Autenticació de correu electrònic mitjançant SPF i DKIM

Aquí tornem! Sigles de nou, coses per saber de nou, informació nerd de nou! Doncs no, són una qüestió seriosa i d'aquestes sigles depèn el lliurament correcte dels vostres correus electrònics. Sabem per experiència personal que aquestes sigles poden sonar desconegudes, aterridores i poden semblar totalment poc interessants. O potser et sonen familiars, però mai t'has preocupat prou com per comprovar què són realment. Intentem fer-ne alguna claredat per als no tècnics.

De qualsevol manera, és hora d'aprendre una mica sobre què són SPF i DKIM i com configurar-los als registres DNS del vostre servidor de correu si voleu tenir un millor control sobre el lliurament dels vostres correus electrònics. Faré tot el possible per explicar-ho amb paraules senzilles, que s'entendran no només pels programadors.

Què és SPF? Com funciona SPF?

En poques paraules, Sender Policy Framework (SPF) és un mecanisme de seguretat creat per evitar que els dolents enviïn correus electrònics en nom vostre. El mecanisme implica la comunicació entre servidors DNS... i aquí és on tot comença a fer por! Però no s'espanti. Intentaré que sigui el més senzill possible.

Suposem que has enviat un correu electrònic a Bob. Però, com sap el servidor DNS de Bob que el correu electrònic l'heu enviat realment? El problema és que en realitat no ho sap. Tret que tingueu SPF configurat al vostre servidor DNS. Doncs bé, hauríem d'explicar què és un servidor DNS, però saltem-lo si no m'envieu a l'infern!

SPF defineix quines adreces IP es poden utilitzar per enviar correu electrònic des del vostre domini. Per tant, imaginem dues possibles "converses" entre servidors. Per facilitar-ho, suposem que et dius Paul.

Escenari 1: no heu establert SPF.

Servidor de Mike: Hola, servidor de Bob. Tinc un missatge nou de Mike.
Bob's Server: Hola, Mike's Server. Quin és el teu SPF?
Mike's Server: Sí, sobre el SPF... a qui li importa, realment. No en tinc un. Creu-me, és de Mike.
Servidor de Bob: Si no teniu SPF, no puc estar segur que Mike l'hagi enviat. Dóna'm les IP permeses d'en Mike perquè les pugui comparar amb les teves.
Servidor de Mike: no tinc la llista blanca d'IP de Mike.
Servidor de Bob: Llavors no vull el teu missatge. Lliurament denegat. Ho sento, company...

Escenari 2: heu establert SPF.

Servidor de Mike: Hola, servidor de Bob. Tinc un missatge nou de Mike.
Bob's Server: Hola, Mike's Server. Quin és el teu SPF?
Servidor de Mike: aquí teniu el meu SPF. Hi ha tota una llista d'IP que el mateix Mike ha declarat com les que es poden utilitzar en nom seu.
Servidor de Bob: D'acord, deixa'm veure... I el missatge que tens per a mi s'envia des de la IP 64.233.160.19. D'acord, està a la llista. Tot sembla bé. Dóna'm el missatge, li ensenyaré a en Bob. Gràcies!

Les meves disculpes a tots els lectors del sistema per aquesta simplificació excessiva, sé que t'estàs tremolant, però si us plau, perdoneu-me i tingueu en compte que envegem els vostres coneixements tècnics, però he de parlar amb un públic no tècnic i he de simplificar.

De totes maneres, la moral d'aquests dos diàlegs breus és: establiu el vostre SPF. Si no ho fas, potser semblaràs un noi dolent i no s'entregaran tots els teus correus electrònics.

Quines aplicacions hauríeu d'incloure al vostre SPF?

La idea general és assegurar-vos que totes les aplicacions que enviïn correu electrònic en nom vostre (i que utilitzin el seu SMTP, no el vostre) s'incloguin al vostre SPF. Per exemple, si utilitzeu Google Apps per enviar correu electrònic des del vostre domini, hauríeu de posar Google al vostre SPF. Aquí teniu les instruccions de Google sobre com fer-ho.

Però és important assegurar-se que Google no és l'única aplicació que té permisos al vostre SPF. Per exemple, si utilitzem HelpScout per gestionar els nostres correus electrònics d'assistència i MailChimp per enviar els nostres butlletins, els inclourem tots dos al nostre SPF.

També he d'incloure Woodpecker al meu SPF?

No. Com he dit, hauríeu de recordar de posar al vostre registre SPF les aplicacions que enviïn correu electrònic en nom vostre, però que utilitzen el seu propi SMTP. Woodpecker utilitza el vostre propi SMTP per enviar els vostres correus electrònics, de manera que és més un client de correu electrònic en línia que una aplicació de correu electrònic massiu.

Dit això, la capacitat de lliurament dels correus electrònics enviats des de Woodpecker depèn de la reputació del vostre domini. Configurar SPF i DKIM us ajudarà a protegir la bona reputació del vostre domini i, per tant, a millorar la capacitat de lliurament dels vostres correus electrònics.

Com configurar el registre SPF al vostre servidor pas a pas?

El primer pas és comprovar quin és el vostre registre SPF actual. Podeu fer-ho utilitzant eines com:

• MxToolbox
• Caixa d'eines de Google Apps

Quan escriviu el vostre domini (per exemple, escriuria woodpecker.co), les eines faran algunes proves i us mostraran el vostre SPF actual o una notificació que encara no s'ha configurat.

