Capítulo 13: Conociendo a detalle el servidor de correo electrónico

El servicio de correo electrónico es uno de los temas más importantes para tus clientes. Es curioso, pero cuando estás vendiendo un servicio de hosting, por lo que menos preguntan es por la calidad de tu servicio de email. Esto puede ser por desconocimiento o porque dan por hecho que funciona sin problemas; sin embargo, este es uno de los puntos más débiles de los servicios de web hosting baratos. Por eso configurar correctamente este servicio te puede poner en ventaja contra la competencia. La realidad es que muchos servidores fallan en la calidad de este servicio por diferentes razones, así que he apartado un capítulo completo para hablar de todo lo posible sobre este servicio de gran importancia.

Funciones de un servidor de correo

Un servidor de correo realiza varias tareas de manera simultánea. A continuación, revisamos algunas:

• Recibe correos electrónicos dirigidos a los usuarios y dominios que administra, verificando que el destinatario exista.
• Entrega los correos recibidos en el buzón correspondiente de cada usuario.
• Manda los correos electrónicos que los usuarios autorizados generan, buscando el servidor de destino adecuado y transmitiendo el mensaje.
• Administra una cola de correos pendientes, almacenando temporalmente los mensajes que no se pueden entregar de inmediato e intentando mandarlos nuevamente hasta que sea posible o hasta que expire el tiempo de espera.
• Filtra los mensajes para detectar y bloquear spam, virus y otros contenidos maliciosos, utilizando herramientas especializadas.
• Verifica la identidad de los usuarios que intentan mandar correos, exigiendo autenticación mediante usuario y contraseña para evitar usos no autorizados.
• Mantiene la configuración segura, exigiendo autenticación y cifrado en las conexiones para proteger la información y evitar configuraciones inseguras.
• Realiza tareas de mantenimiento y actualización del software para corregir vulnerabilidades y mejorar el rendimiento.
• Monitorea constantemente el funcionamiento del servicio, revisando colas de correo, registros de actividad y la reputación de las direcciones IP para detectar problemas o actividades sospechosas.

Funcionamiento de un sistema de correo electrónico a nivel de servidor

Un sistema de correo electrónico en un servidor moderno está compuesto por varios programas que trabajan juntos para mandar, recibir y entregar mensajes de manera eficiente. Los dos componentes principales son el MTA y el MDA.

Mail Transfer Agent (MTA) – Exim

El MTA es el programa encargado de transferir los correos electrónicos entre servidores y de recibir mensajes mandados desde clientes de correo. Utiliza el protocolo SMTP para aceptar correos entrantes y para mandar mensajes a otros servidores. En la mayoría de los servidores con cPanel/WHM, el MTA más común es Exim, conocido por su flexibilidad y capacidad para manejar grandes volúmenes de correo. Exim recibe los mensajes, verifica el destinatario y decide si el correo debe entregarse localmente o mandarse a otro servidor.

Mail Delivery Agent (MDA) – Dovecot

El MDA es el programa responsable de entregar los correos electrónicos en los buzones de los usuarios y de permitir el acceso a esos mensajes. Dovecot es el MDA más utilizado en servidores Linux y se encarga de que los usuarios puedan consultar sus correos mediante los protocolos IMAP y POP3. Dovecot también administra la autenticación de los usuarios y la entrega final de los mensajes. Para la entrega local, Dovecot puede recibir los mensajes directamente del MTA usando el protocolo LMTP (Local Mail Transfer Protocol), que está diseñado para entregar correos de forma eficiente y segura dentro del mismo servidor.

Resumen de la interacción

Cuando un correo llega al servidor, Exim (MTA) lo recibe y, si el destinatario es local (es decir, pertenece a un usuario alojado en ese mismo servidor), lo entrega a Dovecot (MDA) usando LMTP. Dovecot almacena el mensaje en el buzón del usuario. Si el destinatario no es local, Exim reenvía el mensaje al servidor correspondiente a través de Internet.

Exim: configuración y optimización del servidor de correo

Exim es uno de los Agentes de Transferencia de Correo (MTA) más utilizados en servidores Linux, especialmente en aquellos que operan con cPanel/WHM. Es un software de código abierto, conocido por su gran flexibilidad, potencia y capacidad para administrar el servicio de entrega de correo. Su configuración puede parecer intimidante dada la gran cantidad de opciones que maneja, pero no necesitas configurar todo. Aprender un poco sobre los parámetros más importantes y básicos puede ser muy útil, incluso si no eres un administrador de sistemas experto.

