Email is an essential tool in our lives, as well as being one of Evicertia's primary methods of communication, but it is also a common target for spam and fraud. To counter this, there are three important defences: SPF, DKIM and DMARC. These technologies work together to ensure that emails are authentic and secure. From verifying senders to digital signatures and security policies, these solutions are essential to protect our electronic communications and strengthen our email security.
Brief Introduction to SPF and DKIM
The first step in this help is to explain these email security measures in order to understand how they work.
What is SPF?
SPF (Sender Policy Framework) is a technique that helps prevent spam or fraudulent e-mail by verifying whether the mail server sending a message is authorised to do so on behalf of a specific domain.
Step-by-step explanation:
- An e-mail server receives a message from a sender, e.g. "usuario@midominio.com".
- The recipient's server queries the SPF records for the domain "mydomain.com".
- SPF records contain a list of mail servers that are authorised to send mail on behalf of "mydomain.com".
- The destination server checks if the server sending the mail is on that list.
- If it matches, the mail is considered legitimate and is delivered. If it does not match, it may be treated as spam or rejected.
(Flowchart of a domain verified by SPF)
What is DKIM?
DKIM (DomainKeys Identified Mail): is another technique that helps to guarantee the authenticity of emails by adding a digital signature to the message.
Step-by-step explanation:
- When a mail server sends a message, it creates a unique digital signature for that message using a private key.
- The mail server adds this signature to the message header.
- The destination server, which has the corresponding public key, can verify the signature.
- If the signature is valid, the message is considered authentic and has not been altered in transit.
(Flowchart of a domain verified by DKIM)
What is DMARC?
DMARC (Domain-based Message Authentication, Reporting, and Conformance) is like an email supervisor for a domain (such as "mydomain.com"). Think of it as a set of rules that the domain owner sets up to tell other mail servers how to handle emails that appear to come from their domain.
- Rules Configuration: The domain owner (such as a company) configures specific rules in the DNS records of their domain. These rules indicate how emails impersonating your domain should be treated.
- Receiving an Email: When a mail server receives an email claiming to be from that domain (such as "usuario@midominio.com"), it checks the DMARC rules that the domain owner has configured.
- DMARC-based actions: DMARC tells the receiving mail server what to do with the email. You can do one of three options:
- Accept Email: If the email complies with DMARC rules (such as having the correct SPF and DKIM signatures), the server delivers it to the inbox.
- Mark as spam: If the mail does not comply with DMARC rules, the server may mark it as spam or put it in the junk mail folder.
- Reject Email: En casos extremos, si el correo no cumple con las reglas de DMARC, el servidor puede rechazarlo por completo, evitando que llegue al destinatario
How to set up a Forwarding Domain?
Un dominio de remite verificado, te permite enviar EviMails con una cuenta de correo electrónico de dicho dominio con la seguridad de su entrega ya se verifica la configuración SPF y DKIM.
Para configurar un dominio de remite, se debe registrar en su sitio con un usuario Administrador. Solo los Administradores de sitio podrán dar de alta dominios.
El alta y configuración de dominios se realiza desde la pantalla "Management of forwarding domains" a la cual se accede desde el menú superior "Mis Datos".
Grid de dominios de remite
En esta pantalla se muestran los dominios que se han configurado en un determinado sitio. Estos dominios aparecen en un Grid dividido en 7 columnas
- Estado (State) : Estado en el que se encuentra el dominio
- Verificado (Verified): El dominio ha sido verificado por el sistema
- No verificado (Not verified): El dominio no ha podido ser verificado por el sistema.
- Dominio (Domain): Es el nombre del dominio que se ha configurado.
- Descripción (Description): Breve descripción del dominio.
- Fecha de creación (Creation date): Fecha en la que se creó el dominio.
- Botón detalles (Details): Permite ver el detalle de la configuración del dominio y realizar manualmente una verificación.
- Botón editar (Edit): Permite realizar cambios en la configuración del dominio.
- Botón eliminar (Remove): Permite eliminar la configuración de un dominio en un determinado sitio.
Alta de un dominio de remite
Pulsando en el botón “Añadir dominio” (Add domain), se despliega una pantalla modal para iniciar la configuración de un nuevo dominio.
En este primer paso se recuerda al usuario que debe tener acceso a la configuración de los DNS del dominio que pretende configurar,y la recomendación de usar subdominios
Verificando el dominio
Este es el siguiente paso en el proceso de alta de un dominio. En este paso se muestra al usuario las configuraciones necesarias que debe hacer en los DNS de su dominio para que pueda ser verificado.
Estas configuraciones son personalizadas con el dominio introducido en el paso anterior. Para facilitar al usuario los datos que debe introducir en sus sistemas.
Una vez que el usuario haya hecho las modificaciones necesarias en el fichero DNS de su dominio, tiene la opción de verificar el dominio pulsando el botón “Verificar dominio” o Salir del proceso pulsando “Cancelar”.
También se la da la opción al usuario de crear un selector DKIM propio para ese dominio, pulsando el botón “Añadir selector personalizado” se abrirá una ventana popup para generar el selector y el par de claves (privada y pública) esta opción la detallamos más adelante.