ARTÍCULO DEL BLOG
- 8 minutos de lectura
Google y Yahoo suman más medidas antispam para bandejas de correo electrónico más limpias y seguras
Como gigantes mundiales del correo electrónico, Google y Yahoo han dado a conocer nuevos requisitos para los remitentes masivos con el fin de impedir que el spam y los correos maliciosos lleguen a las bandejas de entrada de los usuarios.
Nota: ¿No eres remitente de correo masivo? Consulta las normas para todos los remitentes en nuestra página de preguntas frecuentes.
La publicación de estos requisitos -que los remitentes de correo masivo deberán cumplir antes de febrero de 2024- es una fantástica noticia para la seguridad del correo electrónico. El correo electrónico es uno de los principales canales de comunicación digital del mundo, tanto para uso profesional como personal. Estas medidas de los proveedores de correo electrónico para proteger aún más a los usuarios contra los ciberdelincuentes significan que pueden esperar mucho menos spam y correos electrónicos ilegítimos.
En el panorama digital actual, el phishing de correo electrónico es el tipo más común de ciberdelincuencia que los actores maliciosos utilizan para hacerse con valiosos datos de los usuarios, ya que los correos electrónicos de phishing representan el 91 % de los ciberataques.
De los más de 347.000 millones de correos electrónicos que se envían cada día en el mundo, entre el 45 % y el 50 % son spam, y cerca de 3.400 millones son phishing.
En su anuncio de octubre de 2023, Google afirmó que las ciberamenazas actuales son "más complejas y acuciantes que nunca", lo que ha llevado a la publicación de estos nuevos requisitos para los remitentes masivos (aquellos que envían más de 5.000 correos electrónicos a direcciones de Gmail al día). Google también señaló que no es el único proveedor de correo electrónico que está impulsando estos cambios y Yahoo le siguió de cerca con sus propios requisitos actualizados para remitentes masivos.
"Independientemente de cuál sea su proveedor de correo electrónico, todos los usuarios merecen la experiencia más segura posible. En el mundo interconectado del correo electrónico, eso requiere que todos trabajemos juntos. Yahoo está deseando trabajar con Google y el resto de la comunidad del correo electrónico para que estos cambios de sentido común y gran impacto se conviertan en la nueva norma del sector", declaró Marcel Becker, Director de Producto de Yahoo. Director de Producto de Yahoo.
Ambas organizaciones señalaron que muchos remitentes de correo masivo no configuran correctamente sus ecosistemas de correo electrónico, lo que permite a los ciberdelincuentes colarse por sus defensas sin ser detectados.
Para solucionar este problema, los nuevos requisitos para los remitentes de correo masivo se centran en un aspecto vital de la seguridad del correo electrónico: la validación de que un remitente es quien dice ser mediante una autenticación sólida del correo electrónico. Además, estos requisitos facilitarán a los usuarios darse de baja de los correos electrónicos y mantendrán las bandejas de entrada libres de mensajes no deseados.
Nuevos requisitos para los remitentes masivos en Google y Yahoo
1. Asegúrate de que los correos electrónicos pasan las comprobaciones de los protocolos SPF y DKIM.
La configuración del correo electrónico saliente debe actualizarse para garantizar que los correos electrónicos pasen tanto las comprobaciones del Marco de Directivas del Remitente (SPF, por sus siglas en inglés) como las del Correo Identificado por Claves de Dominio (DKIM, por su siglas en inglés), en lugar de pasar por una de las dos que habría bastado anteriormente.
Esto significa que los remitentes masivos deben actualizar sus DNS para demostrar que son quienes dicen ser y que utilizan la infraestructura correcta para enviar correo electrónico. Las políticas SPF y DKIM garantizan que solo los remitentes autorizados pueden enviar correo electrónico desde un dominio (SPF) y verifican que el correo electrónico es auténtico y no ha sido manipulado durante el tránsito (DKIM).
