Guía Red Sift de configuración de protocolos de correo electrónico
Aprende sobre DANE y DNSSEC
¿Qué es DANE?
La Autenticación basada en DNS de Entidades Nombradas, o DANE, es una forma de asociar un certificado a un nombre de dominio sin tener que depender de terceros externos. DANE proporciona un canal seguro entre el emisor y el receptor, asegurando que el remitente se comunique con el destinatario correcto mientras previene que ataques MITM intercepten o alteren el correo electrónico en tránsito.
Publicado bajo la RFC 7671, introduce un nuevo estándar de Internet para establecer comunicaciones TLS (Transport Layer Security) entre un cliente y un servidor, sin depender de Autoridades Certificadoras (CA) de confianza.
El modelo tradicional de TLS basado en CA permite que cualquier CA emita un certificado para cualquier dominio. DANE hace las cosas de forma diferente; se basa en la infraestructura de DNSSEC (Domain Name System Security Extensions) para vincular un nombre de dominio a un certificado.
¿Por qué se desarrolló DANE?
Hay dos razones principales:
1) Uso indebido de las CA de terceros confiables
Los atacantes a veces pueden hacerse pasar con éxito por una persona o servicio y obtener un certificado fraudulento. Aunque este certificado es válido y emitido por un tercero de confianza, no está destinado a la persona correcta.
2) Eliminar la posibilidad de ataques MITM (Man-In-The-Middle)
MITM ocurre cuando un atacante intercepta la conversación entre un cliente y un servidor, insertándose en medio para engañar a ambas partes haciéndoles creer que se están comunicando entre sí. Esto puede llevar a una degradación de la sesión TLS o envenenamiento de caché.
¿Puede DANE ser utilizado por cualquier aplicación?
Siempre que la aplicación utilice TLS para conectarse a servicios identificados por nombres de dominio, DANE es universal. Es compatible hacia atrás, por lo que si un servidor de correo no soporta DANE, el cliente puede recurrir a STARTTLS o incluso texto plano. Se desarrolló para ser implementado de forma gradual mientras es interoperable con la infraestructura de correo electrónico existente. A medida que DANE se adopte más, fomentará el uso de DNSSEC y viceversa.
¿Qué se necesita para implementar DANE?
- Un resolvedor consciente de la seguridad que pueda consultar y validar registros DNSSEC y TLSA
- Zonas y conjuntos de registros (RRsets) firmados por DNSSEC
¿Cómo logra DANE lo anterior?
DANE hace uso del protocolo DNSSEC ya existente para garantizar que los datos recibidos sean auténticos y no hayan sido manipulados. DANE también introduce un nuevo tipo de registro DNS llamado TLSA, el cual indica al cliente que un servidor soporta TLS.
Se debe configurar un registro TLSA para cada aplicación que utilice TLS. Cada una de estas aplicaciones funcionará en diferentes puertos y, basándose en el número de puerto, puede existir un registro TLSA.
¿MTA-STS y DANE sirven al mismo propósito? ¿Qué protocolo debo implementar?
La recomendación es implementar tanto MTA-STS como DANE. DANE es un requisito para muchos gobiernos, por lo que las entidades públicas en la UE suelen estar obligadas a implementarlo.
DANE y MTA-STS ayudan solo si el remitente lo soporta; sin embargo, muchos remitentes solo soportan uno u otro, así que implementar ambos mejora la seguridad general. En 2026, las organizaciones suelen implementar primero MTA-STS por su mayor compatibilidad y después añaden DANE para mayor seguridad donde sea requerido.
¿Qué es DNSSEC?
Por defecto, DNS no es seguro. Cuando un resolvedor recursivo realiza una consulta, acepta cualquier respuesta sin verificar su autenticidad. Los resolvedores recursivos también almacenan respuestas en caché para acelerar el proceso. Si un atacante consigue inyectar datos DNS falsos en la caché de un resolvedor, todas las consultas a ese resolvedor devolverán la respuesta falsa hasta que la caché expire. Esto se llama envenenamiento de caché DNS.
Para el correo electrónico, el riesgo es directo. Cuando tu servidor de correo busca el registro MX de un dominio de destino, confía en la respuesta que recibe. Si ese registro MX ha sido manipulado y apunta a un servidor controlado por un atacante, tus correos electrónicos acabarán en manos equivocadas. El remitente no tiene forma de saberlo.
