La autenticación de los correos electrónicos es un proceso en el que se comprueba la identidad del remitente. El objetivo es asegurar que el origen del email sea de confianza y no se trate de spam ni fishing. Es uno de los pasos más importantes de cualquier estrategia de email marketing.
Hacerlo te ayudará a mejorar tu entregabilidad, ya que la probabilidad de que tus correos y newsletters se consideren spam aumenta si no has utilizado ningún método de autenticación.
Desde febrero de 2024, si tus clientes utilizan Gmail o Yahoo Mail, tendrás que autenticar tus correos obligatoriamente para que se entreguen, y el resto de clientes de email ha ido implementando esto también.
Hay varios métodos de autenticación de emails, que te explico a continuación.
Antes que nada, ¿por qué hay que autenticar los correos?
El principal problema que tienen los emails es que utilizan un protocolo abierto que permite a la gente utilizar direcciones de correo que no son suyas. Aunque quizá te estés preguntando cómo.
¿O cómo una vez conseguí enviar un email con el remitente joe.biden@whitehouse.gov? (solo como prueba y a mí mismo, por supuesto).
Te explico, si tú te abres una cuenta en una herramienta de email marketing de confianza, una de las primeras cosas que te pedirán es que confirmes tu dirección de correo electrónico.
De esta forma, Mailchimp, GetResponse, etc. saben que eres un remitente de confianza (bueno, quizá no siempre, pero en cualquier caso te dejarán enviar correos utilizando tu dominio). En ocasiones, también te pedirán que confirmes que eres el propietario del correo añadiendo un registro al DNS de tu dominio.
DNS significa Domain Name System (o “sistema de nombres de dominio” en español). Es un sistema que transforma nombres de dominio que las personas podemos leer (como www.google.com) en direcciones IP que los ordenadores pueden entender. Si no existiera, sería muy difícil navegar por páginas web y enviar emails. Los servidores DNS son una especie de guías telefónicas de internet, mantienen un directorio de nombres de dominio y los traducen a direcciones IP cuando se les pide.
Los propietarios de los dominios pueden ver su DNS desde su cuenta del registrador del dominio (por ejemplo, Namecheap o GoDaddy). Una vez que hayas iniciado sesión, puedes editar tus registros DNS. Los registros DNS más habituales son los registros A, que relacionan un nombre de dominio con una dirección de IP, y los registros MX, que asocian cada nombre de dominio con un servidor de correo.
Pero hay otras formas de enviar emails sin utilizar herramientas de email marketing de confianza, sitios oscuros donde nadie te pedirá que confirmes tu dirección de correo siempre que pagues (o les des algunos bitcoins).
Por desgracia, a los timadores les sigue saliendo a cuenta enviar correos de phishing u otros correos malintencionados. Para ponérselo más difícil, se han creado los siguientes métodos de autenticación.
Métodos de autenticación más importantes
Estos son los métodos más habituales:
Entremos en más detalle en cada uno de ellos.
1. SPF
El protocolo SPF es la forma más básica de autenticar emails. Sirve para especificar los servidores de correo que pueden enviar emails utilizando tu nombre de dominio.
Cómo funciona la autenticación SPF, por EmailOnAcid
Para configurar la autenticación SPF, necesitarás añadir un registro TXT a los ajustes de tu DNS. Este registro TXT contiene una lista con los servidores o direcciones IP que autorizas a que envíen correos electrónicos con tu dominio.
Si un email proviene de un servidor de correo que no está en esta lista, no pasará la comprobación de SPF y es más probable que los filtros de spam lo bloqueen. Por ese motivo, es muy importante que en el registro incluyas todas las herramientas que utilices. En nuestro caso, enviamos los correos desde Google Workspace y Mailchimp (que utiliza mcsv.net), por ejemplo.
Este sería un ejemplo de registro SPF:
"v=spf1 mx a include:_spf.google.com include:servers.mcsv.net ~all"
El registro anterior permite que el servidor de correo google.com pueda enviar emails en nuestro nombre. Utilizamos este registro SPF porque somos clientes de Google Workspace. Al configurarlo para nuestro dominio tooltester.com, les estamos diciendo a los clientes de correo, como Outlook o AOL, que acepten los emails con dominios de Tooltester que procedan de los servidores de Google.
Y, como también enviamos emails utilizando Mailchimp, tenemos otro registro tipo «include» (incluir), indicando que también autorizamos a servers.mcsv.net a enviar emails en nuestro nombre.
2. DKIM
Esta es una forma de autenticación más avanzada, que utiliza firmas cifradas para comprobar si un correo es auténtico.
Cómo funciona DKIM, por EmailOnAcid
Para configurar una firma DKIM, hace falta generar un par de claves, una pública y otra privada. La clave privada se utiliza para firmar todos los emails que envíes, mientras que la clave pública se publica en tus registros DNS.
Cuando un correo electrónico llega a su destino, el servidor de entrada puede utilizar la clave pública para comprobar que la firma del correo coincide con la clave privada y que el correo no se ha manipulado.
Si las firmas no coinciden, o si el mensaje se ha manipulado, fallará la comprobación DKIM y es más probable que se marque como spam.