2. Configura un registro DMARC
El dominio desde el que se envían los correos electrónicos masivos debe tener un registro DMARC ( Domain-based Message Authentication, Reporting, and Conformance ) presente y aprobado.
En pocas palabras, DMARC es un estándar global de autenticación de correo electrónico que proporciona análisis de datos y aplicación de SPF y DKIM. Garantiza que solo el correo electrónico legítimo, procedente del remitente real, llegue a la bandeja de entrada del destinatario, protegiéndolo frente a ataques de suplantación de identidad y phishing.
DMARC añade una capa adicional de seguridad a SPF y DKIM para proteger eficazmente a los remitentes contra la suplantación de identidad y los daños relacionados con ella, como daños a la reputación, merma de la confianza de los destinatarios y pérdidas económicas. El cumplimiento de DMARC garantiza la máxima seguridad y entregabilidad de los mensajes de correo electrónico.
Google y Yahoo aún no exigen una política DMARC estricta y los remitentes pueden empezar con una política p=none para empezar a controlar quién envía correos electrónicos utilizando sus dominios. Sin embargo, la política DMARC recomendada por el sector de la ciberseguridad sigue siendo p=reject -la aplicación más estricta posible de DMARC-, que bloqueará por completo los correos electrónicos de fuentes no autorizadas.
3. Facilita la cancelación de la suscripción
Si alguna vez te has dado de baja de una cadena de correos electrónicos solo para recibir más correos del mismo remitente, este requisito te dará una inmensa alegría. Gmail y Yahoo exigirán que los remitentes de grandes volúmenes permitan a los destinatarios darse de baja de correos electrónicos no deseados con un solo clic y que estas solicitudes se procesen en un plazo de dos días.
4. Cumple el nuevo umbral de spam
Por primera vez en el sector, Google introdujo un umbral de spam inferior al 0,3 %, y Yahoo hizo lo propio. Esta medida refuerza la misión de ambos proveedores de mantener los mensajes no deseados fuera de las bandejas de entrada de los usuarios.
Este requisito beneficia tanto a los destinatarios, que podrán confiar en la autenticidad de los correos electrónicos que reciben, como a los remitentes masivos, ya que con un umbral de spam muy inferior a éste, la reputación, la capacidad de entrega y el rendimiento del correo electrónico de un remitente masivo se verán afectados negativamente.
Si los remitentes no cumplen estos requisitos, Google afirma que los mensajes podrían ser rechazados o enviados a las carpetas de spam de los destinatarios.
Conoce más información sobre los requisitos en Preguntas frecuentes sobre las directrices para remitentes de correo electrónico de Google y detalles sobre los plazos de cumplimiento en el esquema a continuación.
¿Cómo afectarán las nuevas normas de Google y Yahoo a los correos electrónicos de mi empresa?
Una de las preocupaciones de las empresas en este momento es que sus correos electrónicos sean rechazados si no cumplen los requisitos actualizados antes del 1 de febrero de 2024. No es el caso, ya que estas normas se introducirán gradualmente. He aquí una lista de las etapas para el cumplimiento que su empresa debe tener en cuenta:
- Febrero de 2024: Comenzó la supervisión activa de los remitentes, y algunos correos electrónicos pueden verse afectados. Los remitentes de gran volumen que no cumplan los requisitos empezarán a ver errores en un pequeño porcentaje de correos electrónicos no conformes. El objetivo de esta fase es ayudar a los remitentes a identificar el tráfico que no cumple los requisitos y aplicar medidas para solucionarlo antes de que las normas sean obligatorias.
- Abril de 2024: Los proveedores de correo electrónico empezaron a rechazar una parte de los mensajes que no cumplan las normas. Este porcentaje aumentará con el tiempo.
- Junio de 2024: Todos los nuevos requisitos pasaron a ser obligatorios. Esto incluye la cancelación de la suscripción con un solo click para correos electrónicos comerciales.
¿Por qué son importantes los cambios en Google y Yahoo?
