El Domain Name System (DNS) dirige a los usuarios desde una dirección de dominio hacia la IP de los servidores que usa el dominio. Conoce más sobre el DNS y los tipos de registros que contiene, como MX, SPF, DKIM, DMARC y NS.
Lo que debes saber sobre el Domain Name System y los tipos de registros que contiene
Internet usa el DNS (Domain Name System) para dirigir a los usuarios desde una dirección de dominio hacia la IP de los servidores que utiliza el dominio. Suele compararse al DNS con una especie de directorio telefónico de internet: cuando un dominio cambia de servicios, el directorio se actualiza. El DNS contiene varios tipos de registros relacionados con los servicios en uso, entre ellos la entrega de correo (MX), los proveedores autorizados para enviar correo desde un dominio (SPF) y las firmas digitales que comprueban que un mensaje no fue alterado durante la entrega (DKIM). Además, los registros de nameserver (NS) corresponden al servidor o servicio que aloja todos los registros DNS de un dominio. Estos registros DNS son públicos por diseño y, con frecuencia, pueden generar problemas en la entrega de correo.
Registros MX
Los registros MX, o Mail Exchange, indican a los remitentes de correo a dónde deben entregarse los mensajes. Lo recomendable es publicar un solo servicio MX en el DNS. Publicar varios proveedores de servicio MX que compitan entre sí para un mismo dominio puede ocasionar problemas. Por ejemplo, si un servidor de intercambio de correo está ocupado procesando mensajes, estos pueden redirigirse a otro registro de intercambio, que incluso podría pertenecer a un proveedor de correo totalmente distinto. Esto también puede generar reglas y flujos de correo contradictorios o en conflicto, que llevan el mensaje por distintos caminos hasta que llega a la bandeja de entrada del destinatario.
Un ejemplo de registros MX para Google correctamente configurados:
Registros SPF
Los registros SPF (Sender-Policy Framework) definen qué proveedores de servicio de correo están autorizados a enviar mensajes usando la dirección de un dominio. Este tipo de registro TXT es una medida de seguridad básica para prevenir el spoofing, es decir, cuando un actor malicioso envía mensajes que aparentan provenir de un contacto o dominio conocido. Cuando se recibe un mensaje, el proveedor de correo revisa el encabezado para confirmar que provenga de un servicio autorizado a enviar en nombre del dominio, usando el nombre de dominio como dirección "from". Lo recomendable es tener 10 o menos consultas DNS (incluidas las subconsultas) en un registro SPF. Existen técnicas para permitir que más de 10 proveedores de correo envíen en nombre de un dominio (aunque eso queda fuera del alcance de este artículo).
Un ejemplo de registros SPF para Google Workspace correctamente configurados:
Registros DKIM
Los registros DKIM, o DomainKeys Identified Mail, son un tipo de firma digital que se aplica a los encabezados del correo y permite al remitente asumir la responsabilidad sobre un mensaje de una manera que los destinatarios pueden validar. Todos los mensajes enviados desde un servicio de correo llevan adjunta la firma DKIM como prueba de que el mensaje no fue alterado durante el proceso de entrega. Los registros DKIM deben configurarse para cada servicio mencionado en el registro SPF.
Un ejemplo de registros DKIM para Google Workspace:
Registros DMARC
Un cuarto tipo de registro es DMARC, o Domain-based Message Authentication Reporting and Conformance. Este tipo de registro DNS indica a los servidores de correo receptores cómo manejar los mensajes enviados desde un dominio cuando no pasan las verificaciones de SPF o DKIM. DMARC queda fuera del alcance de este artículo, pero es importante tenerlo en cuenta al implementar buenas prácticas de seguridad en el correo.
Un ejemplo de registros DMARC para Google Workspace:
Registros NS
Los registros NS (nameserver) corresponden al servicio que aloja todos los registros DNS de un dominio. Es habitual tener varios registros NS de un proveedor publicados por redundancia. Los nameservers se modifican al mover un dominio entre proveedores de hosting de DNS, y este tipo de cambio puede tardar varias horas en completarse, ya que las modificaciones se propagan por internet. El nuevo proveedor de DNS debe configurarse con los registros mencionados anteriormente. No hacerlo puede provocar que registros DNS previamente configurados desaparezcan de las consultas DNS públicas, generando problemas en la entrega de correo.
Un ejemplo de registros DNS Nameserver:
Para más información sobre registros DNS, revisa los siguientes artículos: