Descripción general de la autenticación de correo electrónico

Para asegurarte de que tus correos electrónicos de marketing enviados a través de HubSpot cumplen las normas de autenticación y las políticas de envío aplicadas por los principales proveedores de bandejas de entrada de correo electrónico (por ejemplo, Gmail y Yahoo Mail), puedes conectar tu dominio de correo electrónico a HubSpot. El proceso de conexión de dominios implica la configuración de tres tipos de registros DNS distintos en los ajustes de tu proveedor DNS: DKIM, SPF y DMARC.

Este artículo ofrece una descripción general de qué son estos registros y cómo funcionan sus protocolos de autenticación asociados.

Una vez que estés listo para autenticar tu dominio de correo electrónico, puedes comenzar el proceso de configuración de DNS o revisar tu estado actual de autenticación en HubSpot.

Nota: tu administrador de cuenta de HubSpot o miembros de asistencia técnica de HubSpot pueden ayudarte a entender las prácticas recomendables y cómo usar las herramientas de HubSpot para configurar la autenticación, pero ellos no pueden tomar estas decisiones por ti, ni pueden administrar tu configuración de DNS. Tendrás que trabajar con tu equipo de TI o tu administrador de correo electrónico para configurar completamente la autenticación del correo electrónico. También puedes contactar con un servicio externo de consultoría o elaboración de informes DMARC para obtener ayuda adicional.

Comprender el impacto de los correos electrónicos autenticados

Impacto en tu cuenta de HubSpot

Aunque DKIM, SPF y DMARC no son estrictamente necesarios para enviar correos electrónicos a través de HubSpot, no puedes enviar correos con tu dominio en la dirección del remitente (por ejemplo, employee@example.com) hasta que conectes ese dominio a HubSpot configurando DKIM. Esto también aumentará la capacidad de entrega de correo electrónico para ese dominio.

Los dominios no conectados como dominio de correo electrónico en tu cuenta se modificarán a un dominio variable alojado en HubSpot. Más información sobre los correos electrónicos no autenticados en este artículo.

Impacto en el desempeño del correo electrónico

La mayoría de los proveedores de servicios de bandeja de entrada prefieren los correos autenticados por DKIM. Los correos electrónicos enviados sin autenticación DKIM tienen más probabilidades de rebotar, ponerse en cuarentena o clasificarse como spam. Los correos electrónicos en cuarentena aparecerán como entregados en HubSpot, pero no serán visibles para la mayoría de los destinatarios, por lo que es muy recomendable que configures DKIM para mejorar la capacidad de entrega.

Nota: algunos proveedores de buzones de entrada, como Google y Yahoo, exigirán que DMARC, DKIM y SPF estén completamente configurados en cualquier dominio que envíe correos masivos a sus usuarios. Si no cumples estos requisitos, los correos electrónicos de tu dominio serán rebotados. Estos rebotes se categorizarán como un rebote DMARC o Política.

Guía de DKIM

DKIM (DomainKeys Identified Mail) es un método de autenticación de correo electrónico destinado a evitar la suplantación de identidad, técnica utilizada por agentes maliciosos para enviar correos con direcciones de remitente falsificadas.

Para configurar DKIM en HubSpot, se te guiará para que configures DKIM utilizando dos registros CNAME en tu proveedor de DNS. Una vez que configures tus registros DKIM en tu proveedor de DNS utilizando una clave pública que HubSpot te proporciona, un servidor de correo receptor (por ejemplo, Gmail) podrá verificar la firma del correo electrónico enviado que esté asociado a tu dominio.

Obtén más información sobre cómo agregar estos registros siguiendo las instrucciones de este artículo.

Una vez que hayas agregado estos registros DNS y hayan sido verificados por HubSpot y tu proveedor de DNS, la firma DKIM se incluirá en los encabezados de tus correos electrónicos enviados, lo que se correlaciona con las entradas CNAME asociadas que configuraste.

Guía de FPS

SPF (Sender Policy Framework) es un estándar de autenticación de correo electrónico utilizado para verificar que el servidor de correo electrónico remitente está autorizado a enviar correo en nombre de un dominio específico.

Tradicionalmente, SPF es necesario para el dominio de la ruta de retorno del sobre, que es la dirección a la que se enviarán los rebotes. HubSpot ya lo tiene configurado para los correos electrónicos de marketing enviados a través de sus servidores compartidos. Todos los clientes de IP dedicada deben configurar SPF en su dominio de ruta de retorno de sobres como parte de su configuración inicial de IP.

También es muy recomendable que agregues el registro SPF de HubSpot a tu dominio de dirección del remitente. Esto se configurará como un registro TXT en tu proveedor de DNS, utilizando el valor proporcionado en la configuración de tu dominio de HubSpot. Este registro proporcionará una lista actualizada regularmente de direcciones IP que HubSpot utilizará para enviar correos electrónicos de marketing desde tu dominio de dirección del remitente.

Puedes seguir esta guía para agregar HubSpot a tu registro SPF.

