BEC and EAC

Google y Yahoo fijan un breve plazo para cumplir los nuevos requisitos de DMARC. ¿Está preparado?

Share with your network!

This is an updated version of a blog post originally published in October 2023.

Si tiene una cuenta de Gmail o Yahoo, probablemente sabe lo que significa una bandeja de entrada atestada de mensajes no solicitados y otros que claramente intentan estafarle. Si alguna vez ha pensado “¿cómo es posible que estas empresas no consigan bloquear estos mensajes fraudulentos y disminuir la cantidad de mensajes no solicitados que recibo?”, sepa que no es el único.

Sin embargo, hay una buena noticia: Google, Yahoo y Apple están tomando cartas en el asunto, y la situación va a mejorar para sus usuarios del correo electrónico. ¿Lo malo? Si su empresa no ha implementado completamente medidas de autenticación del correo electrónico, tiene que ponerse en marcha, no le queda mucho tiempo.

A partir de febrero de 2024, Gmail exigirá la autenticación del correo electrónico al enviar mensajes a cuentas de Gmail. Los remitentes de correo masivo que envíen más de 5000 mensajes al día a cuentas de Gmail tendrán que cumplir aún más requisitos de autenticación. Además, deberán:

  • Tener en vigor una política DMARC (Domain-based Message Authentication, Reporting & Conformance)
  • Asegurarse de unificar los identificadores de los estándares SPF (Send Policy Framework) y DKIM (DomainKeys Identified Mail)
  • Facilitar a los destinatarios la cancelación de la suscripción (con un clic)

Encontrará las directrices detalladas para remitentes de correo electrónico de Google aquí.

Yahoo ha presentado requisitos similares. Además, a partir de febrero de 2024, exigirá la implementación de una autenticación sólida en el correo electrónico para frenar el flujo de mensajes maliciosos y reducir la cantidad de mensajes poco útiles que saturan las bandejas de entrada de los usuarios.

Solo 10 días después de que Google y Yahoo anunciaran sus medidas en octubre de 2023, Apple publicó una guía de mejores prácticas para el correo de iCloud. En esta guía se detallan muchos de los mismos requisitos de autenticación del correo electrónico. Apple no fijó una fecha límite para publicar una política DMARC, pero recomienda que los remitentes de correo masivo sigan estas mejores prácticas para evitar que sus mensajes se consideren spam y queden bloqueados automáticamente.

¿Está preparado para cumplir estos requisitos? Esto es lo que debe saber.

Nuevos requisitos para el correo electrónico de Google y Yahoo

Los nuevos requisitos de Google se dividen en dos categorías. Todos los remitentes deben cumplir los requisitos de la primera categoría. Además, dependiendo de la cantidad de mensajes que envíe al día, habrá otras normas adicionales.

Aplicable a todos los remitentes:

1. Autenticación del correo electrónico. Se trata de una medida fundamental para evitar que los ciberdelincuentes envíen correo electrónico haciéndose pasar por su organización. Esta táctica se conoce como “domain spoofing” (o suplantación de dominios) y, si no se cuenta con la protección necesaria, permite a los ciberdelincuentes usar de forma ilícita los dominios del remitente para lanzar ciberataques maliciosos.

  • SPF es un protocolo de autenticación del correo electrónico diseñado para evitar la suplantación de identidad en el correo electrónico, una técnica muy habitual en los ataques de phishing y spam por correo electrónico. Como parte integrante de la ciberseguridad del correo electrónico, el protocolo SPF permite al servidor receptor comprobar si el correo entrante procede de una dirección IP autorizada por el administrador de ese dominio.
  • DKIM es un protocolo que permite a una organización responsabilizarse de la transmisión de un mensaje firmándolo de forma que los proveedores de buzones de correo puedan verificarlo. La verificación del registro DKIM se realiza gracias a la autenticación criptográfica.

2. Tasas de spam bajas. Si los destinatarios denuncian que sus mensajes incluyen una tasa de spam que supera el nuevo límite del 0,3 % (la tasa ideal es del 0,1 % de spam, o 1 de cada 1000 mensajes entregados), sus mensajes podrían bloquearse o enviarse directamente a la carpeta de spam.

