Cómo configurar un nuevo dominio: una guía centrada en la seguridad 

Por qué es importante la autenticación

Los dominios nuevos carecen de reputación de remitente. La autenticación es la señal verificable más sólida que un proveedor de correo electrónico puede evaluar a la hora de decidir si entrega, pone en cuarentena o bloquea un mensaje. Sin ella, los servidores receptores no tienen nada en qué basar su confianza, y nada impide que otra persona envíe mensajes en nombre de tu dominio.

Desde el momento en que se registra un dominio, existen dos riesgos.

Entrega. La mayoría de los proveedores de correo electrónico comprueban SPF, DKIM y DMARC cada mensaje entrante. Los mensajes no autenticados tienen más probabilidades de ser filtrados o rechazados. Poner en marcha un dominio sin configurar la autenticación genera problemas de entrega de los que es difícil recuperarse.

Seguridad. Un dominio desprotegido puede ser objeto de suplantación de identidad de forma inmediata. Los ciberdelincuentes se centran activamente en los dominios recién registrados, sabiendo que es probable que no estén supervisados ni autenticados. Los correos electrónicos falsos enviados en nombre de tu dominio generan quejas por spam que dañan tu reputación como remitente antes incluso de que hayas enviado un solo mensaje legítimo. Ese daño a la reputación es difícil de revertir.

Configura SPF, DKIM y DMARC iniciar el envío, en el orden correcto y teniendo en cuenta todas las fuentes. Si se hace correctamente, protege la entrega y reduce el riesgo de que los atacantes se aprovechen del dominio.

Cómo configurar un nuevo dominio

Paso 1: Crear un SPF

SPF autoriza qué sistemas pueden enviar correo electrónico en nombre de su dominio. El registro se publica en el DNS y es evaluado por los servidores receptores.

Un ejemplo de SPF :

Cada componente tiene una función específica:

• v=spf1 especifica la versión
• ip4: autoriza una dirección IP concreta
• include: hace referencia al registro de otro dominio
• -all rechaza a todos los remitentes que no figuran en el registro

El error más habitual durante la configuración es no incluir todos los servicios de envío en el SPF antes de que el dominio entre en funcionamiento. Los equipos que añaden plataformas de marketing, CRM, herramientas de asistencia técnica o sistemas de RR. HH. tras el lanzamiento —sin actualizar SPF provocan fallos de autenticación. Los correos electrónicos legítimos procedentes de esos servicios pueden acabar en la carpeta de spam o ser rechazados.

Comprueba todos los servicios que vayan a enviar correos electrónicos desde tu dominio antes de publicar el SPF . Esto incluye los servicios de correo electrónico transaccional y los sistemas de facturación.

Paso 2: Configurar DKIM

DKIM añade una firma criptográfica a los mensajes salientes. Los servidores receptores utilizan la clave pública publicada en el DNS para verificar la firma y confirmar que el mensaje no ha sido alterado durante el tránsito. Si la firma es válida, el mensaje supera DKIM .

DKIM con un par de claves. La clave privada la conserva el servicio remitente. La clave pública se publica en el DNS como un registro TXT.

Un ejemplo de DKIM :

Cada servicio de envío requiere su propio par DKIM . Google Workspace, Microsoft 365, las plataformas de marketing, las herramientas de asistencia técnica y cualquier otro servicio que envíe mensajes en nombre de tu dominio deben disponer cada uno de un par de claves independiente. Todas las claves públicas deben publicarse en el DNS antes de comenzar a enviar mensajes.

La falta de DKIM para los remitentes externos es una de las deficiencias de autenticación más habituales en la configuración de nuevos dominios.

Paso 3: Publicar un DMARC

DMARCDKIM SPF DKIM . Garantiza la coincidencia entre el dominio que figura en el encabezado del mensaje y el dominio verificado por SPF DKIM, e indica a los servidores receptores qué hacer con los mensajes que no superan la autenticación.

DMARC tres políticas:

• p=none – solo supervisión. Los mensajes se entregan independientemente de los resultados de la autenticación. Se generan informes DMARC y se envían a la dirección especificada en el archivo rua
• p=quarantine – Los mensajes que no superan la autenticación se envían a la carpeta de spam o correo no deseado en lugar de a la bandeja de entrada.
• p=reject – Se bloquean los mensajes que no superan la autenticación.

