Alerta Registro DMARC Shopify y Shopify Plus
Shopify ha alertado hace unos días a todos los Merchants sobre la necesidad de incorporar ciertos registros de autenticación en los dominios principales que utilizan las marcas para enviar Emails tanto de Marketing como notificaciones y automatizaciones de compras, el cambio obedece a que Gmail y Yahoo han agregado una capa de seguridad que obliga a agregar estos registros en el dominio principal de la tienda a fin de asegurarse que el remitente de un email que reciba el usuario sea quien dice ser y así minimizar el riesgo de Phishing.
El equipo técnico de Cluster | E-commerce Agency está elaborando una guía para compartirla con todos los Merchands Shopify y Shopify Plus.
Déjanos tus datos para enviarte la guía o en caso necesites que nuestro equipo especializado te brinde asistencia personalizada estaremos encantados de ayudarte.
La necesidad de DMARC y otras formas de autenticación de correo electrónico radica en prevenir la suplantación de identidad en los mensajes electrónicos. Cada dirección de correo tiene un dominio, la parte que sigue al símbolo "@". Delincuentes y spammers a veces intentan enviar correos desde un dominio no autorizado, emulando la escritura de una dirección de remitente falsa, ya sea con fines fraudulentos como en ataques de phishing u otros motivos.
En conjunto, DMARC, DKIM y SPF operan como una verificación de antecedentes para los remitentes de correo electrónico, asegurándose de su legitimidad. Por ejemplo, si un spammer envía un correo desde "trustworthy@example.com" sin autorización para usar el dominio "example.com", estos mecanismos permiten a los servidores de correo identificar el intento de suplantación y marcar el mensaje como spam o rechazar su entrega.
¿Qué es una Política de DMARC?
Una Política de DMARC define las acciones que deben tomarse con un correo electrónico después de verificar sus registros SPF y DKIM. El resultado de estas verificaciones puede ser que el correo electrónico pase o no pase las pruebas SPF y DKIM. La Política de DMARC especifica si el fallo en estas pruebas resultará en que el correo electrónico se marque como spam, se bloquee o se entregue al destinatario. Es importante señalar que, en ausencia de un registro DMARC, los servidores de correo pueden seguir marcando los correos como spam, pero DMARC ofrece pautas más claras sobre cuándo hacerlo.
Un ejemplo de política para el dominio example.com podría ser:
"Si un correo electrónico no pasa las pruebas DKIM y SPF, se marca como spam."
Estas políticas no se registran en formato legible por humanos, sino en comandos legibles por máquinas. La política DMARC mencionada tendría el siguiente formato real: v=DMARC1; p=quarantine; adkim=s; aspf=s;
Explicación de los elementos:
- v=DMARC1 indica que este registro TXT contiene una política de DMARC y debe interpretarse como tal por los servidores de correo.
- p=quarantine indica que los servidores de correo deben "poner en cuarentena" los correos que no superan DKIM y SPF, considerándolos potencialmente spam. Otras configuraciones posibles incluyen p=none, que permite que los correos que no superan pasen, y p=reject, que ordena bloquear los correos que no superan. adkim=s significa que las comprobaciones DKIM son "estrictas," y se puede configurar como "relajado" si se cambia la 's' por una 'r' (adkim=r).
- aspf=s es similar a adkim=s, pero para SPF.