Requisitos para los remitentes de correo masivo:

1. Deben implementarse los protocolos SPF y DKIM. Las empresas que envían correo a Gmail o Yahoo deben implementar los métodos de autenticación SPF y DKIM.

2. Las empresas deben contar con una política de DMARC. DMARC es un estándar de autenticación del correo electrónico que proporciona protección del canal de correo electrónico al nivel del dominio.

  • La autenticación DMARC detecta y evita las técnicas de suplantación de identidad en el correo electrónico utilizadas en el phishing, las estafas Business Email Compromise (BEC) y otros ataques por este canal.
  • DMARC se basa en los estándares Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM) existentes. Es la primera y única tecnología implementada de manera generalizada que garantiza que el dominio del encabezado “De” es de confianza. El propietario del dominio puede publicar un registro DMARC en el Sistema de Nombres de Dominio (DNS) y crear una política para indicar a los destinatarios qué hacer con los mensajes de correo electrónico que no superen la autenticación.

3. Los mensajes deben pasar la alineación DMARC. Esto significa que el dominio del remitente de Envelope From es el mismo que el dominio de Header From, o que el dominio DKIM es el mismo que el dominio de Header From (“De”).

4. Los mensajes deben incluir la cancelación de la suscripción con un solo clic. En el caso de los mensajes bajo suscripción, deben contener encabezados “List-Unsubscribe” y un enlace para activar la cancelación de la suscripción, claramente visible en el cuerpo del mensaje, que pueda iniciarse con un solo clic (One-Click Unsuscribe). Una vez que un usuario solicite la cancelación, debe efectuarse en un plazo de dos días.

Los requisitos de Google, Yahoo y Apple de un vistazo

Requisito

Google

Apple

Yahoo

Pasar la autenticación DMARC (autenticación SPF o DKIM conseguida)

Sí (< 5000 mensajes/día)

Pasar la autenticación DMARC (autenticación SPF y DKIM conseguida)

Sí (> 5000 mensajes/día)

-

Tener registros DNS PTR directos e inversos válidos

Tener tasas de spam registradas en Postmaster Tools inferiores al 0,3 % (tasas ideales inferiores al 0,1 %)

-

El formato de los mensajes se ajusta a los estándares para el correo electrónico (RFC 5321 y 5322)

No se ha falsificado el dominio del proveedor en los encabezados “De”

Se requiere TLS para el correo entrante

-

-

El correo reenviado requiere encabezados ARC

Sí (> 5000 mensajes/día)

-

-

Autenticación del correo electrónico DMARC para los dominios de envío

Sí (DMARC p=none)

Sí (DMARC p=none)

El encabezado “De” debe estar alineado con el dominio SPF o DKIM

Cancelación de la suscripción con un clic, para mensajes comerciales o promocionales bajo suscripción (RFC 8058)

Sí (1 de junio, 2024)

Sí (febrero, 2024)

Separar los tipos de correo electrónico por

Sí (por dominio)

Sí (por IP o dominio)

Sí (por IP o dominio)

Conformidad con políticas SMPT para los errores de fallo temporal y rechazo

Fechas clave

Estas son las fechas que debe recordar en cuanto al cumplimiento de los requisitos.

Enero de 2024

Apple no fijó una fecha para publicar una política DMARC, pero todos los demás requisitos se han establecido con obligación de cumplirse ahora. Por lo tanto, es mejor dar por supuesto que esta exigencia debe cumplirse inmediatamente.

Febrero de 2024

Esta es la fecha límite inicial de Google y Yahoo para cumplir los nuevos requisitos.

Google ha ofrecido algunas aclaraciones sobre la fecha límite de febrero tras el anuncio inicial. Según afirmó, los remitentes de correo masivo que no cumplan los requisitos correspondientes comenzarán a recibir errores temporales (con códigos de error) a nivel de protocolo SMTP en un pequeño porcentaje de su tráfico de correo electrónico no conforme. El objetivo de estos errores temporales es ayudar a los remitentes a identificar el tráfico de correo electrónico que no cumple las nuevas normas y comenzar a tomar medidas para solucionar este incumplimiento.

