕ |
IceWarp | ➕ | ➕ | ➕ | ➖ |
En esta tabla, ‘+’ significa que la solución es soportada por todas las versiones soportadas por Plesk Onyx. ‘-‘ significa que la solución no se soporta.
DKIM
DKIM (DomainKeys Identified Mail) proporciona un método usado para validar la identidad de un nombre de dominio asociado con un mensaje. Este permite a las empresas responsabilizarse de los mensajes enviados añadiéndoles una firma digital generada de forma automática y usa técnicas criptográficas para validar la autorización para la presencia de firmas.
Para proporcionar soporte para DKIM, Plesk utiliza la funcionalidad de una librería externa (Linux) o del servidor de correo proporcionado con Plesk (Windows).
Advertencia: si usa un servicio DNS externo, la firma de DKIM funcionará correctamente en el caso de los mensajes salientes, si bien el servidor de correo receptor no podrá validar dichos mensajes. Como solución provisional, puede desactivar el servidor DNS de Plesk y añadir el registro DNS relacionado con DKIM correspondiente en el servicio DNS externo. En este caso, el servidor receptor podrá validar los mensajes. Obtenga más información sobre la activación de la firma de emails mediante DKIM para los dominios que usan un servidor DNS externo.
Activación o desactivación de DKIM en el servidor
Para activar la funcionalidad DKIM en su servidor, vaya a Herramientas y configuración > Configuración del servidor de correo (en el grupo Correo) y desplácese a la sección Protección antispam DKIM. Las siguientes opciones le permiten gestionar DKIM en su servidor:
- Permitir firmar correo saliente. Esta opción permite a los clientes activar la firma con DKIM de los correos salientes por dominios. Tenga en cuenta que esta opción no activa la firma de todos los correos salientes de forma automática. Para poder usar DKIM, los usuarios deben activarlo para los dominios individuales.
- Comprobar correo entrante (Plesk para Linux). Esta opción activa el análisis de todos los correos entrantes por parte de DKIM. Se analizan todos los correos y, de experimentarse algún error durante el análisis, los correos pertinentes se marcan con un encabezado especial.
Tenga en cuenta que cada una de estas opciones puede seleccionarse de forma independiente. Puede optar por habilitar la firma de correo saliente, comprobar el correo entrante o ambas.
Nota: si DMARC está activado, no podrá desactivar la comprobación DKIM para los correos entrantes.
Activación de DKIM tras la actualización de Plesk
Cuando actualiza versiones anteriores de Plesk a Plesk Onyx, DomainKeys se reemplaza automáticamente por DKIM. Si en Plesk se activó la funcionalidad DomainKeys, DKIM también será activado.
Activación de la firma de correos con DKIM para un dominio
Si en el servidor se ha habilitado la firma con DKIM tal y como se detalla en la sección Activación o desactivación de DKIM en el servidor anterior, los clientes pueden firmar los correos salientes para sus dominios.
Para activar la firma con DKIM de los correos para un dominio en concreto:
- Abra la suscripción correspondiente para su posterior gestión.
- Vaya a la pestaña Correo > Configuración de correo.
- Seleccione el dominio deseado y haga clic en Activar/desactivar servicios.
- Seleccione Activar para Sistema de protección antispam DKIM para la firma de mensajes de email salientes y haga clic en ACEPTAR.
Nota: en el dominio debe haberse activado el servicio DNS.
Una vez activado DKIM para un dominio, Plesk añade los siguientes dos registros a la zona DNS del dominio:
-
default._domainkey.<example.com>
- contiene la parte pública de la clave generada. -
_ domainkey.<example.com>
- contiene la directiva DKIM.
SPF y SRS
SPF (Sender Policy Framework) is a method used to prevent sender address forgery, i.e. using fake sender addresses. SPF allows a domain’s administrator to set a policy that authorizes particular hosts to send mail from the domain. A receiving mail server checks that the incoming mail from a domain comes from a host authorized by that domain’s administrator. SPF is based on the rules specified by the administrator in the sender’s DNS zone.
En Plesk puede establecer una directiva SPF para los correos salientes especificando las reglas en un registro DNS. Asimismo, en el caso de Linux, puede activar SPF para la comprobación del correo entrante.