Quins són els propers passos?

Segons l'amfitrió del vostre domini, els passos seran diferents. Bàsicament, es tracta d'enganxar una línia de text ben estructurada al lloc correcte de la consola. Per exemple, si utilitzeu Google Apps per enviar tots els correus electrònics des del vostre domini, la línia hauria de ser així:

"v=spf1 inclou:_spf.google.com ~tot"

La part "v=spf1" del registre s'anomena versió, i les que vénen després s'anomenen mecanismes.

Ara anem a veure què significa exactament cada part.

• v=spf1 aquest element identifica el registre com a SPF
• inclou:_spf.google.com aquest mecanisme inclou servidors de correu que són servidors autoritzats
• ~v=spf1 aquest element indica que si es rep un correu electrònic des d'un servidor no autoritzat (no figura al mecanisme "inclou:"), s'etiqueta com a error suau, el que significa que es pot deixar passar, però es pot marcar com a correu brossa o sospitós.

Però si utilitzeu més aplicacions que aquesta (per exemple, alguna cosa per enviar el vostre butlletí, alguna cosa per enviar els vostres missatges d'assistència, etc.), la línia serà una mica més llarga, perquè haureu d'incloure-hi totes les altres aplicacions. O si no utilitzeu Google Apps sinó un servidor d'un altre amfitrió, per exemple GoDaddy, la línia serà diferent.

A continuació s'explica com configurar SPF per als amfitrions de domini més habituals:

• google
• Microsoft
• Zoho
• GoDaddy
• Amazon SES

Què és DKIM?

L'estàndard DomainKeys Identified Mail (DKIM) es va crear pel mateix motiu que SPF: per evitar que els dolents us suplantin com a remitent de correu electrònic. És una manera de signar encara més els vostres correus electrònics d'una manera que permeti al servidor del destinatari comprovar si el remitent sou vosaltres o no.

En configurar DKIM al vostre servidor DNS, esteu afegint un altre mètode per dir als vostres destinataris "sí, realment sóc jo que envio aquest missatge".

Com configurar dkim i spf

Tota la idea es basa en el xifratge i el desxifrat de la signatura addicional col·locada a la capçalera del vostre missatge. Per fer-ho possible, cal tenir dues claus:

• la clau privada (que és única per al vostre domini i només disponible per a vosaltres. Us permet xifrar la vostra signatura a la capçalera dels vostres missatges).
• la clau pública (que afegiu als vostres registres DNS mitjançant l'estàndard DKIM, per permetre que el servidor del vostre destinatari la recuperi i desxifra la vostra signatura oculta a la capçalera del missatge).

Preneu Game of Thrones per a la gran imatge de DKIM. Ned Stark està enviant un corb amb un missatge al rei Robert. Tothom podia agafar un paper, escriure un missatge i signar-lo Ned Stark. Però hi ha una manera d'autenticar el missatge: el segell. Ara, tothom sap que el segell de Ned és un Direwolf (aquesta és la clau pública). Però només en Ned té el segell original i pot posar-lo als seus missatges (aquesta és la clau privada) Configurar DKIM només és posar la informació de la clau pública als registres del vostre servidor. Simplement és un registre txt que cal col·locar al lloc correcte.

Un cop hàgiu configurat aquesta configuració, cada vegada que algú rebi un correu electrònic vostre, el servidor del destinatari intentarà desxifrar la vostra signatura oculta mitjançant la clau pública. Si té èxit, això autenticarà encara més el vostre missatge i, en conseqüència, augmentarà l'autoritat de tots els vostres correus electrònics.

Com configurar el registre DKIM al vostre servidor pas a pas?

En primer lloc, heu de generar la clau pública. Per fer-ho, heu d'iniciar sessió a la consola d'administració del vostre proveïdor de correu electrònic. Els passos següents poden ser diferents segons el vostre proveïdor de correu electrònic.

Si utilitzeu Google Apps per enviar els vostres correus electrònics, aquí teniu els instruccions pas a pas. Per als usuaris de Google Apps, heu de saber que les signatures DKIM estan desactivades de manera predeterminada, de manera que les heu d'activar manualment a la vostra consola d'administració de Google.

Quan tingueu la clau pública, agafeu el registre txt generat i enganxeu-lo al lloc correcte dels vostres registres DNS.

Finalment, heu d'habilitar la signatura de correu electrònic per començar a enviar correus electrònics amb la vostra signatura xifrada amb la vostra clau privada. Heus aquí com, si feu servir Google Apps per enviar els vostres correus electrònics.

Configureu SPF i DKIM i milloreu la vostra capacitat de lliurament

Si envieu molts correus electrònics, ja sigui per a màrqueting o per a vendes entrants o sortints, la reputació del vostre domini és crucial i hauríeu de tenir-ne cura. No voleu que el vostre domini sigui a la llista negra i els vostres correus electrònics siguin correu brossa. Configurar correctament els registres SPF i DKIM al vostre servidor DNS és un pas necessari per a la seguretat del vostre domini i l'alta capacitat de lliurament dels vostres missatges.

Configurar-los pot semblar complicat, però sens dubte val la pena. Si fos tu, aniria al meu compte i comprovaria si el meu SPF i DKIM estan configurats correctament ara mateix o demanaria als meus informàtics que ho fessin. I si resulta que la resposta és "no", els demanaria que m'ajudin.