DNSSEC (Domain Name System Security Extensions) soluciona esto añadiendo firmas criptográficas a los datos DNS. Los propietarios de las zonas firman sus registros con una clave privada y publican la clave pública correspondiente en DNS. Cuando un resolvedor recibe una respuesta firmada con DNSSEC, valida la firma con la clave pública. Si los datos se han modificado en tránsito, la firma no coincidirá y el resolvedor descarta la respuesta.
El sistema funciona a través de una cadena de confianza. La clave pública de cada zona es firmada por la clave privada de su zona superior. Por ejemplo, la clave pública de la zona redsift.io es firmada por la zona .io, que a su vez es firmada por la zona raíz. Los resolvedores mantienen un ancla de confianza en la zona raíz y pueden validar cualquier zona firmada siguiendo la cadena desde la raíz hacia abajo. Siempre que cada zona en el camino esté firmada, se establece la confianza.
DNSSEC autentica los datos del DNS usando firmas digitales. No cifra las consultas ni las respuestas. Confirma que los datos que recibiste son exactamente los que el propietario de la zona publicó y que no han sido alterados.
DNSSEC es un requisito previo para DANE (descrito arriba), que utiliza la infraestructura DNSSEC para vincular certificados a nombres de dominio. Sin DNSSEC, los registros TLSA de DANE no pueden ser confiables, pues un atacante podría falsificarlos.
Para más detalles sobre la especificación, consulta RFC 4033, RFC 4034 y RFC 4035. La especificación inicial de DNSSEC (RFC 2535) quedó obsoleta por motivos de escalabilidad, y puedes leer más sobre la actualización DNS de NIST en nuestro blog.
Preguntas frecuentes: Guía de configuración de protocolos de correo electrónico
Antes de DMARC, en los registros SPF se utilizaba a menudo el mecanismo “-all” para imponer políticas estrictas a los remitentes. Sin embargo, las recomendaciones actuales del sector para 2026 favorecen “~all” para equilibrar la seguridad con la entregabilidad y evitar el rechazo innecesario de correos legítimos que fallen SPF pero pasen DKIM y DMARC.
La razón es que “~all”, combinado con DMARC (en p=reject), permite igualmente que los emails no autenticados no se entreguen cuando SPF y DKIM fallan, sin bloquear correos legítimos, mejorando así la entregabilidad global.
Las especificaciones DMARC (RFC 7489) indican que un prefijo “-” en el mecanismo SPF del remitente –como “-all”– puede implicar el rechazo de un email ya en la fase inicial, es decir, antes de que se aplique DMARC. Utiliza “-all” solo en dominios inactivos que nunca envían correo. DMARC no distingue entre Soft Fail y Hard Fail en SPF: considera ambos simplemente como un fallo de SPF.
DMARC requiere no solo que SPF o DKIM resulten positivos, sino también que al menos uno de los dominios utilizados con SPF o DKIM coincida con el dominio presente en la cabecera From. Un correcto alineamiento es fundamental en 2026 para la entrega de los correos, ya que los principales proveedores ahora exigen esta comprobación.
Para SPF, el alineamiento significa que la verificación de MAIL FROM/Return-PATH ha sido exitosa y la parte de dominio de MAIL FROM/Return-PATH coincide con el dominio de la dirección From. En modo Strict ambos deben ser idénticos; en modo Relaxed se aceptan también los subdominios si pertenecen al mismo organizational domain.
Ejemplo: si MAIL-FROM/RETURN-PATH es @ondmarc.com y el From-header es @knowledge.ondmarc.com, no están alineados en modo Strict, pero DMARC los consideraría válidos en modo Relaxed.
Un informe agregado DMARC recoge información sobre el estado de autenticación de los mensajes enviados en nombre de un dominio. Se trata de un informe bounce en XML que resume qué correos han pasado o fallado SPF y DKIM. Permite a los propietarios del dominio tener una visión precisa de las fuentes que envían correos en su nombre y el resultado (política del destinatario).
Los destinatarios utilizan la etiqueta 'rua' del registro DMARC para enviar estos reportes. Puedes definir la frecuencia usando la etiqueta ri en el registro DMARC (valor predeterminado: 86400 segundos, es decir, 24h). Los reportes forenses aportan mucho más detalle sobre cada fallo de autenticación. Los datos personales se eliminan, pero toda la información útil para resolver incidencias, como cabeceras SPF/DKIM, dirección completa del remitente y asunto, se transmite.
La dirección para recibir los informes forenses DMARC se indica mediante la etiqueta 'ruf'. No todos los sistemas soportan este tipo de reportes. Red Sift OnDMARC es una de las pocas soluciones que puede recibir reportes forenses, gracias a su colaboración con Yahoo.
