La recepción de phishing, la llegada masiva de spam o los ataque al email corporativo (BEC) son algunos de los problemas con los que hemos de lidiar a diario.
Sin embargo, esto está a punto de cambiar. Al menos eso es lo que pretenden algunos de los grandes proveedores de servicios de correo electrónico, como Gmail o Yahoo!, que van a empezar a aplicar ciertos requisitos de autenticación del email.
Todos los usuarios de estos servicios se beneficiarán de ello, pero puede plantear algunos problemas para las compañías que utilizan este canal para acercarse a sus clientes a través de campañas de email marketing.
Éste es el caso, por ejemplo, de Gmail, el correo electrónico de Google. “A partir de febrero de 2024, a los remitentes que envíen 5.000 mensajes o más al día a cuentas de Gmail, Gmail les exigirá que autentiquen el correo saliente, no envíen correo no deseado o no solicitado y ofrezcan a los destinatarios la opción de darse de baja fácilmente”, especifica Google.
Además, es preciso disponer de una política DMARC ((Domain-based Message Authentication Reporting and Conformance) y sus mecanismos de autenticación asociados, como los protocolos SPF (Sender Policy Framework) y DKIM (Domain Key Identified Mail), así como facilitar a los destinatarios la baja de la suscripción con un solo clic.
Yahoo! va a aplicar requisitos similares, aunque todavía no han sido precisados, exigiendo la implementación de autenticación sólida en el correo electrónico para frenar el flujo de mensajes maliciosos y reducir la cantidad de correos electrónicos poco útiles que saturan las bandejas de entrada de los usuarios.
¿Cómo afecta a nuestro email marketing?
La empresa de ciberseguridad Proofpoint explica que “DMARC es un protocolo de validación del correo electrónico diseñado para proteger los nombres de dominio de ser usados indebidamente por ciberdelincuentes, disminuyendo el riesgo de suplantación de las marcas”.
De esta manera, se autentica la identidad del remitente antes de permitir que el mensaje llegue a su destinatario, para evitar que los ciberdelincuentes envíen un email haciéndose pasar por nuestra empresa. “La protección DMARC es como los controles de identidad (DNI o pasaporte) en el aeropuerto que deben superarse antes de pasar a la siguiente fase para evaluar la seguridad”, especifica Proofpoint.
Para cumplir esta política, las empresas que envían correos a Gmail o Yahoo! deben tener implementados métodos de autenticación SPF o DKIM. El primero es un protocolo de autenticación de email diseñado para evitar la suplantación de identidad. Permite que el servidor de correo receptor compruebe si el correo entrante procede de una dirección IP autorizada por el administrador de ese dominio.
Y DKIM es un protocolo que permite que una organización se responsabilice de la transmisión de un mensaje firmándolo, de forma que los proveedores de buzones de correo puedan verificarlo, gracias a una autenticación criptográfica.
Así pues, si nuestra empresa manda más de 5.000 correos diarios a destinatarios de Gmail, debe cumplir con el protocolo DMARC y contar con estos sistemas de autenticación, ya que aquellos mensajes que no esté verificados con estos métodos podrán ser marcados como spam o rechazados.
También hemos de tener en cuenta que nuestras comunicaciones podrían bloquearse o enviarse directamente a una carpeta de spam si los destinatarios de nuestros correos denuncian los mensajes como spam en un porcentaje que supere el 0,3 %,
Poco preparados
De acuerdo con los datos de 6Sense, Gmail es el segundo proveedor de email por cuota de mercado (36%), sólo por detrás de Microsoft Outlook (40,4%), gracias a su dominio en el entorno corporativo. Así pues, es muy probable que buena parte de tus clientes tengan una cuenta de Gmail. Por tanto, puedes tener un problema si tu empresa no cumple estos nuevos requerimientos, ya que corres el riesgo de que tus mensajes no lleguen o sean clasificados como spam.
Pese a ello, parece que las organizaciones no se están adaptando con agilidad. Según los datos de un estudio realizado por Proofpoint, a partir de un análisis DMARC de los dominios utilizados por las organizaciones de la lista ‘The Global 2000’ de Forbes, el 27% de las empresas de esta clasificación todavía no han publicado un registro DMARC, por lo que no están tomando medidas para evitar que su marca sea suplantada ante los usuarios.
En el caso de las organizaciones españolas de la lista, todavía hay un 30% de compañías que no han publicado un registro DMARC.
Además, menos de un tercio (31%) de dicha clasificación han implementado el nivel más estricto y recomendado de DMARC, mediante el cual se bloquea el email antes de ser entregado al destinatario. En el caso de las compañías españolas, el porcentaje aumenta hasta el 40%.
Asimismo, apenas el 15% del ranking global y el 3% de las organizaciones de España incluidas en la lista cuentan con un nivel intermedio de DMARC, en el que el mensaje sospechoso se envía automáticamente a una carpeta de cuarentena.