El siguiente es un ejemplo de un registro DKIM de MailerLite:
k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDhXpjoxP3ANucOq4awUl53QXp7QSrbI2xOzSTigQ68XUi6kKifXkhL/a0GkSQ9HQm+PmvlkIC4wAyI9Cf6RW8bim80jSAeQJbGYAPyTAbxxTqu+h2deO8ffLfX2jRqAs73Jpgn3XyQSCIClUyTJQR9e0/BIwvnHQlSKJA1PcgwIDAQAB
Añadir este registro a nuestro DNS de tooltester.com permitirá a MailerLite enviar correos en nuestro nombre sin conflictos. Básicamente, la autenticación DKIM es muy parecida a la SPF, pero más segura, ya que incluye una clave privada.
3. DMARC
Esta es la forma de autenticación más avanzada y segura. DMARC toma como base SPF y DKIM y añade más funcionalidades.
Con DMARC, puedes especificar qué hacer si un correo falla las comprobaciones de los protocolos SPF o DKIM. Puedes elegir entre rechazar el correo o que se entregue en la carpeta de spam. También hay una política llamada “none” (no tomar ninguna medida), que simplemente significa que el correo se entregará normalmente, aunque se seguirán recopilando en el registro DMARC los datos de los intentos de autenticación fallidos.
Proceso de autenticación DMARC, por EmailOnAcid
DMARC también te permite configurar el reenvío de emails para que puedas obtener informes sobre los intentos fallidos de autenticación. Estos informes pueden ser muy útiles para averiguar por qué no se están entregando tus correos.
Este es un ejemplo de registro DMARC:
v=DMARC1; p=quarantine; rua=mailto:dmarc_reports@tooltester.com
Este registro DMARC está configurado como “cuarentena”, lo que significa que, si un correo electrónico no supera las comprobaciones SPF o DKIM, se entregará en la carpeta de spam. En la etiqueta “rua” se especifica dónde enviar los informes de DMARC.
Un ejemplo concreto:
Si un spammer intenta enviar emails utilizando una dirección de correo que acabe en @tooltester.com, estos fallarán la verificación SPF y DKIM. Y el registro de DMARC indica que estos correos se han de enviar a la carpeta de spam del destinatario.
BIMI
Este es un nuevo estándar que todavía no está ampliamente adoptado, pero es prometedor. Hasta el momento, Gmail, Yahoo, Apple y Fastmail admiten su uso. BIMI te permite introducir el logo de tu marca en los encabezados de tus correos, de forma que tus destinatarios puedan ver de un vistazo que es tuyo.
Tiene una parte de seguridad y otra de marketing.
La idea es que, si la gente ve tu logo en su cliente de email, es más probable que confíen en el correo y menos probable que lo marquen como spam.
Para configurar BIMI, necesitarás generar un certificado de validación y publicarlo en tus registros de DNS. También necesitarás tener un dominio de envío verificado y un registro DMARC publicado.
Ejemplo de un registro BIMI:
bimi._domainkey.tooltester.com IN TXT "v=BIMI1; l=https://www.tooltester.com/images/logo.png;"
En este registro se especifica la posición del logo de tu marca que se utilizará para el BIMI.
Una vez que hayas configurado el BIMI, tu logo aparecerá junto a tu correo en la bandeja de entrada del destinatario:
Ejemplo del logo de EmailTooltester.com en nuestros emails
Cómo saber rápidamente si un correo pasará SPF, DKIM y DMARC
La forma más fácil de comprobar si un email superará las comprobaciones del protocolo SPF es abrirlo desde Gmail, hacer clic en los tres puntos y después seleccionar «Mostrar original». A continuación verás un análisis de SPF, DKIM y DMARC en la cabecera del email:
Ejemplo de correo que pasa SPF, DKIM y DMARC
Cómo configurar la autenticación de mis correos
Para configurar cualquiera de los métodos de autenticación de emails, es necesario que tengas acceso a los registros DNS de tu dominio. Todos los propietarios de dominios pueden llegar a ellos a través de la interfaz web de su registrador (por ejemplo, Namecheap, GoDaddy, etc.).
El proceso de configuración básica es muy fácil:
1) Una vez que tengas el registro de autenticación (SPF, DKIM, etc.) de tu plataforma de envío de emails masivos, has de entrar en el panel de administración de tu empresa de hosting.
Por ejemplo, si quisieras configurar el DNS en Namecheap, llegarías aquí:
Una vez en esta pantalla, añadirías un nuevo registro. Por ejemplo, un registro TXT para nuestra firma SPF:
Si no estás seguro de cómo hacerlo, lo mejor es que preguntes al servicio de soporte. La mayoría de las empresas de hosting dan soporte por chat y, en mi experiencia, son muy amables.
¿Cómo sé si la autenticación está bien hecha?