¿Qué es Exim y cuál es su rol?

Exim es el software responsable de todas las tareas relacionadas con la recepción, el enrutamiento y la entrega de correos electrónicos en el servidor. Cuando mandas un email desde una cuenta de correo alojada en un servidor que usa Exim, este programa es el encargado de procesarlo, determinar su destino y mandarlo a través de internet. De manera similar, cuando recibes un email, Exim lo acepta del servidor remitente, realiza diversas verificaciones y, si el correo es para un usuario local, lo pasa a un Agente de Entrega de Correo (MDA) como Dovecot para que sea almacenado en el buzón del usuario y puedas leerlo con tu cliente de correo.

Principios de configuración general de Exim

La configuración principal de Exim reside en un archivo de texto, usualmente ubicado en /etc/exim.conf en sistemas Linux. Este archivo es extenso y detallado, y define cómo Exim debe manejar el correo. Se organiza en varias secciones principales:

• Listas de Control de Acceso (ACLs): Son conjuntos de reglas que se procesan en diferentes etapas de la conexión SMTP. Las ACLs definen quién puede usar el servidor para mandar correo (relay), qué verificaciones se realizan a los correos entrantes (verificación de remitente, consulta de RBLs, validación SPF) y cómo se administran ciertas situaciones. Son cruciales para prevenir el spam y el abuso.
• Routers: Definen cómo se enrutan los correos. Una vez que un mensaje es aceptado, los routers examinan la dirección del destinatario y deciden qué «transporte» usar para la entrega. Si es para un dominio externo, lo dirigirán a un transporte que lo mande a través de internet.
• Transports: Definen los mecanismos específicos de entrega. Un transporte local podría escribir el correo en el buzón del usuario, mientras que un transporte remoto se conectaría a otro servidor SMTP para entregarlo.
• Authenticators: Configuran los métodos con los que los usuarios se autentifican ante Exim para poder mandar correo (usualmente con SMTP AUTH).

Puntos clave de configuración y optimización

Aunque la configuración detallada de Exim es un tema avanzado, te presento algunos conceptos generales importantes para su optimización y seguridad, muchos de los cuales son administrados por cPanel:

Seguridad primero (Prevención de abuso)

• Prevenir Open Relay: Es la regla de oro. Te recomiendo asegurarte de que Exim no sea un «open relay», es decir, que solo usuarios autenticados puedan mandar correos a dominios externos. Un open relay es una invitación a los spammers.
• Requerir Autenticación SMTP (SMTP AUTH): Los usuarios deben autenticarse con usuario y contraseña válidos para poder mandar correos.
• Limitar conexiones y tasas de envío: Configurar límites en el número de conexiones y mensajes por hora es crucial para disminuir el impacto del spam desde cuentas comprometidas.
• Integración con Antispam/Antivirus: Te recomiendo asegurar que Exim esté correctamente integrado con herramientas como SpamAssassin para escanear correos en busca de amenazas.
• Uso de TLS/SSL: Configurar Exim para ofrecer y preferir conexiones cifradas (TLS/SSL), protegiendo así las credenciales y el contenido de los mensajes.

Optimización del rendimiento

• Administración de la cola de correo (Mail Queue): Es vital monitorear la cola de correos de Exim. Una cola muy grande puede indicar problemas serios: IPs en listas negras, problemas de red o un servidor comprometido mandando spam.
• Configuración de reintentos (Retry Rules): Exim tiene reglas para definir la frecuencia y duración de los reintentos para un mensaje que no pudo ser entregado al primer intento.
• Límites de recursos del servidor: Es importante asegurar que Exim no consuma excesivos recursos del servidor (CPU, memoria RAM), especialmente bajo una carga de correo elevada.