Una vez que hayas agregado el registro SPF y se haya completado el proceso de verificación, cuando un servidor de correo electrónico procese uno de tus correos enviados, podrá validar que HubSpot está en la lista de remitentes válidos permitidos de tu dominio.

Guía de DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) es un protocolo de autenticación de correo electrónico que protege aún más a los propietarios de dominios de correo electrónico de la suplantación de identidad y otros usos no autorizados de sus dominios.

Al configurar un registro DMARC, los proveedores de bandeja de entrada pueden confirmar cómo procesar cualquier correo electrónico enviado desde tu dominio que no pase las comprobaciones SPF y DKIM. DMARC también proporciona un mecanismo de información para que los propietarios de dominios sepan con qué frecuencia los servidores de destinatarios de todo el mundo reciben correos electrónicos enviados desde su dominio, y qué porcentaje está correctamente autenticado.

Obtén más información sobre los valores de política disponibles y un par de políticas de ejemplo en las secciones siguientes. Cuando estés listo para configurar tu registro DMARC, consulta las instrucciones en este artículo.

Valores de política

Una política DMARC puede definirse agregando un registro TXT en la configuración de tu proveedor de DNS, con un valor que puede incluir las siguientes propiedades separadas por punto y coma:

• v: la versión de DMARC.
• p: el tipo de política que dicta cómo procesar los correos electrónicos que no pasan. La política puede establecerse en uno de los siguientes tipos:
  
  • none: se utiliza para recoger comentarios y obtener visibilidad de los flujos de correo electrónico sin afectar a los flujos existentes.
  • quarantine: filtra los correos electrónicos que no pasan la autenticación a la cuarentena del destinatario.
  • reject: correos rebotados que no pasan la autenticación.
• sp: utilizado para aplicar una política a un subdominio del registro DMARC.
• pct: el porcentaje del total de envíos únicos en los que falló la autenticación para aplicar esta política. Por ejemplo, si tu registro DMARC incluye p=reject; pct=25 , y 100 correos electrónicos no pasan la autenticación, solo 25 de ellos serán devueltos, mientras que los otros 75 se entregarán a sus destinatarios.
  
  • Definir esta propiedad puede ayudar a mejorar lentamente tu política de autenticación para asegurarte de que funciona como se espera.
  • Ten en cuenta que este parámetro a veces es ignorado por algunos proveedores de servicios de bandeja de entrada.
• ruf & rua: dos parámetros opcionales que especifican una dirección de correo electrónico a la que enviar los datos del informe DMARC. Deben proporcionarse en formato URI mailto (por ejemplo, mailto:reporting@example.com). Los datos de informes que se envían difieren en función del parámetro:
  • rua: un informe agregado de todo el tráfico de tu dominio.
  • ruf: datos de informes de fallos que incluyen copias redactadas de los mensajes individuales que no pasaron la autenticación.
• adkim & aspf: especifica el modo de alineación para DKIM y SPF. Ambos deben ajustarse a r (es decir, una alineación relajada ). Una alineación relajada debería ser la configuración predeterminada de DMARC para servicios de DNS.

Una vez que hayas agregado y verificado el registro DMARC en tu proveedor de DNS, todos los servidores de correo electrónico receptores podrán autenticar los correos entrantes de tu dominio y gestionar cualquier fallo según la política que hayas especificado.

Ejemplos de políticas

Puedes personalizar tu política DMARC para adaptarla a las necesidades de tu empresa. Estos son algunos ejemplos:

Política neutra

v=DMARC1; p=none;

Este es un ejemplo de una política DMARC neutra sin parámetros adicionales. Una política neutra es útil para los remitentes que están empezando a familiarizarse con DMARC. Esto es lo mínimo para que DMARC funcione.

Política estricta con informes agregados

v=DMARC1; p=reject; rua=mailto:reporting@example.com;

El ejemplo anterior define una política DMARC estricta para rebotar cualquier correo electrónico que no pase la autenticación, y proporciona una dirección de correo electrónico a la que enviar los datos de informes agregados.

Política de cuarentena con notificación de fallos

v=DMARC1; p=quarantine; pct=25; ruf=mailto:reporting@example.com;

Este ejemplo define una política que pondrá en cuarentena el 25% de los correos electrónicos que no pasen la autenticación, mientras que el otro 75% de los correos que no pasen la autenticación tendrán permitido su entrega. La política también proporciona una dirección de informe a la que se puede enviar un correo electrónico de notificación individual por cada correo electrónico que no pase la autenticación.

Definir un valor para la propiedad pct puede permitirte probar una muestra aleatoria de mensajes que no pasaron DMARC para permitirte comprobar que los correos electrónicos legítimos se siguen entregando correctamente.

Nota: la asistencia técnica de HubSpot no puede ayudar con la configuración del registro DMARC. La política DMARC que configures dependerá de las necesidades de tu empresa y de tu proveedor de DNS. Debes consultar a tu administrador de TI o a quien gestione su configuración de DNS para que te ayude a configurar DMARC. También puedes consultar servicios externos de consultoría o elaboración de informes de DMARC para obtener ayuda adicional.