- Google y Yahoo implementarán nuevos requisitos de autenticación para correos electrónicos en febrero, afectando a los remitentes que no cumplan, con posibles retrasos, bloqueos o envíos a spam.
- Los cambios se centran en tres aspectos clave: facilidad para cancelar suscripciones, envío de correos deseados y autenticación de correos electrónicos.
- La autenticación de correos electrónicos busca abordar las vulnerabilidades del correo electrónico, prevenir fraudes y delitos, y generar beneficios adicionales como evitar rechazos de mensajes reales, evitar el mal uso de tu marca y más.
- Existen tres métodos de autenticación que se complementan para dar mayor seguridad.
A continuación, te comparto tres preguntas y si son de tu interés te recomiendo leer más de este articulo.
- ¿Para tu negocio la comunicación por correo electrónico es importante?
- ¿Lo utilizas también para prospección y ventas?
- ¿Usas proveedores de envío de correos electrónicos?
En febrero de este año, tanto Google como Yahoo tendrán nuevos requisitos de autenticación, consentimiento e interacción para los correos electrónicos. Los remitentes que no cumplan estos requisitos verán sus correos electrónicos retrasados, bloqueados o enviados a spam. Estos cambios se enfocan en tres temas principalmente:
- Facilidad para cancelar suscripciones. Todo remitente debe poder cancelar su suscripción a correos de marketing con un solo clic.
- Envío de correos deseados solamente. Esto se refiere a mantener tasas de spam de máximo un 0.1% (máximo 0.3%) para evitar problemas de entrega de tus correos a los destinatarios.
- Autenticación de correos electrónicos. Se deben utilizar métodos de autenticación en los enviós de correos electrónicos.
Si bien los primeros dos son fáciles de controlar si utilizas buenas prácticas y una buena plataforma como HubSpot para tu comunicación, este último es más complejo. Hoy te explicamos más al respecto de la autenticación de correos electrónicos.
Autenticación de correos electrónicos
El correo electrónico tiene una deficiencia desde sus orígenes que ha facilitado la labor de quienes recurren a fraudes, extorsiones, robo de identidad y otros delitos usando este canal de comunicación.
Por tanto, a través de los últimos años en que la herramienta se ha popularizado, se han desarrollado tres formas diferentes para tratar de prevenir que otras personas utilicen tu dirección de correo electrónico para actividades ilícitas.
También es importante entender que, si tu empresa avanza en estos tres niveles de protección, los filtros de SPAM de los proveedores de correo electrónico tendrán más confianza en tu dominio (por ejemplo, miempresa.com) y evitarás que más correos reales de tu equipo se esté yendo a las bandejas de SPAM o incluso estén siendo rechazados.
Al atender este serio problema de seguridad, también se generan otros beneficios cómo, por ejemplo:
- Evitar que se use tu marca y tu dominio de correo electrónico para cometer actos ilícitos en contra de otras personas o incluso en contra de tus propios colaboradores.
- Monitorear el tráfico de correos electrónicos que se están enviando en todo el mundo para identificar posibles actividades ilícitas.
- Cumplir con la legislación vigente en algunos países y/o industrias.
- Entre otros.
Los tres métodos de la autenticación
Regresando a los tres métodos que tenemos a nuestra disposición para ir incrementando nuestra capacidad de autenticación y de prevenir el mal uso de nuestras direcciones de correo electrónico, aquí una breve descripción de cada una:
- Método 1. El SPF (Sender Policy Framework) se inventó en 2003 y lo que pretende es que tu cómo dueño de tus direcciones de correo electrónico puedas publicar una lista oficial de servidores (direcciones IP) que están autorizados a enviar emails a tu nombre.
- Método 2. El DKIM (DomainKeys Identified Mail) se inventó en 2005 y es un “sello digital” que se agrega a cada email enviado de tal forma que, si alguien altera dicho email entre que tú lo enviaste y el destinatario lo recibe, el sello se “rompe” y no puede ser autenticado.
- Método 3. DMARC (Domain-based Message Authentication, Reporting & Conformance) es un estándar que se apoya en SPF y DKIM para validar que haya alineación entre los dominios del servidor de envío (validado por SPF) o del servidor del sello digital (validado por DKIM) y el correo electrónico en el "De:" (From address) que recibes en un correo electrónico.
La vulnerabilidad que mencionamos anteriormente sobre cómo funciona el correo electrónico deja un hueco incluso si utilizas los primeros dos métodos, sigue habiendo un problema que solo se resuleve implementando también el tercer método mediante lo que se conoce cómo "alineación". A continuación, te explicamos porqué.
Alineación
Hay tres campos relevantes de información utilizadas para la autenticación que van dentro de un correo electrónico:
- El dominio del servidor de envío (llamado Return-Path) es el servidor real desde dónde se está enviando un email y este es validado con SPF.
- El dominio autorizado dentro del sello de seguridad DKIM que se valida con la llave utilizada por el mismo DKIM.
- El dominio del que se dice estar enviando dicho correo (llamado From Address) y que vemos en el campo "De:".
Este tercer campo de información es muy relevante porqué es la única dirección de envío que está normalmente visible a los usuarios. Tanto el dominio del servidor de envío, cómo el dominio autorizado por DKIM son campos que van ocultos dentro de un correo electrónico. Consulta cualquier correo electronico recibido y te darás cuenta que la única información visible sobre quién envía dicho correo es el "De:", por ejemplo:
Sin embargo, la vunerabilidad mencionada permite que este último dato pueda ser fácilmente alterado por alguien que busca engañar. Y dado que es el único dato que tu cómo usuario realmente puedes ver, se vuelve más fácil cometer el acto ilícito.
En otras palabras, un maleante más sofisticado pudiera potencialmente pasar SPF y DKIM, pero aún así haber falsificado el "De:" (From address) de un correo electrónico y así engañar a sus posibles víctimas utilizando aquí tu dirección de correo electrónico.
Aquí es donde entra el tercer método que hemos desarrollado para la autenticación de correos electrónicos, el DMARC, que cómo comentamos es un estándar que consulta los dominios autenticados por SPF y/o DKIM; y valida que haya alineación entre los dominios ocultos y validados, y la dirección en el campo "De:" (From address) que recibes en un correo electrónico.
¿Qué es DMARC?
Veamos un ejemplo. Un extorsionador potencialmente pudiera enviar un correo electrónico a uno de tus colaboradores haciéndose pasar por un director y solicitando información sensible o algún pago. Siendo un extorsionador sofisticado, tendría el cuidado de pasar SPF desde un servidor apócrifo y utilizaría el "De:" (From address) para engañar:
DMARC se apoya en SPF y DKIM y lo que busca es precisamente alinear un correo electrónico que pudo ser autenticado con cualquiera de estos métodos a la dirección "De:" en el correo electrónico. En este caso hipotético, el correo electrónico habría pasado SPF pero no habría pasado DMARC, permitiendo entonces detectar que es un correo ilícito.
Ahora, DMARC no solo llega hasta la identificación, en realidad contiene funcionalidad para el control de políticas de qué hacer con correos electrónicos que no pasan la autenticación y que pueden ir de relajadas a estrictas y que pueden requerir a los proveedores de correo electrónico que no hagan nada, que cuarentenen o que incluso rechacen dichos correos ilícitos.
Todo esto, genera más seguridad con las ventajas obvias al evitar actos ilícitos, pero también con las ventajas adicionales antes mencionadas, que se generan cuándo tu correo electrónico es más confiable por tener políticas apropiadas de detección y control de actos ilícitos.