Qué es DMARC. Calidad de entrega del correo.

De todas las tecnologías que usamos diariamente para comunicarnos, el correo electrónico es sin duda la que mas embestidas ha sufrido para ser sustituida, afortunadamente se resiste. Personalmente creo que es insustituible por la mensajería instantánea u otras formas de comunicación síncronas, al menos en entornos corporativos, y lo que hay que mejorar es el (ab)uso que se hace, educar a los usuarios y mejorar la usabilidad, cosa que -por cierto- Google hace muy bien.

Otro de los dramas del correo electrónico es el poco valor que le damos, normalmente por desconocimiento de la complejidad técnica que existe para prestar un servicio que lamentablemente se comercializa a precio de saldo sino gratis.

Un poco de historia.

Según la Wikipedia el email como sistema de comunicación a través de Internet, tal como lo conocemos actualmente, data de 1993. Aunque si nos remontamos a sistemas legacy como AUTODIN los orígenes de este tipo de comunicación, en redes privadas, se remonta a 1962; entre ambas fechas han convivido diferentes revisiones y protocolos hasta que a mediados de los 80 el correo se convirtió en una tecnología clave en las Redes Locales (LAN).

A nivel personal el correo se consolidó en dos fases claramente diferenciadas. En una primera fase fueron los proveedores de conectividad los que trataron de seducir a los posibles Clientes lazando ofertas que, además de la propia conexión a Internet, incluía alojamiento web y buzones de correo. Fue una forma de retar a la competencia, una huida hacia adelante mediante el clásico “quien da más…”. Posteriormente, en una segunda fase, las grandes corporaciones como AOL, Yahoo, Microsoft (Hotmail), Google (Gmail) refinaron la tecnología con interfaces web (Webmail) ofreciendo el servicio gratis. Bueno, sería un debate para otro post… vamos a dejarlo ahí 😉

Desde que se popularizó el uso de Internet han surgido innumerables servicios asociados, siendo tareas habituales conectarse a Internet para navegar y ver el correo electrónico. Desde finales de los 90 han ido surgiendo nuevos servicios de comunicación intentando desplazar al correo, sin éxito.

Tecnológica a coste cero, o cerca de cero.

El correo electrónico encierra una complejidad técnica impensable a los ojos del usuario medio; para los Administradores de Sistemas es realmente un servicio complejo en su gestión, cualquiera que haya intentado instalar un Servidor de Correo sabe de qué estamos hablando. Para nosotros es un mal necesario, una tecnología con la que tenemos que convivir, tenemos que dar soporte a coste cero -o casi cero- con un impacto de costes realmente elevado.

La percepción de servicio low-cost viene condicionada por los numerosos servicios gratuitos que existen, pero nada más lejos… aún siendo gratuito por detrás hay grandes infraestructuras tecnológicas que generan un impacto económico que sólo es rentable buscando ingresos indirectos como publicidad, extracción de datos de usuario (data mining), etc…

Si no queremos utilizar servicios gratuitos, sin publicidad y permisividad para rastrear el contenido de nuestros mensajes, valorando sobretodo la privacidad de nuestros datos, sin duda, debemos seleccionar un proveedor que nos garantice la privacidad, requisito que a nivel Empresarial debiera ser un mínimo exigible. Además de la mala imagen que proyectamos con un buzón del tipo minegocio@hotmail.com

Cifras que asustan. El Spam.

El correo basura, spam o correo no solicitado son términos que hacen referencia a los mensajes de correo enviado de manera indiscriminada a destinatarios que no lo han solicitado. El spam suele utilizarse generalmente para publicidad masiva, se pretende llamar la atención de un porcentaje mínimo de usuarios desde una base de receptores muy generalizada, no es un correo personalizado, ni de calidad, ni dirigido a un público objetivo.

Este tipo de comunicación suele tener un coste bajo para los spammers, en ocasiones utilizando capacidad de computo de servidores y ordenadores previamente hackeados, con lo que el coste de entrada de dicha publicidad indiscriminada, comparado con otros medios genuinos, es ínfimo.

En cuanto a cifras, es difícil de medir, pero se estima que 3/4 partes de todo el tráfico de correo electrónico a nivel mundial corresponde a correo spam o no solicitado.

Correo electrónico vs. Correo masivo.

Hay un tipo de Spam que lo genera el propio usuario de un dominio, consciente o inconscientemente, enviando lo que se conoce como bulk email (correo masivo) desde un cliente de correo (Outlook, Thunderbird, Mac Mail,…) sin ningún tipo de autorización. Es decir, tengo un listado de 200 cuentas y me apetece que conozcan los servicios de mi nuevo proyecto/empresa: ¡Error!. Esto también es considerado correo no solicitado. Además un buzón de correo (inbox) técnicamente no está preparado para el envío masivo, lo veremos más adelante, actualmente no se permite el envío masivo entre proveedores de Internet si no se cumplen RFC 7489, “Domain-based Message Authentication, Reporting, and Conformance (DMARC)”.

Cuestión de ética y cumplimiento de la LOPD.

Además de que técnicamente se está poniendo freno a este tipo de prácticas abusivas, entramos en el terreno de lo legal; el derecho a la protección de datos personales es un derecho fundamental de todas las personas que se traduce en la potestad de control sobre el uso que se hace de sus datos personales. Este control permite evitar que, a través del tratamiento de nuestros datos, se pueda llegar a disponer de información sobre nosotros que afecte a nuestra intimidad y demás derechos fundamentales y libertades públicas.