Entregabilidad (Asegurar que el correo legítimo llegue)

• Configuración de rDNS (Reverse DNS) / Registro PTR: Te recomiendo asegurarte de que la IP principal desde la que Exim manda correos tenga un registro PTR correctamente configurado. Muchos servidores receptores verifican esto; la falta de un rDNS válido puede causar rechazos. Tu proveedor de hosting o data center configura el registro PTR para la IP de tu servidor, debes solicitárselo.
• Hostname válido: El servidor debe tener un Fully Qualified Domain Name (FQDN) como hostname, y Exim debe usarlo en su saludo HELO/EHLO.
• Logging detallado: Exim puede generar logs muy detallados. Revisarlos es fundamental para diagnosticar problemas de entrega, identificar abusos o entender por qué un mensaje fue rechazado.

Editar configuraciones de EXIM en cPanel

Si utilizas un panel de control como cPanel/WHM, muchas de estas configuraciones complejas de Exim se administran a través de una interfaz gráfica amigable, lo que simplifica enormemente el proceso. WHM ofrece herramientas como:

• Exim Configuration Manager: Permite ajustar muchas opciones de Exim sin editar directamente el archivo de configuración.
• Mail Queue Manager: Una interfaz para ver la cola de correo, buscar mensajes, ver sus logs y administrarlos.
• Configuración de Smarthosts: Permite redirigir todo el correo saliente a través de un servicio especializado, útil si se tienen problemas de reputación de IP.

Nota importante sobre la modificación directa: Modificar el archivo exim.conf directamente puede tener consecuencias serias si no se sabe lo que se está haciendo. Si no eres un administrador de sistemas con experiencia, te recomiendo utilizar las herramientas de tu panel de control o consultar a un especialista.

Agente de entrega de correo (MDA): Dovecot

Mientras que los MTAs se encargan de la transferencia de correos, los Agentes de Entrega de Correo (MDA) permiten a los usuarios acceder y administrar los correos en sus buzones, usualmente a través de los protocolos IMAP y POP3.

Dovecot: Es actualmente el estándar para proporcionar servicios IMAP y POP3. Es conocido por su seguridad, rendimiento y facilidad de administración. Cuando el MTA recibe un correo local, se lo pasa al MDA para que lo coloque en el buzón del usuario y este pueda acceder a él.

Protocolos de correo electrónico: las reglas del juego para mandar y recibir

Para que los clientes y servidores de correo puedan comunicarse de forma estandarizada, utilizan protocolos de correo electrónico. Son como los idiomas y normas que permiten a diferentes sistemas «hablar» entre sí. Los tres principales que debes conocer son SMTP, POP3 e IMAP.

SMTP (Simple Mail Transfer Protocol)

Es el protocolo estándar utilizado para mandar correos electrónicos desde un cliente de correo hacia un servidor o entre servidores de correo. Para el envío desde clientes, te recomiendo utilizar el puerto 587 con STARTTLS o el puerto 465 con SSL/TLS para conexiones seguras. El puerto 25 era el tradicional para la comunicación entre servidores, aunque suele estar bloqueado para usuarios finales por motivos de seguridad, prácticamente está en desuso.

POP3 (Post Office Protocol versión 3)

Es un protocolo diseñado para recibir y descargar correos electrónicos desde el servidor al dispositivo local del usuario. Por defecto, POP3 descarga los mensajes nuevos y los elimina del servidor, lo que significa que los correos quedan almacenados únicamente en el dispositivo. Es adecuado para quienes acceden al correo desde un solo equipo y desean tener los mensajes guardados localmente. El puerto seguro recomendado para POP3 es el 995, utilizando SSL/TLS.

IMAP (Internet Message Access Protocol)

Permite acceder y administrar los correos electrónicos directamente en el servidor, manteniendo los mensajes sincronizados entre todos los dispositivos que utilice el usuario. IMAP es ideal para quienes necesitan consultar su correo desde varios dispositivos, ya que los mensajes permanecen en el servidor y cualquier cambio se refleja en todos los accesos. El puerto seguro y recomendado para IMAP es el 993, utilizando SSL/TLS.

POP3 vs. IMAP: ¿cuál te recomiendo elegir?

Para la mayoría de los usuarios recomiendo IMAP, por su facilidad de acceso. La necesidad de acceder al correo desde la computadora, el teléfono y la tablet, manteniendo todo sincronizado, hace que IMAP sea mucho más práctico y seguro. Considera POP3 solo si accedes al correo desde un único dispositivo y tienes una cuota de almacenamiento en el servidor extremadamente limitada. Con POP3, los mensajes se descargarán a tu dispositivo y se eliminarán del servidor (si lo configuras así en tu cliente de correo como Outlook), liberando el espacio en disco de tu cuenta de correo en el servidor.

