Saltar a contenido

Autenticación de Email

La autenticación adecuada del email es esencial para una alta entregabilidad con FrontEngine. Esta guía cubre la configuración de SPF, DKIM y DMARC para sus dominios de envío.

Por qué importa la autenticación

La autenticación de email demuestra a los servidores de correo receptores que sus mensajes son legítimos y no han sido falsificados. Sin ella:

  • Los mensajes pueden terminar en carpetas de spam
  • Los grandes proveedores (Gmail, Outlook, Yahoo) pueden rechazar su email directamente
  • Su dominio es vulnerable a ataques de suplantación y phishing

Requerido para el envío

FrontEngine requiere la verificación del dominio con al menos SPF y DKIM antes de permitir el envío de email desde su dominio. DMARC es altamente recomendado.

Verificación del dominio

Antes de configurar los registros de autenticación, verifique la propiedad del dominio:

  1. Vaya a Servicios > Email Transaccional > Dominios de Envío
  2. Haga clic en Agregar Dominio e ingrese su dominio
  3. Agregue el registro TXT de verificación proporcionado a su DNS
  4. Haga clic en Verificar una vez que el registro se haya propagado

Configuración de SPF

SPF indica a los servidores receptores que FrontEngine está autorizado a enviar email para su dominio.

Agregue o actualice el registro TXT de su dominio:

example.com.    3600    IN    TXT    "v=spf1 include:_spf.frontengine.intesys.io ~all"

Si ya tiene un registro SPF (por ejemplo, para su alojamiento de email), combine la instrucción include:

; INCORRECTO: Dos registros SPF separados (solo se permite uno por dominio)
example.com.    IN    TXT    "v=spf1 include:_spf.intesys.io ~all"
example.com.    IN    TXT    "v=spf1 include:_spf.frontengine.intesys.io ~all"

; CORRECTO: Un único registro SPF combinado
example.com.    IN    TXT    "v=spf1 include:_spf.intesys.io include:_spf.frontengine.intesys.io ~all"

Un registro SPF por dominio

DNS permite solo un registro SPF TXT por dominio. Múltiples registros SPF causan fallos de autenticación. Siempre combine los includes en un único registro.

Configuración de DKIM

DKIM agrega una firma criptográfica a cada mensaje saliente. FrontEngine genera un par de claves único para cada dominio de envío.

Después de agregar su dominio, el portal proporciona un registro CNAME:

fe._domainkey.example.com.    3600    IN    CNAME    fe._domainkey.frontengine.intesys.io.

Este enfoque permite a InteSys administrar la rotación de claves automáticamente sin requerir cambios de DNS por su parte.

Verificando DKIM

Después de agregar el registro, verifique que se resuelve correctamente:

dig +short fe._domainkey.example.com CNAME
# Expected: fe._domainkey.frontengine.intesys.io.

dig +short fe._domainkey.frontengine.intesys.io TXT
# Expected: "v=DKIM1; k=rsa; p=MIGfMA0..."

Configuración de DMARC

DMARC se construye sobre SPF y DKIM para proporcionar aplicación de políticas y generación de informes.

Despliegue recomendado

Fase 1 — Monitoreo (semanas 1-2):

_dmarc.example.com.    3600    IN    TXT    "v=DMARC1; p=none; rua=mailto:[email protected]"

Revise los informes agregados para confirmar que todas las fuentes legítimas de email pasan SPF y DKIM.

Fase 2 — Cuarentena (semanas 3-4):

_dmarc.example.com.    3600    IN    TXT    "v=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected]"

Aumente gradualmente pct de 25 a 100 a medida que aumenta la confianza.

Fase 3 — Rechazo (continuo):

_dmarc.example.com.    3600    IN    TXT    "v=DMARC1; p=reject; rua=mailto:[email protected]"

Análisis de informes DMARC

Los informes agregados de DMARC son archivos XML que pueden ser difíciles de leer. Utilice un servicio gratuito como dmarcian, Postmark DMARC o DMARC Analyzer para analizarlos y visualizarlos.

Alineación DMARC

Para que DMARC pase, ya sea SPF o DKIM debe alinearse con el dominio del encabezado "From":

Comprobación Alineación Significado
SPF El dominio Mail-From coincide con el dominio del encabezado From El remitente del envelope coincide con el remitente visible
DKIM La etiqueta d= de la firma coincide con el dominio del encabezado From El dominio firmante coincide con el remitente visible

FrontEngine garantiza la alineación DKIM firmando con su dominio. La alineación SPF requiere que el dominio return-path coincida con su dominio de envío, lo que FrontEngine configura automáticamente.

Herramientas de verificación

Utilice el Validador de Autenticación de Email de InteSys para comprobar su configuración de SPF, DKIM y DMARC. La herramienta está disponible en intesys.io/tools.

Ejemplo completo de DNS

; SPF (merged with email hosting)
example.com.                      3600  IN  TXT    "v=spf1 include:_spf.intesys.io include:_spf.frontengine.intesys.io -all"

; DKIM for FrontEngine
fe._domainkey.example.com.        3600  IN  CNAME  fe._domainkey.frontengine.intesys.io.

; DMARC
_dmarc.example.com.               3600  IN  TXT    "v=DMARC1; p=reject; rua=mailto:[email protected]"