Se podría pensar que la autenticación del correo electrónico es sencilla: configura un registro SPF de Amazon SES, publica unos cuantos registros y listo. Pero resulta que los equipos se encuentran con todo tipo de problemas cuando van más allá de lo básico.
Esto se debe a que SPF, DKIM y DMARC son sistemas vivos ligados a la reputación de tu dominio, e incluso los pequeños errores pueden convertirse en grandes problemas de entregabilidad más adelante.
Para este artículo, hemos reunido lecciones de equipos que gestionan SES a través de flujos de correo electrónico de marketing, transaccional y de notificación para explicar dónde se atasca la gente, por qué son importantes estas herramientas y qué patrones surgen cuando miras bajo el capó. Sigue leyendo
Cómo funcionan las cosas en el fondo de tu dominio
Cuando envías correos electrónicos a través de Amazon SES (o de cualquier otro servidor de correo en realidad), ocurren muchas cosas que tú nunca ves, pero los proveedores de buzones sí.
SMTP, el protocolo que mueve tus correos electrónicos a través de Internet, por sí solo, no comprueba si un remitente es real, razón por la cual la suplantación de identidad del correo electrónico es un problema tan grande hoy en día. Depende del proveedor de correo electrónico mirar la configuración DNS de tu dominio, comprobar tu registro SPF, verificar tus registros DKIM y confirmar que tu dominio ha sido autenticado correctamente antes de decidir si tu mensaje debe ir a parar a la bandeja de entrada, al correo no deseado o a ninguna parte.
Sin la configuración correcta del marco de políticas del remitente (SPF) y DKIM, incluso los correos electrónicos transaccionales rut inarios pueden fallar en las comprobaciones SPF, lo que puede dañar la reputación del remitente y la entregabilidad del correo electrónico con el tiempo.
Los propietarios de dominios responsables saben que cada comprobación SPF, cada actualización DNS y cada registro publicado importan. Prestan mucha atención a estos detalles porque comprenden hasta qué punto influyen en que los correos electrónicos lleguen a la bandeja de entrada.
Qué hace (y qué no hace) el FPS
SPF (Sender Policy Framework) no es un muro que bloquee toda suplantación de identidad de correo electrónico. Lo que hace es decir a los proveedores de buzones de correo: «Estos son los servidores en los que confío para que envíen correo por mí«. Es un conjunto de reglas, publicadas en el DNS de tu dominio como un registro TXT, que permite a los servidores receptores comprobar si un mensaje entrante procede de una fuente autorizada.
Para Amazon SES, ese registro suele tener este aspecto:
v=spf1 include:amazonses.com -all.
En términos sencillos, está diciendo Acepta el correo que llega a través de Amazon SES; rechaza todo lo demás. Pero si ya tienes un registro SPF y simplemente añades un segundo, el sistema se confunde. SPF sólo funciona cuando tienes un registro combinado, así que tienes que fusionarlo todo (como include:amazonses.com) en una sola línea.
Muchos de los problemas también provienen de olvidar la conexión del dominio MAIL FROM. Las comprobaciones SPF están vinculadas a la dirección MAIL FROM, no al «De» visible en tus correos electrónicos, por lo que si tu dominio principal MAIL FROM no está configurado correctamente, la validación SPF puede fallar. Y cuando lo hace, los proveedores de buzones de correo pueden no bloquearte directamente, pero pueden fallar suavemente tus correos electrónicos, enviándolos a spam o ignorándolos por completo. Por eso el SPF debe manejarse con cuidado.
¿Quieres mejorar tu reputación de remitente más allá de la configuración SPF? Echa un vistazo a InboxAlly para ver cómo ayudamos a los remitentes a mejorar la ubicación en la bandeja de entrada y recuperar la confianza de los proveedores de buzones.
Dominios MAIL FROM predeterminados vs. personalizados
Uno de los errores más comunes que cometen incluso los usuarios experimentados es asumir que Amazon SES gestiona el SPF por ellos, pase lo que pase. Sí, si te quedas con el dominio MAIL FROM predeterminado de Amazon (algo como subdominio.amazonses.com), SPF ya está configurado.
Pero en el momento en que cambias a un dominio personalizado MAIL FROM (como mail.tuempresa.com), las cosas cambian. Ahora, tienes que publicar o actualizar el registro SPF en tu servidor DNS para incluir Amazon SES(v=spf1 include:amazonses.com -all). Si te olvidas de eso, es posible que ni siquiera te des cuenta de que tus comprobaciones SPF fallan hasta que los índices de entrega se conviertan en un problema.
Además de SPF, también tienes que configurar correctamente los registros MX para tu dominio MAIL FROM, apuntando a feedback-smtp.region.amazonses.com. Pero si tu dominio MAIL FROM tiene varios registros SPF y MX (de configuraciones antiguas o de otros sistemas de correo), la validación de SES puede fallar, y tu configuración de envío no funcionará.
Ten en cuenta que los códigos de región de AWS (como us-east-1 o eu-west-1) deben coincidir exactamente en tus entradas MX y SPF, o corres el riesgo de invalidar la configuración.
Si todo esto suena un poco complicado, es porque puede serlo, pero hacerlo bien significa la diferencia entre un envío sin esfuerzo y un día atascado en el infierno de la resolución de problemas, así que asegúrate de dedicar algo de tiempo a esto.
Si tu configuración personalizada de Amazon SES está perjudicando la entregabilidad, reserva una demostración gratuita con InboxAlly y déjanos ayudarte a reconstruir tu reputación de remitente y devolver tus emails a las bandejas de entrada.