Una macro SPF es un mecanismo en los registros SPF que permite definir conjuntos reutilizables de direcciones IP. Las macros SPF aportan mayor flexibilidad y facilidad de mantenimiento: puedes definir conjuntos complejos de IP en un único mecanismo y referenciarlos en varios registros. Por ejemplo, en lugar de enumerar cada IP autorizada, puedes usar una macro como “%{i}”, que recoge la IP saliente del correo. De este modo puedes gestionar fácilmente grandes listas de IP sin sobrepasar el límite de consultas SPF y hacer menos visibles las autorizaciones IP durante las consultas DNS.
Dependiendo de la estructura de la macro en el registro SPF, una macro que no se expande puede provocar errores SPF o un resultado neutral (?all). Si el envío de correos legítimos depende de las macros SPF, estas pueden causar más fallos o etiquetar como sospechoso el tráfico hacia sistemas que dependen de SPF.
Mail Transfer Agent Strict Transport Security (MTA-STS) es un estándar para el cifrado de los mensajes entre dos servidores de correo. Indica a los servidores remitentes que los emails deben entregarse solo a través de una conexión segura mediante Transport Layer Security (TLS), protegiendo así contra intentos de interceptación por parte de ciberdelincuentes.
La adopción de MTA-STS ha crecido rápidamente y en 2026 la seguridad del transporte será considerada esencial para la protección del correo en tránsito. Para activar MTA-STS en un dominio receptor, es necesario declarar el soporte mediante DNS y hacer disponible un archivo de políticas en el propio sitio web.
MTA-STS debe activarse con cautela para no provocar bloqueos accidentales. Se recomienda empezar por el modo Test: así, gracias a los reportes TLS, puedes identificar y solucionar errores antes de pasar al modo strict. Este enfoque gradual probablemente será el estándar para la protección del email en tránsito en 2026.
SMTP TLS Reporting (TLS-RPT), según RFC8460, sirve para reportar problemas de conectividad TLS desde los servidores MTA remitentes. Al igual que con DMARC, aquí también se reciben reportes por correo cuando los problemas TLS afectan la entrega. Los informes incluyen las políticas MTA-STS detectadas, estadísticas de tráfico, conexiones fallidas y motivos de error.
Con la función MTA-STS en Red Sift OnDMARC no tendrás que preocuparte por implementaciones complejas. Basta con añadir los Smart Record MTA-STS proporcionados por OnDMARC a tu DNS y Red Sift se encarga del hosting del archivo de política, gestión del certificado SSL y el envío automático de reportes TLS de incumplimiento. En 2026, el MTA-STS alojado es cada vez más un estándar previsto en plataformas modernas de DMARC, facilitando así la integración del cifrado en el transporte.
Según RFC 7671, DANE (DNS-based Authentication of Named Entities) es un nuevo estándar de Internet para establecer comunicaciones TLS entre cliente y servidor sin depender de las autoridades de certificación (CA) tradicionales.
En el modelo actual, cualquier CA puede emitir un certificado para cualquier dominio. DANE adopta otro enfoque, aprovechando la infraestructura DNSSEC (Domain Name System Security Extensions) para asociar criptográficamente un nombre de dominio a un certificado. DANE se basa en el protocolo DNSSEC existente para garantizar la autenticidad e integridad de la recepción.
DANE además introduce un nuevo tipo de registro DNS, TLSA, que señala al cliente el soporte de TLS por parte del servidor. Se recomienda implementar tanto MTA-STS como DANE. DANE es obligatorio para muchas entidades públicas, en particular en la UE.
MTA-STS y DANE sólo son eficaces si también el servidor remitente los soporta; muchos implementan sólo uno de los dos. Activar ambos aumenta la seguridad general. En 2026, las organizaciones suelen adoptar primero MTA-STS para máxima compatibilidad y después implementan DANE para un nivel de seguridad superior cuando resulta necesario.
La política para subdominios permite a los administradores proteger de forma diferenciada distintos dominios y subdominios, dependiendo del estado de implementación de DMARC. Por ejemplo, si todos los servicios de envío asociados al dominio principal ya están protegidos con SPF y DKIM, puedes establecer una política DMARC p=reject en el dominio principal y p=none en los subdominios, o viceversa.
Si un servicio de envío no soporta DMARC (es decir, no implementa SPF o DKIM), puedes asignarle un subdominio separado con su propia política DMARC, sin comprometer la protección de los demás dominios. Esto permite distribuir el tráfico entre distintos subdominios y protegerlos por separado según las necesidades.