"Estas prácticas deben considerarse higiene básica del correo electrónico", afirma Google, "y muchos remitentes ya cumplen la mayoría de estos requisitos". Para los remitentes que no lo hacen, tanto Google como Yahoo han publicado orientaciones para facilitar el cumplimiento.
La atención de Google a la autenticación del correo electrónico es especialmente relevante si se tiene en cuenta el frecuente uso de esta herramienta de comunicación en ataques de suplantación de identidad a través de correos electrónicos falsos. La empresa afirma: "Por básico que parezca, a veces sigue siendo imposible verificar de quién procede un correo electrónico, dada la red de sistemas anticuados e incoherentes que hay en internet".
Aunque el requisito de Google de 2022 de que los correos electrónicos enviados a direcciones de Gmail deben tener alguna forma de autenticación provocó un descenso del 75% de los mensajes no autenticados, la organización afirma que aún le queda mucho por hacer, empezando por nuevos requisitos para los remitentes masivos. Así que¿Cómo puedes asegurar el cumplimiento de los correos electrónicos de tu organización? Lee para averiguarlo.
La importancia de la autenticación del correo electrónico
La autenticación del correo electrónico ya no es una opción si las empresas quieren protegerse a sí mismas y a sus interlocutores de los ciberdelincuentes, así como garantizar que el correo electrónico se entrega al destinatario previsto.
Este defecto de diseño del correo electrónico plantea cuatro problemas principales a las organizaciones:
1. Suplantación de identidad
Los ciberdelincuentes pueden enviar correos electrónicos desde tu dominio estafando a personal, clientes y proveedores.
2. Interceptación
Un correo electrónico puede ser interceptado y modificado sin conocimiento del remitente ni del destinatario.
3. 3. Problemas de entrega
El correo electrónico legítimo suele acabar en Spam y los falsos positivos causan trastornos a la empresa.
4. Visibilidad y auditoría inadecuadas
Las organizaciones no tienen visibilidad activa de quién envía correos electrónicos desde sus dominios.
Sin protocolos eficaces de autenticación del correo electrónico, tu empresa corre el riesgo de sufrir suplantación de identidad, lo que podría ocasionar daños financieros y de reputación.
Si bien la protección perimetral y antispam existentes pueden proteger a tus grupos de interés, no protegen a tus clientes, proveedores y al resto del mundo de los correos electrónicos fraudulentos enviados utilizando tu dominio.
Esto hace que los nuevos requisitos de Google y Yahoo sean beneficiosos tanto para los remitentes masivos como para los usuarios, ya que ambos estarán mucho más protegidos contra los daños de los correos electrónicos maliciosos a partir de febrero de 2024.
Asesórate con un experto en DMARC para cumplir la normativa sin problemas
DMARC es el mejor estándar tecnológico para proteger tu empresa contra el correo electrónico fraudulento. Evalúa minuciosamente la fuente de un correo electrónico para garantizar que solo los correos electrónicos legítimos lleguen a la bandeja de entrada.
Los detalles de la implementación de los nuevos requisitos de remitente masivo de Google y Yahoo para la autenticación de correo electrónico pueden parecer abrumadores, pero no es necesario que te embarques solo en su viaje hacia el cumplimiento.
Sendmarc es un líder en seguridad de correo electrónico en el que tu empresa puede confiar para una implementación de DMARC rápida, sin problemas y escalable para organizaciones de cualquier tamaño.
Si quieres ver si tu dominio es vulnerable a la suplantación de identidad, puedes comprobar tu puntuación aquí. O ponte en contacto con nosotros hoy mismo para ver cómo podemos ayudarle a cumplir los nuevos requisitos de autenticación de correo electrónico de la forma más sencilla posible.
Compartir
ÚLTIMOS ARTÍCULOS
- 12 minutos de lectura
Por qué el SSO es esencial para las empresas modernas
- 16 minutos de lectura
Cómo funcionan las políticas DMARC - p=none, p=quarantine, p=reject
- 12 minutos de lectura
Protégete contra las amenazas de ciberseguridad navideñas