Un ejemplo DMARC :

Empezar en p=none para recopilar reporte . Los informes agregados generados en esta fase identifican todas las fuentes que envían correo electrónico desde su dominio, incluidos servicios de los que quizá no sea consciente. Utilice esos datos para validar su DKIM SPF DKIM antes de pasar a la fase de aplicación.

p=none es un punto de partida, no un destino. Las organizaciones que se quedan en p=none no reciben protección contra la suplantación de identidad. Los servidores receptores entregan todos los mensajes —incluidos los falsificados— independientemente de los resultados de la autenticación.

Trasladar tu nuevo dominio desde p=none a p=reject

Alcanzar p=reject es lo que realmente impide que se entreguen los correos electrónicos falsificados. La progresión de p=none a p=reject sigue una secuencia definida:

1. Analiza los informes agregados para identificar todas las fuentes que envían correos electrónicos desde el dominio, tanto las autorizadas como las no autorizadas.
2. Soluciona los errores de autenticación. Asegúrate de que todos los remitentes legítimos figuren en el SPF y de que DKIM estén publicadas en el DNS.
3. Pasar a p=quarantine y realizar un seguimiento durante un tiempo antes de pasar a la aplicación total de las medidas.
4. Pasar a p=reject » una vez que todas las fuentes legítimas superen la autenticación de forma sistemática.

Informes DMARC se entregan a diario en la dirección indicada en el rua etiqueta. En ellos se muestran todas las fuentes de envío, los resultados de la autenticación y el resultado de la política. Leer esos informes y actuar en consecuencia es la tarea operativa que lleva a una política de la fase de supervisión a la de aplicación.

Muchas empresas configuran p=none y nunca avanzan en la política. Los informes se acumulan sin ser revisados, los fallos de autenticación persisten y el dominio sigue expuesto a la suplantación de identidad. Este es el resultado habitual cuando DMARC trata DMARC como una simple casilla de verificación.

Errores comunes que dejan a los nuevos dominios en una situación vulnerable

• Publicar SPF incluir todos los servicios de envío. Cualquier servicio que envíe correos electrónicos en nombre del dominio debe figurar en el SPF . Las plataformas de marketing, los sistemas CRM, los sistemas de facturación y las herramientas de gestión de incidencias que se añadan tras el lanzamiento sin SPF pueden provocar que los correos electrónicos legítimos no superen la autenticación y terminen en la carpeta de spam o sean rechazados.
• No configurar DKIM los remitentes externos. Toda plataforma que envíe mensajes en nombre de tu dominio necesita su propio par DKIM . Un servicio de envío que no cuente con una DKIM publicada no superará DMARC . Esto incluye servicios que a menudo se pasan por alto durante la configuración, como las plataformas de asistencia técnica, las herramientas de recursos humanos y los sistemas de notificación automatizados.
• Configurar DMARC p=none y no revisar los informes. DMARC solo son solo si alguien los lee. Las empresas que publican un DMARC y no revisan los informes resultantes no pueden identificar errores de configuración ni remitentes no autorizados, y la política nunca pasa a p=reject.
• No estandarizar la autenticación en todos los dominios. Las empresas con múltiples dominios —ya sea por adquisiciones o por expansión regional— suelen configurar los controles de autenticación en los dominios principales y dejan desprotegidos los dominios secundarios. Los atacantes se centran precisamente en los dominios secundarios porque es menos probable que sean objeto de supervisión.

Cómo te ayuda Sendmarc a configurar un nuevo dominio

Configurar manualmente los controles de autenticación en un único dominio nuevo es una tarea factible. Sin embargo, mantenerlos en numerosos dominios —incluidos los nuevos que van añadiendo las distintas unidades de negocio con el paso del tiempo— supone un reto mucho más complejo.

SPF se rompen cuando los equipos añaden herramientas de envío sin autorización. DKIM caducan. DMARC se bloquean en p=none. No se trata de casos excepcionales. Son el resultado habitual cuando la autenticación se considera una tarea de configuración puntual y no una operación continua.

Sendmarc ofrece una visión global del estado de autenticación en todos los dominios. Sendmarc te ayuda a identificar remitentes no autorizados, detectar errores de configuración y pasar de p=none a p=reject.

Para las empresas que crecen mediante adquisiciones o expansión regional, cada nuevo dominio supone un posible punto débil. Sendmarc subsana esas deficiencias desde el inicio y garantiza el cumplimiento de las normas a medida que el entorno crece, sin aumentar la carga de trabajo de los equipos de seguridad y TI, que ya están al límite de sus capacidades.

Descubre cómo Sendmarc gestiona la autenticación del correo electrónico en todos los dominios, a escala empresarial.