DKIM y DMARC: Completar el triángulo de la confianza
Si SPF indica a los proveedores de buzones de correo quién está autorizado a enviar en tu nombre, DKIM (DomainKeys Identified Mail) les indica si el mensaje ha sido manipulado por el camino.
DKIM funciona añadiendo una firma criptográfica a tus correos electrónicos (una especie de sello digital) que el servidor receptor puede cotejar con tus registros DNS públicos. Si la firma coincide, demuestra que el mensaje es auténtico y no ha sido alterado.
Con Amazon SES, configurar DKIM es sorprendentemente manejable gracias a Easy DKIM.
En la consola de Amazon SES:
- Generar configuración DKIM para tu dominio
- Añade los registros CNAME proporcionados a tu configuración DNS
- Espera a la verificación
Una vez verificado, SES empezará a firmar automáticamente tu correo saliente, y tus correos perderán el «via amazonses.com«. Esto hace que sea mucho más probable que los proveedores de correo confíen en ellos y los entreguen.
Sin embargo, DKIM y SPF sólo funcionan con un DMARC (Domain-based Message Authentication, Reporting, and Conformance) implantado. DMARC indica a los proveedores de buzones de correo qué hacer si SPF o DKIM fallan (poner en cuarentena, rechazar o permitir) y te proporciona informes sobre el rendimiento de tu dominio.
Estos tres métodos de autenticación crean un «triángulo de confianza» que refuerza la entregabilidad, protege tu marca de la suplantación de identidad y, en última instancia, aumenta la participación del usuario. Sin ellos, estás dejando lagunas que los filtros de correo modernos detectarán y penalizarán.
¿Has configurado correctamente SPF, DKIM y DMARC? Mejor verifícalo gratis con nuestro comprobador de correo electrónico para asegurarte de que tu autenticación es correcta antes de enviar tu próxima campaña.
Consejos de instalación en el mundo real
Aunque sigas todas las guías SPF y DKIM a la perfección, puedes encontrarte con problemas, y aunque no suelen ser culpa tuya, es mejor que los conozcas de antemano. Veamos cuáles son.
Retrasos en la propagación del DNS
Cuando actualizas los registros SPF o DKIM, esos cambios no se aplican instantáneamente en todo Internet. Dependiendo de tu proveedor de DNS, los proveedores de buzones de correo pueden tardar hasta 72 horas en empezar a reconocer tus actualizaciones. Eso significa que realizar pruebas justo después de hacer los cambios puede darte falsos fallos, así que ten paciencia.
Problemas con el proveedor de DNS
Algunas plataformas DNS no permiten guiones bajos en los nombres de registro (por ejemplo, _amazonses), lo que te obliga a ajustar el formato.
Otros añaden automáticamente tu nombre de dominio a las entradas del registro, por lo que añadir un punto al final del nombre (para marcarlo como totalmente cualificado) puede ahorrarte registros duplicados. También hay que tener en cuenta que el formato de los registros TXT, como los saltos de línea, los espacios de más o las comillas mal colocadas, también pueden romperlo todo.
SPF «incluir» desorden
Si utilizas varios servicios (Amazon SES, Mailchimp, Salesforce, etc.), apilar registros SPF no funciona: SPF sólo mira el primer registro coincidente. Tienes que fusionar todos los includes en un único registro, mantenerlos limpios y por debajo del límite de 10 búsquedas.
Así que si quieres emplear tu tiempo inteligentemente, asegúrate de planificar estos posibles problemas con antelación, porque puede ahorrarte horas de frustración futura.
Probar, verificar y adelantarse
Ya has configurado el SPF y el DKIM, ¡genial! Pero, ¿cómo sabes que funcionan?
Empieza utilizando MXToolbox o las herramientas de administración de Google para realizar una comprobación SPF. Envíate un correo electrónico de prueba a ti mismo, luego abre las cabeceras completas del correo electrónico y busca Received-SPF: pass. Eso es señal de que el registro SPF se reconoce correctamente. Para DKIM, comprueba que la firma está presente y se valida correctamente (verás una cabecera DKIM-Signature en el correo electrónico sin procesar).
Pero si quieres la mejor visibilidad absoluta, no olvides la supervisión DMARC. Una vez que tengas configurado un registro DMARC, puedes recibir informes periódicos que muestren cuántos de tus correos electrónicos han superado o no las comprobaciones SPF y DKIM (y por qué). Los informes DMARC te ayudarán a detectar nuevos problemas, como servicios que hayas añadido y que aún no estén cubiertos por tu configuración SPF o DKIM.
Recuerda: la autenticación del correo electrónico exige trabajo y mantenimiento continuos. La propiedad del dominio puede cambiar, los registros DNS pueden sobrescribirse accidentalmente, o puede que añadas una nueva herramienta de marketing que empiece a enviar en tu nombre. La verificación periódica del dominio mantiene tu autenticación hermética y tu capacidad de entrega en buen lugar.
Reflexiones finales
Espero que este post te haya ayudado a tener más confianza a la hora de configurar SPF, DKIM y DMARC en tu configuración de Amazon SES.
La entregabilidad del correo electrónico es un proceso continuo de mejora de la confianza y la coherencia con los proveedores de buzones. Y sí, requiere un mantenimiento regular, pruebas y un poco de paciencia.
Si mejorar la entregabilidad está en tu radar, estamos aquí para ti. InboxAlly ayuda a los remitentes a mejorar la colocación en la bandeja de entrada, impulsar la participación y recuperarse de los problemas de entregabilidad, independientemente de lo desordenada que sea tu reputación actual.
¿Quieres ver lo que una mejor entregabilidad podría significar para tus correos electrónicos? Obtén más información o reserva una charla con nuestro equipo:nos encantaría mostrarte lo que es posible.