Cómo validar que su autenticación de correo electrónico está configurada correctamente (DKIM, DMARC, SPF)

Validador DKIM DMARC SPF

Si envía correos electrónicos en cualquier tipo de volumen, es una industria en la que se asume que es culpable y tiene que demostrar su inocencia. Trabajamos con muchas empresas ayudándolas con su migración de correo electrónico, calentamiento de IP y problemas de entrega. La mayoría de las empresas ni siquiera se dan cuenta de que tienen un problema.

Los problemas invisibles de la capacidad de entrega

Hay tres problemas invisibles con la capacidad de entrega del correo electrónico que las empresas desconocen:

  1. Permiso – Proveedores de servicios de correo electrónico (ESP) administrar los permisos de suscripción... pero el proveedor de servicios de Internet (proveedor de servicios Internet) administra la puerta de enlace para la dirección de correo electrónico de destino. Es realmente un sistema terrible. Puede hacer todo bien como empresa para adquirir permisos y direcciones de correo electrónico, y el ISP no tiene idea y puede bloquearlo de todos modos.
  2. Ubicación de la bandeja de entrada – Los ESP promueven altos capacidad de entrega tarifas que son básicamente una tontería. Un correo electrónico que se enruta directamente a la carpeta de correo no deseado y que su suscriptor de correo electrónico nunca ve es técnicamente entregado. Para monitorear verdaderamente su ubicación de la bandeja de entrada, tienes que usar una lista de semillas e ir a buscar a cada ISP. Hay servicios que hacen esto.
  3. Reputación – Los ISP y los servicios de terceros también mantienen puntajes de reputación para la dirección IP de envío de su correo electrónico. Hay listas negras que los ISP pueden usar para bloquear todo su correo electrónico por completo, o puede tener una mala reputación que lo redirigiría a la carpeta de correo no deseado. Hay una serie de servicios que puede usar para monitorear su reputación de IP... pero sería un poco pesimista ya que muchos no tienen conocimiento de los algoritmos de cada ISP.

Autenticación de correo electrónico

Las mejores prácticas para mitigar cualquier problema de ubicación de la bandeja de entrada es asegurarse de haber configurado una cantidad de registros de DNS que los ISP pueden usar para buscar y asegurarse de que los correos electrónicos que está enviando sean realmente enviados por usted y no por alguien que pretende ser su empresa. . Esto se hace a través de una serie de normas:

  • Marco de política del remitente (SPF) – el estándar más antiguo, aquí es donde registra un registro TXT en el registro de su dominio (DNS) que indica desde qué dominios o direcciones IP está enviando correos electrónicos para su empresa. Por ejemplo, envío un correo electrónico para Martech Zone del Espacio de trabajo de Google y desde CircuPress (mi propio ESP actualmente en beta). Tengo un complemento SMTP en mi sitio web para enviar también a través de Google; de ​​lo contrario, también tendría una dirección IP incluida en esto.

v=spf1 include:circupressmail.com include:_spf.google.com ~all

  • DominioAutenticación, informes y conformidad de mensajes basados ​​en (DMARC): este estándar más nuevo tiene una clave cifrada que puede validar tanto mi dominio como el remitente. Mi remitente produce cada clave, lo que garantiza que los correos electrónicos enviados por un spammer no puedan ser falsificados. Si está utilizando Google Workspace, aquí está cómo configurar DMARC.
  • DomainKeys Correo identificado (DKIM) – Trabajando junto con el registro DMARC, este registro informa a los ISP cómo tratar mis reglas DMARC y SPF, así como también dónde enviar los informes de capacidad de entrega. Quiero que los ISP rechacen cualquier mensaje que no pase DKIM o SPF, y quiero que envíen informes a esa dirección de correo electrónico.

v=DMARC1; p=reject; rua=mailto:dmarc@martech.zone; adkim=r; aspf=s;

  • Indicadores de marca para la identificación de mensajes (BIMI) – la incorporación más reciente, BIMI proporciona un medio para que los ISP y sus aplicaciones de correo electrónico muestren el logotipo de la marca dentro del cliente de correo electrónico. Hay tanto un estándar abierto como un estándar cifrado para Gmail donde también necesita un certificado encriptado. Los certificados son bastante caros, así que no lo haré todavía.

v=BIMI1; l=https://martech.zone/logo.svg;a=self;

NOTA: Si necesita ayuda para configurar cualquiera de sus autenticaciones de correo electrónico, no dude en comunicarse con mi empresa. Highbridge. tenemos un equipo de expertos en marketing por correo electrónico y capacidad de entrega eso puede ayudar.