Clientes de correo electrónico: tus herramientas para administrar la correspondencia

Los clientes de correo electrónico son las aplicaciones o programas que usas para leer, mandar y organizar tus correos. Hay muchísimas opciones, pero todas funcionan de manera similar: se conectan a tu servidor de correo usando los protocolos estándar (SMTP, POP3, IMAP) y te permiten administrar tu correspondencia de forma cómoda.

Clientes de correo para computadora

Son programas que instalas en tu computadora, como Outlook, Thunderbird o Apple Mail. Estos suelen ofrecer funciones avanzadas, como la administración de varias cuentas, organización en carpetas, búsqueda rápida y la posibilidad de trabajar sin conexión a internet.

Clientes móviles

Son aplicaciones para tu teléfono o tablet, como la app de Gmail, Outlook o Apple Mail en iOS. Son ideales para revisar tu correo en cualquier momento y lugar, recibir notificaciones instantáneas y mantener todo sincronizado con tus otros dispositivos.

Webmail: correo desde un navegador

Es una opción muy útil cuando necesitas acceder a tu correo desde cualquier navegador, sin instalar nada. Por ejemplo, si tu computadora falla o estás de viaje y solo tienes acceso a una computadora pública, puedes entrar a tu webmail (como Roundcube) y revisar tus mensajes de inmediato. Aunque hoy en día muchas personas prefieren las apps móviles o de escritorio, el webmail sigue siendo una herramienta práctica en situaciones de emergencia o cuando necesitas acceso rápido desde cualquier lugar.

Como proveedor de hosting, tu tarea principal es asegurarte de que tu servicio sea compatible con los protocolos estándar y que ofrezcas una opción de webmail confiable, para que tus usuarios siempre tengan una forma de acceder a su correo, sin importar el dispositivo o la situación.

Reputación de la IP del servidor: la clave para un servicio de correo electrónico eficiente

Este es uno de los temas más importantes: la reputación de la dirección IP de tu servidor. Piensa en ella como la «calificación» de tu servidor en el mundo del email. Una buena reputación asegura que tus correos lleguen a la bandeja de entrada; una mala reputación los manda directo a la carpeta de spam o causa que sean rechazados. La puntuación que los Proveedores de Servicios de correo (como Gmail, Outlook) y organizaciones antispam asignan a una dirección IP se basa en el historial y la calidad del correo que se origina desde ella. Una buena reputación toma tiempo; si configuras un servidor o VPS desde cero, probablemente necesitarás un tiempo antes de que tu IP pueda mandar correos que no sean enviados a la carpeta de SPAM.

Factores que afectan (y destruyen) la reputación de IP

La reputación de la IP desde la que mandas correos electrónicos es fundamental para asegurar que tus mensajes lleguen a la bandeja de entrada de tus destinatarios. Existen varios factores que pueden afectar negativamente esta reputación y, si no se controlan, pueden destruir la capacidad de entrega de tu correo:

• Un aumento repentino en el volumen de correos enviados, especialmente desde una IP nueva, puede levantar sospechas entre los proveedores de correo y hacer que te consideren una posible fuente de spam.
• Si los destinatarios marcan tus mensajes como spam con frecuencia, esto es una señal clara para los sistemas de filtrado de que tus correos no son deseados.
• Aparecer en listas negras (blacklists o RBLs) como Spamhaus o Barracuda indica que tu IP ha sido identificada como fuente de spam, lo que afecta gravemente la entregabilidad de tus mensajes.
• Mandar correos a trampas de spam (spam traps), que son direcciones creadas específicamente para detectar envíos no autorizados, es una señal directa de malas prácticas de administración de listas.
• El contenido de tus correos también importa: mensajes con enlaces sospechosos, información engañosa o errores de gramática pueden ser considerados peligrosos y afectar tu reputación.
• No configurar correctamente los sistemas de autenticación como SPF, DKIM y DMARC hace que tus correos parezcan menos confiables y aumenta la probabilidad de ser filtrados como spam.
• Altas tasas de rebote, especialmente los rebotes duros (hard bounces) que ocurren cuando mandas correos a direcciones inválidas, indican que no mantienes tus listas actualizadas y limpias.
• Si tu servidor o alguna cuenta de usuario es comprometida y utilizada para mandar spam, la reputación de tu IP se verá gravemente afectada.