Pero ante todo el sentido común, o principios éticos. El tener un correo electrónico de una persona no implica que esa persona deba recibir prospección comercial, sólo es legitimo si dicha persona ha mostrado interés por ese tipo de comunicación, es decir, se ha suscrito voluntariamente a nuestra lista de mailing. Además se le proporcionan mecanismos para modificar o cancelar dicha suscripción.

Personalmente cuando recibo una comunicación comercial que no me permite ejercer mi derecho de cancelación, pienso en los valores éticos de la empresa remitente, que perfil de gente dirige dicha empresa, y me provoca un rechazo hacia el producto o la marca; todo lo contrario de lo que supongo que pretenden.

Toque de atención a los desarrolladores.

Otro de los problemas habituales que propicia la generación de correo no deseado son las aplicaciones que mandan correo, se conocen como triggers o mensajes transaccionales, es decir, mensajes que genera la propia aplicación como resultado de un evento. Ejemplo: me registro en un sitio web y recibo un correo automático, cambio la password y recibo otro mensaje, hago una compra y recibo otro… el problema no radica en el número de mensajes, sino en cómo se mandan.

Utilizar una función del lenguaje de programación, por ejemplo, phpmail() que a su vez llama al servicio de correo local (Sendmail o Posfix) del propio host/servidor, que por lo general son servicios no correctamente configurados para enviar correo al exterior, sino para correo interno de Unix/Linux, producen un mensaje de baja calidad en las cabeceras del correo que en un porcentaje muy alto va a ser considerado como SPAM por el MTA (servidor de correo) receptor.

En su lugar lo correcto es que cada aplicación web utilice un conector de SMTP externo para enviar esos correos desde un buzón (inbox) existente y correctamente configurado, y lo de correctamente se define en el RFC7489.

Calidad de entrega del correo. DMARC.

Los mismos proveedores que popularizaron el correo personal (Hotmail, Yahoo, Gmail, AOL…) se dieron cuenta que la inmensa mayoría de entregas a sus grandes plataformas eran de correo de baja calidad, generando costes de infraestructura y gestión realmente elevados. El balance es pésimo, son cuentas gratuitas que generan costes internos elevados. De modo que desde hace aproximadamente dos años vienen aplicando las especificaciones definidas en DMARC.

DMARC “Domain-based Message Authentication, Reporting & Conformance”, son unas especificaciones técnicas creadas por un grupo de organizaciones para intentar minimizar el abuso de correo no deseados. DMARC estandariza cómo los receptores de correo electrónico ejecutan autenticación de correo electrónico utilizando los mecanismos SPF y DKIM conocidos.

No es un post técnico ni voy a entrar al detalle de como se configura adecuadamente estos mecanismos, lo importante en este punto es saber que no tenerlos correctamente configurados ocasiona que nuestros mensajes sean susceptibles a ser marcados como spam.

¿Por qué no llega mi correo? Listas de DNSBL (BlackLists).

Nuestro correo puede no llegar a su destinatario por muchos motivos, como hemos visto puede que no esté bien configurado nuestro dominio para generar correctamente las cabeceras de acuerdo a lo que se especifica en DMARC. Si esto sucede nuestros mensajes puede que llegue a un servidor de una empresa pequeña pero no llegue a grandes plataformas como GMail, Google Apps (ahora Google for Work), Yahoo… se produce el clásico error: el correo ha llegado a algunos destinatarios y a otros no. Un usuario sin conocimientos técnicos suele interpretar el problema como ajeno, puesto que a algunos destinatarios si les llegan los mensajes. De nuevo ¡error!, te llega a proveedores que son más permisivos únicamente.

Además otro motivo puede ser porque la IP del servidor esté quemada, o dicho de otro modo, otros usuarios del mismo servidor han hecho un uso abusivo de envío de correos o bien el servidor ha sido hackeado y la IP pública marcada en listas negras DNSBL. Este problema es difícil de detectar si lo que tenemos es contratado un hosting compartido o trabajamos con proveedores low-cost que no dejan las IPs quemadas en cuarentena hasta que esté limpia la reputación.

Nuestra visión. Email Perimetral.

En NESSYS IT hemos intentado darle una vuelta de tuerca a este problema, con la experiencia acumulada hemos buscado una fórmula para garantizar la calidad de entrega del correo. Obviamente nos es imposible auditar el código de todo el software alojado en nuestra infraestructura de modo que lo que hacemos es filtrar el correo por medio de un relay o servicio de email perimetral.

El Email Perimetral es un cluster de servidores que se encarga de la limpieza y filtrado del correo antes de ser enviado al exterior de nuestro Data Center. De modo que todos los mensajes que no son correctamente formateados de acuerdo a DMARC o son detectados como spam por el servicio de MailScanner se quedan en cuarentena y no se envían, el remitente recibe un mensaje de error.

Esta tecnología evita el envío de mensajes no genuinos, ayuda a mejorar la calidad de la entrega y garantiza la reputación de las IPs públicas de nuestros servidores y los dominios de nuestros Clientes.

¿Te va mal el correo electrónico? ¿tienes problemas en la entrega? Cuéntanos tu experiencia….


Originally published at www.nessys.es.

Show your support

Clapping shows how much you appreciated NESSYS IT’s story.