Cómo validar su autenticación de correo electrónico

Toda la información de origen, la información de retransmisión y la información de validación asociada con cada correo electrónico se encuentra dentro de los encabezados de los mensajes. Si eres un experto en entregabilidad, interpretarlos es bastante fácil... pero si eres un novato, son increíblemente difíciles. Así es como se ve el encabezado del mensaje para nuestro boletín informativo, he atenuado algunos de los correos electrónicos de respuesta automática y la información de la campaña:

Encabezado del mensaje: DKIM y SPF

Si lee, puede ver cuáles son mis reglas DKIM, si DMARC pasa (no pasa) y SPF pasa... pero eso es mucho trabajo. Sin embargo, hay una solución alternativa mucho mejor, y es usar DKIMValidador. DKIMValidator le proporciona una dirección de correo electrónico que puede agregar a su lista de boletines o enviar a través del correo electrónico de su oficina... y traducen la información del encabezado en un buen informe:

Primero, valida mi encriptación DMARC y firma DKIM para ver si pasa o no (no pasa).

DKIM Information:
DKIM Signature

Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=circupressmail.com;
	s=cpmail; t=1643110423;
	bh=PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=;
	h=Date:To:From:Reply-to:Subject:List-Unsubscribe;
	b=HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          relaxed/relaxed
d= Domain:          circupressmail.com
s= Selector:        cpmail
q= Protocol:        
bh=                 PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=
h= Signed Headers:  Date:To:From:Reply-to:Subject:List-Unsubscribe
b= Data:            HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=
Public Key DNS Lookup

Building DNS Query for cpmail._domainkey.circupressmail.com
Retrieved this publickey from DNS: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+D53OskK3EM/9R9TrX0l67Us4wBiErHungTAEu7DEQCz7YlWSDA+zrMGumErsBac70ObfdsCaMspmSco82MZmoXEf9kPmlNiqw99Q6tknblJnY3mpUBxFkEX6l0O8/+1qZSM2d/VJ8nQvCDUNEs/hJEGyta/ps5655ElohkbiawIDAQAB
Validating Signature

result = fail
Details: body has been altered

Luego, busca mi registro SPF para ver si pasa (lo hace):

SPF Information:
Using this information that I obtained from the headers

Helo Address = us1.circupressmail.com
From Address = info@martech.zone
From IP      = 74.207.235.122
SPF Record Lookup

Looking up TXT SPF record for martech.zone
Found the following namesevers for martech.zone: ns57.domaincontrol.com ns58.domaincontrol.com
Retrieved this SPF Record: zone updated 20210630 (TTL = 600)
using authoritative server (ns57.domaincontrol.com) directly for SPF Check
Result: pass (Mechanism 'include:circupressmail.com' matched)

Result code: pass
Local Explanation: martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)
spf_header = Received-SPF: pass (martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)) receiver=ip-172-31-60-105.ec2.internal; identity=mailfrom; envelope-from="info@martech.zone"; helo=us1.circupressmail.com; client-ip=74.207.235.122

Y, por último, me brinda información sobre el mensaje en sí y si el contenido puede marcar algunas herramientas de detección de SPAM, verifica si estoy en listas negras y me dice si se recomienda enviarlo a la carpeta de correo no deseado o no:

SpamAssassin Score: -4.787
Message is NOT marked as spam
Points breakdown: 
-5.0 RCVD_IN_DNSWL_HI       RBL: Sender listed at https://www.dnswl.org/,
                            high trust
                            [74.207.235.122 listed in list.dnswl.org]
 0.0 SPF_HELO_NONE          SPF: HELO does not publish an SPF Record
 0.0 HTML_FONT_LOW_CONTRAST BODY: HTML font color similar or
                            identical to background
 0.0 HTML_MESSAGE           BODY: HTML included in message
 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily
                            valid
 0.0 T_KAM_HTML_FONT_INVALID Test for Invalidly Named or Formatted
                            Colors in HTML
 0.1 DKIM_INVALID           DKIM or DK signature exists, but is not valid

¡Asegúrese de probar cada ESP o servicio de mensajería de terceros desde el que su empresa envía correos electrónicos para asegurarse de que su autenticación de correo electrónico esté configurada correctamente!

Pruebe su correo electrónico con el validador DKIM

Divulgación: estoy usando mi enlace de afiliado para Espacio de trabajo de Google en este articulo.