When SPF is set up, the mail server checks incoming mail using the following algorithm steps:
-
Read local rules.
Local rules are the rules used by the spam filter. An example local rule can be the following:
a:test.plesk.com
. -
Search for the sender’s DNS SPF record (if any).
An example SPF record can be the following:
example.com. TXT v=spf1 +a +mx -all
-
Concatenate the local rules and the SPF record into the resulting policy.
In our example, the resulting policy will be
example.com. TXT v=spf1 +a +mx +a:test.plesk.com -all
.Nota: If the mail server detects no SPF record, the resulting policy will comprise the local rules only.
-
Check mail against the policy resulting from the previous step.
-
Read guess rules.
Guess rules are the global rules that override the SPF record. An example guess rule can be the following:
v=spf1 +a/24 +mx/24 +ptr ?all
. -
Check mail against the guess rules only.
-
Compare the results of the two checks: the one made against the resulting policy (step 4) and the one made against the guess rules only (the previous step). Apply the check whose result is more permissive.
See more information on SPF check statuses.
Para establecer una directiva SPF para los correos salientes:
Vaya a Herramientas y configuración > Plantilla DNS y edite el registro DNS TXT relacionado con SPF. Este registro DNS siempre está presente en la plantilla DNS a nivel del servidor. A continuación puede ver un ejemplo de un registro SPF creado por Plesk:
example.com. TXT v=spf1 +a +mx +a:test.plesk.com -all
Las partes de este registro significan lo siguiente:
Parte | Descripción |
---|---|
v=spf1 |
El dominio usa SPF de la versión 1. |
+a |
Todos los hosts de los registros «A» pueden enviar correos. |
+mx |
Todos los hosts de los registros «MX» pueden enviar correos. |
+a:test.plesk.com |
El dominio test.plesk.com puede enviar correos. |
-all |
Todos los demás dominios no pueden enviar correos. |
Read more about the syntax of SPF DNS records. The policy notation is available at RFC7208.
Para activar SPF para que compruebe los correos entrantes en un servidor basado en Linux:
-
Vaya a Herramientas y configuración > Configuración del servidor de correo (en el grupo Correo). En la pestaña Configuración se abrirá la pantalla de preferencias de correo a nivel del servidor.
-
En la sección Protección antispam SPF, seleccione la casilla Activar protección antispam SPF para el análisis del correo entrante.
-
Si desea que SPF continúe con la comprobación en el caso de que la búsqueda DNS experimente algún problema, seleccione La comprobación SPF sigue en curso aunque se experimenten problemas al realizar la búsqueda en el DNS. En este caso, si el host no puede resolverse o no se encuentra ningún registro relacionado con SPF, se aplicarán las reglas de conjetura SPF.
-
Seleccione una opción en el menú desplegable de modo de comprobación SPF para especificar cómo deben tratarse los correos cuando SPF aplique reglas locales y de conjetura:
- Sólo crear cabeceras SPF recibidas, nunca bloquear - Para aceptar todos los correos entrantes sea cual sea el resultado de la comprobación SPF.
- Usar avisos de error temporal cuando tenga problemas de resolución DNS - Para aceptar todos los correos entrantes sea cual sea el resultado de la comprobación SPF, incluso si la comprobación SPF experimentó errores debido a problemas en la búsqueda DNS.
- Rechazar correo si SPF resuelve a «fail» (denegar) - Para rechazar los correos procedentes de remitentes que no puedan usar el dominio en cuestión.
- Rechazar correo si SPF resuelve a «softfail» - Para rechazar los correos procedentes de remitentes que el sistema SPF no pueda identificar como autorizados o no autorizados porque en el dominio no se haya publicado ningún registro SPF.
- Rechazar correo si SPF resuelve a «neutral» - Para rechazar los correos procedentes de remitentes que el sistema SPF no pueda identificar como autorizados o no autorizados porque en el dominio no se haya publicado ningún registro SPF.
- Rechazar correo si SPF no resuelve a «pass» - Para rechazar los correos que no han pasado la comprobación SPF por cualquier razón (por ejemplo, cuando el dominio del remitente no implementa SPF y la comprobación SPF devuelve el estado “desconocido”).