Si estás utilizando un programa de email marketing como Mailerlite, ellos mismos lo comprobarán y te informarán, como puedes ver en el siguiente pantallazo:
Más consejos para que tus correos se verifiquen y entreguen
Haz seguimiento de la entregabilidad de tus emails
Utiliza herramientas como Glockapps o InboxAlly para monitorizar la entregabilidad de tus correos. Estos programas crearán un completo informe donde podrás ver si están llegando a sus destinatarios, han rebotado o se han marcado como spam. Aquí tienes un ejemplo de lo que ves en Glockapps:
Tanto Glockapps como InboxAlly también te dirán si tus correos pasan SPF, DKIM o DMARC, algo muy útil si estás intentando averiguar por qué algunos de tus correos no llegan al destinatario. Lo interesante de InboxAlly es que también te permite simular interacciones con tus emails, como aperturas, clics y respuestas, lo que puede ayudarte a resolver problemas de entregabilidad provocados por un mal rendimiento de tus emails en el pasado.
Pero si te basta con una herramienta gratuita para hacer un test básico, también puedes echar un vistazo a Mailtester.
Configura Postmaster Tools de Google
Esta herramienta te permite conocer la salud de tus correos en el universo de Gmail (el proveedor de correo más utilizado en el mundo). Configurarlo no es difícil y da información valiosa para cualquiera que envíe una gran cantidad de emails de marketing.
Pantallazo de nuestra cuenta de Google Postmaster Tools
Básicamente, con Postmaster Tools puedes saber la “opinión” que Gmail tiene de tus correos. Te indica la reputación que Gmail considera que tiene tu dominio y hace seguimiento de la frecuencia con que tus correos se marcan como spam, entre otras cosas. Esta información vale oro para identificar problemas que podrían estar provocando que tus emails acaben en la carpeta de spam en vez de en la bandeja de entrada.
Para configurar Google Postmaster Tools hay que añadir un registro TXT a los ajustes de tu dominio, parecido a cuando configuras DKIM.
Utiliza como remitente siempre la misma dirección de correo
A la hora de enviar tus emails, no vayas cambiando de dominio ni de dirección de correo. Utiliza siempre la misma dirección para que los clientes de correo aprendan a que tus suscriptores les gusta recibir mensajes de esa dirección. Y, además, puedes pedir a los destinatarios que añadan tu dirección a su agenda de contactos.
Envía contenido relevante y dirigido
Quizá sea evidente, pero cuanto más relevante y dirigido sea el contenido de tus correos, menos probable es que se consideren spam (idealmente ocurrirá lo contrario: si en algún momento un filtro te marca como spam, tus destinatarios indicarán que es seguro). Utiliza un proceso de doble confirmación para asegurarte de que las personas que se apuntan a recibir tus correos realmente están interesados.
Utiliza tus mensajes para iniciar una conversación
¿Te molestan las direcciones de correo del tipo noreply@empresa.com?
Sé que puede resultar molesto que la gente empiece a contestarte a tus newsletters simplemente dando al botón “responder”. Pero lo bueno es que los programas de correo (Gmail, Outlook, etc.) lo ven como una indicación positiva de que la gente realmente quiere recibir tus emails.
Mantén tus listas actualizadas
Si no vas manteniendo tus listas de direcciones, es más probable que tus correos se marquen como spam o que simplemente no se entreguen. Así que necesitarás una estrategia de gestión de listas que incluya el eliminar periódicamente las direcciones que sufran rebotes, las de personas que se hayan dado de baja y las de quienes no interaccionen nunca con tus correos.
Hay también muchísimas herramientas de limpieza de emails (como BriteVerify, QuickEmailVerification o MailerCheck) que pueden ayudarte a hacerlo.
Y, por último, no te dejes lo básico
No utilices en tus asuntos palabras que “suenen a spam”, no compres listas de correos y no envíes emails con demasiada frecuencia.
Conclusión: Autenticación de emails
Autenticar los correos electrónicos es un aspecto de seguridad importantísimo con el que se asegura que los correos electrónicos son reales y protege frente a ataques de phishing y por suplantación de identidad.
Autenticar los emails no garantiza que tu estrategia de email marketing será un éxito, pero es una parte importante del puzzle. Si lo haces conjuntamente con otras buenas prácticas para la entregabilidad de emails, puedes dar a tus correos electrónicos una probabilidad mucho mayor de llegar a la bandeja de entrada, ¡en vez de convertirse en una estadística de spam más!
Hay varios protocolos y técnicas, como SPF, DMARC o DKIM para verificar la autenticidad de la dirección del remitente y la integridad del mensaje. Cuando se envía un email, el servidor de correo y el cliente de correo colaboran para aplicar estos protocolos, que incluyen añadir firmas digitales y cifrar los mensajes.
También es una buena idea ir un paso más allá y configurar también BIMI, ya que puede contribuir a mejorar tu entregabilidad al mostrar a tus destinatarios un logo de tu marca en la bandeja de entrada.
Estas medidas de verificación contribuyen a proteger a los destinatarios, asegurando que los mensajes de correo que reciben proceden de dominios verificados y no de entes malintencionados que intentan suplantar a remitentes reales. Implementar protocolos robustos de autenticación de email puede reducir de forma significativa el riesgo de que alguien envíe correos en tu nombre y mejora la seguridad en general.
No configurarlo bien desde el principio sería un error importante, así que te aconsejo que priorices la autenticación de emails.
Autor/a
Más sobre nosotros