Las consecuencias de una mala reputación de IP pueden ser muy serias: tus correos pueden terminar en la carpeta de spam, ser rechazados por completo por los servidores de destino, o incluso tu IP puede ser bloqueada temporal o permanentemente. Además, una mala reputación afecta la imagen de tu marca y puede generar desconfianza entre tus clientes y contactos. Por eso, es fundamental monitorear constantemente la reputación de tu IP, mantener buenas prácticas de envío y asegurarte de que tu servidor esté correctamente configurado y protegido.

Algunos malos hábitos de tus futuros clientes que debes vigilar

Te recomiendo vigilar de cerca ciertos hábitos de tus clientes, ya que pueden afectar la reputación y el funcionamiento del servicio de correo electrónico:

• Mandar correos a múltiples destinatarios en un solo mensaje, especialmente usando los campos “Para” o “CC”, suele activar alertas de spam y puede llevar a bloqueos. Si es necesario mandar a varios destinatarios, te recomiendo usar siempre el campo “CCO” o “BCC”.
• Mandar promociones, cadenas o mensajes comerciales a contactos que no han autorizado la recepción de publicidad es considerado spam y genera quejas. Para evitarlo, sugiérele a tu cliente utilizar plataformas de email marketing como MailChimp.
• Mandar masivamente recibos de nómina, facturas u otros documentos a usuarios externos puede saturar el servidor y aumentar el riesgo de ser marcado como spam. Para estos casos, te recomiendo usar sistemas especializados o enviarlos por lotes a lo largo de diferentes horas.
• Compartir archivos adjuntos con formatos poco comunes o muy pesados puede activar filtros de seguridad. Limita el tamaño y tipo de archivos adjuntos y, para documentos grandes, usa servicios de almacenamiento en la nube.
• No mantener actualizadas las listas de contactos provoca el envío de correos a direcciones inválidas y eleva la tasa de rebote. Es importante limpiar y actualizar regularmente las listas.
• Configurar respuestas automáticas o reenvíos masivos sin control puede generar bucles de correo y sobrecargar el sistema. Te recomiendo configurar cuidadosamente estas funciones.
• No respetar la privacidad de los destinatarios puede generar molestias y quejas. Siempre protege los datos personales y sigue las políticas de privacidad.

Cómo monitorear y mejorar (o mantener) una buena reputación de IP

• Implementa autenticación sólida (SPF, DKIM, DMARC): Esto es fundamental. Ayudan a verificar que tus correos son legítimos.
• Monitorea listas negras (RBLs) regularmente: Usa herramientas como MXToolbox para verificar si tu IP está listada.
• Utiliza las herramientas de Postmaster de los grandes ISPs: Google Postmaster Tools y Microsoft SNDS te dan información invaluable sobre cómo ven tus correos.
• Vigila tu Sender Score: Servicios como SenderScore.org te dan una puntuación de reputación; una calificación alta es crucial.
• Realiza un «calentamiento de IP» (IP Warm-up): Si tienes una IP nueva, aumenta el volumen de envío gradualmente para construir una reputación positiva.
• Ten políticas de envío estrictas: No permitas el envío de spam desde tus servidores. Educa a tus clientes y suspende a quienes abusen del servicio o plantea una solución de un servidor dedicado o vps para no afectar a los otros usuarios del servidor.
• Monitorea los logs y la cola de correo: Revisa regularmente los registros de tu servidor para detectar patrones inusuales.
• Asegura tu servidor y las cuentas de tus usuarios: Promueve el uso de contraseñas fuertes para evitar que las cuentas sean comprometidas.

Muy importante: portabilidad de la dirección IP

Cuando contratas un servidor dedicado tradicional, la dirección IP que se te asigna está vinculada directamente al hardware físico. Esto puede convertirse en un problema cuando el equipo se vuelve obsoleto o necesitas migrar, ya que normalmente no podrás conservar la misma IP. Como resultado, podrías perder la reputación que has construido con el tiempo.