Abril de 2024

Google comenzará a rechazar un porcentaje del tráfico de correo electrónico que no cumpla los requisitos e incrementará gradualmente la tasa de rechazo. Por ejemplo, si el 75 % del tráfico de un remitente cumple los requisitos, comenzará a rechazar una parte del 25 % del tráfico restante que no cumple los requisitos.

1 de junio de 2024

Esta es la fecha límite revisada de Google para que los remitentes de correo masivo implementen la cancelación de suscripción en un clic (One-Click Unsubscribe) en todos los mensajes comerciales y promocionales.

¿Qué ocurre si se le pasa el plazo?

Si su empresa depende del correo electrónico para las comunicaciones con sus clientes y no implementa la autenticación del correo electrónico, estos cambios van a afectar significativamente a la capacidad de entrega de sus mensajes a clientes con cuentas de Gmail, Yahoo y Apple iCloud. Si envía correo masivo a cuentas de Gmail y Yahoo, y no ha implementado los protocolos SPF y DKIM, o no aplica una política DMARC, la imposibilidad de entregar estos mensajes tendrá un impacto aún mayor en su negocio.

Cuidado con las soluciones rápidas

Desconfíe de los proveedores que ofrecen implementaciones “en un clic” para cumplir rápidamente los requisitos.

Estos anuncios han cogido desprevenidas a muchas empresas que ahora se enfrentan a dificultades para ponerse al día. Cuando investigue qué se necesita para cumplir los nuevos requisitos, es posible que vea soluciones que prometen conseguirlo “en un clic” o en un período de tiempo extremadamente corto.

Normalmente, si suena demasiado bueno para ser cierto, lo es. Para alinear correctamente DMARC para su correo electrónico saliente se deben realizar cambios en cuanto a la transmisión de sus direcciones de remitente (“De”) a nivel de SMTP y de encabezado del correo electrónico, de manera que el dominio de las direcciones del remitente corresponda al dominio en la clave DKIM y SPF. Cuando estos cambios en direcciones del remitente requieren el uso de soluciones de terceros o SaaS que no ofrecen flexibilidad de configuración o que no admiten firmas DKIM, el proceso se puede complicar rápidamente.

Proofpoint puede ayudarle

Proofpoint es líder del sector en lo que respecta a la autenticación del correo electrónico. Hay un mayor número de empresas Fortune 1000 que confían en Proofpoint para DMARC que en la suma de nuestros cinco competidores más cercanos. Disponemos de las herramientas, los recursos y la experiencia necesarios para evaluar su estado actual y ayudarle a cerrar la brecha con más eficacia que si lo abordara por su cuenta.

La solución Proofpoint Email Fraud Defense proporciona acceso a consultores con gran experiencia que pueden guiarle por los pasos del proceso para implantar DMARC, ayudándole a cumplir los nuevos requisitos, además de proteger la reputación general de su marca. Esta solución incluye también los servicios SPF, DKIM y DMARC alojados, para simplificar la administración y optimizar el proceso de implantación.

Para los mensajes de correo electrónico transaccionales, aquellos que pueden enviarse desde aplicaciones o desde partners externos en su nombre, la solución Proofpoint Secure Email Relay no solo puede garantizar que todos estos mensajes estén firmados con DKIM, sino que también puede ayudar a conseguir la alineación DMARC más rápidamente.

Como respuesta a estos nuevos requisitos, ahora Proofpoint ofrece una Evaluación gratuita de entregabilidad de correo electrónico para ayudarle a determinar lagunas potenciales y proporcionarle un itinerario a seguir para minimizar el impacto de estos cambios en su empresa. También puede visitar nuestro Asistente de creación de registros DMARC en cualquier momento para comprobar su situación en cuanto a DMARC y SPF.

No espere al último minuto para iniciar su viaje a DMARC. No sabe los problemas que pueden surgir y no debe arriesgarse a incumplir las fechas límite. Póngase ya en contacto con Proofpoint. Nosotros no solo le preparamos para estos nuevos requisitos, además podemos mejorar su postura de seguridad global y ayudarle a romper la cadena de ataque.