-
Si desea especificar reglas locales, introduzca las reglas deseadas en la casilla Reglas locales SPF.Por ejemplo: include:spf.trusted-forwarder.org.
Si desea más información sobre las reglas SPF, visite http://tools.ietf.org/html/rfc4408.
-
También puede especificar las reglas de conjetura en la casilla Reglas de conjetura SPF.
Por ejemplo: v=spf1 +a/24 +mx/24 +ptr ?all
-
Para indicar un aviso de error arbitrario para que se devuelva al SMTP remitente cuando se rechace un mensaje, indíquelo en la casilla Texto de explicación SPF.
Si no se indica ningún valor, se usará el texto predeterminado como notificación.
-
Para finalizar la instalación haga clic en ACEPTAR.
Para desactivar la comprobación SPF para los correos entrantes:
- Vaya a Herramientas y configuración > Configuración del servidor de correo (en el grupo Correo). En la pestaña Configuración se abrirá la pantalla de preferencias de correo a nivel del servidor.
- En la sección Protección antispam SPF, deseleccione la casilla Activar protección antispam SPF para el análisis del correo entrante.
Nota: si DMARC está activado, no podrá desactivar la comprobación SPF para los correos entrantes en servidores basados en Linux.
Uso de SRS
Además de SPF, algunos servidores de correo en Plesk soportan SRS (Sender Rewriting Scheme), un mecanismo que permite reescribir direcciones remitentes cuando un correo se reenvía de tal forma que este sigue cumpliendo con SPF. En el caso de usar SPF, SRS ayuda a garantizar que los mensajes son entregados.
SRS se usa de forma automática cuando los correos se reenvían desde buzones de correo alojados en Plesk.
Para proporcionar la funcionalidad SRS, Plesk utiliza las capacidades de una librería externa (en el caso de Linux) o del software de servidor de correo (en el caso de Windows).
DMARC
DMARC (Domain-based Message Authentication, Reporting and Conformance) es una tecnología que permite ampliar las capacidades de las directivas de remitente SPF y DKIM . La directiva DMARC define la forma en la que el receptor debería tratar los correos en función de los resultados de la comprobación DKIM y SPF. Esta tecnología se basa en las reglas indicadas en la zona DNS del remitente.
En Plesk puede establecer una directiva DMARC para los correos salientes especificando las reglas en un registro DNS. Asimismo, puede activar DMARC para comprobar los correos entrantes en un servidor basado en Linux (usando cualquier servidor de correo soportado por Plesk) o en un servidor basado en Windows (usando únicamente SmarterMail).
Para establecer una directiva DMARC personalizada para los correos salientes:
Vaya a Herramientas y configuración > Plantilla DNS y edite los registros DNS relacionados con la directiva DMARC. Estos registros DNS siempre están presentes en la plantilla DNS a nivel del servidor. Por otro lado, los registros DNS relacionados con DKIM se añaden a las zonas DNS de los dominios individuales cuando activa DKIM en el dominio.
Por ejemplo, la directiva DMARC predeterminada de Plesk se define en el siguiente registro:
_dmarc.<domain>. TXT v=DMARC1; p=none
Esta directiva recomienda que el servidor receptor no elimine los correos, incluso cuando estos no puedan analizarse. De todos modos, puede especificar una directiva más estricta. Tenga en cuenta que el servidor receptor puede aplicar su propia directiva en lo que se refiere a los correos entrantes.
Los clientes de hosting pueden editar las directivas para dominios individuales.
Si desea más información acerca de DMARC, incluyendo las notas de la directiva, visite https://datatracker.ietf.org/doc/rfc7489/.
Para activar la comprobación de los correos entrantes por parte de DMARC:
- Vaya a Herramientas y configuración > Configuración del servidor de correo (en el grupo Correo). En la pestaña Configuración se abrirá la pantalla de preferencias de correo a nivel del servidor.
- En la sección DMARC, seleccione la casilla Activar DMARC para el análisis de los correos entrantes. En un servidor basado en Linux, esta opción sólo estará disponible si se ha activado DKIM y SPF para la comprobación de los correos entrantes.