Para evitar este inconveniente, te recomiendo considerar otras opciones desde el inicio:

• Si estás comenzando, un VPS (Servidor Privado Virtual) es una excelente alternativa. Te ofrece recursos dedicados en un entorno virtualizado.
• A medida que tu proyecto crece, puedes escalar a un Servidor Cloud. La ventaja de los entornos Cloud es que la infraestructura está definida por software, lo que significa que la IP no depende de un hardware específico. Así, puedes actualizar tus recursos sin perder tu IP ni la reputación asociada.
• Si ya tienes una base de clientes considerable, elegir un Cloud Dedicated Server desde el principio puede ser la mejor decisión. Te permite conservar tus direcciones IP incluso al escalar, protegiendo el valor de la reputación que has construido.

¿Qué hacer si tu IP aparece en una lista negra (RBL)? Pasos para la recuperación

Una RBL (Real-time Blackhole List) es una base de datos que identifica IPs reportadas por mandar spam. Si tu IP aparece en una RBL, es muy probable que tus correos sean bloqueados. Si te encuentras en esta situación, te recomiendo seguir estos pasos:

1. Identifica rápidamente la causa raíz: La mayoría de las RBLs indican el motivo del bloqueo. Consulta los mensajes de error y revisa los registros (logs) de tu servidor para detectar actividad inusual. Trabaja de la mano con tus clientes y pídeles que te compartan cualquier mensaje de error, ya que esto puede ayudarte a diagnosticar el problema más rápido.
2. Soluciona el problema: Una vez identificada la causa, toma medidas inmediatas: bloquea la cuenta con el problema, cambia contraseñas, elimina malware y detén cualquier envío sospechoso.
3. Solicita la eliminación (delisting): Cuando el problema esté resuelto, visita el sitio web de la RBL y sigue su proceso para solicitar la eliminación. Explica de forma honesta y profesional la causa y las acciones que tomaste.
4. Monitorea continuamente: Después de ser eliminado de la lista, sigue revisando tus IPs y los registros del servidor para asegurarte de que el problema no vuelva a ocurrir.

Recuerda: la comunicación con tus clientes es clave. Mantener buenas prácticas y monitorear tu servidor es la mejor forma de proteger la reputación de tu IP.

Cómo evitar la suplantación de identidad y mantener la reputación de la dirección IP

La reputación de tus IPs y la correcta entrega de los correos de tus clientes son fundamentales. Por eso, es muy importante implementar protocolos de autenticación de correo. Para explicarlo mejor, usaré una analogía con el servicio postal tradicional. Para que una carta llegue segura, necesitamos verificar que el cartero sea un empleado real, que la carta tenga un sello intacto que garantice que no ha sido alterada (DKIM), y que la oficina postal sepa qué hacer con paquetes sospechosos (DMARC).

SPF (Sender Policy Framework): la lista de remitentes autorizados

SPF responde una pregunta simple: ¿Este servidor tiene permiso para mandar correos en nombre de este dominio? Con SPF, tú defines qué servidores (direcciones IP) están autorizados para mandar los correos de los dominios de tus clientes. Su principal beneficio es que impide que los spammers utilicen los dominios alojados en tus servidores para cometer fraudes, una técnica conocida como spoofing. ¿Alguna vez te han llegado correos que parece que te los mandaste tú mismo, pero se ven sospechosos? Eso es lo que evita SPF.

Puedes realizar la implementación de SPF de forma masiva para tus clientes:

1. En tu panel de WHM, ve a la sección «Email» y haz clic en «Email Deliverability».
2. En esta pantalla, podrás revisar el estado de la configuración SPF para todos tus dominios.
3. Para cualquier dominio con problemas, usa la opción «Repair» o «Install». WHM generará e instalará automáticamente el registro TXT de SPF correcto.

Al completar estos pasos, le comunicas a todos los servidores de correo del mundo que únicamente tus servidores tienen autorización para mandar emails a nombre de ese dominio.

DKIM (Domain Keys Identified Mail): el sello digital de tus mensajes

DKIM es una capa de seguridad que garantiza autenticidad e integridad. Agrega una firma digital cifrada en el encabezado de cada correo que se manda. Dicha firma confirma que el correo fue mandado por el dominio que dice ser y que su contenido no ha sido modificado.

Con WHM, esto se implementa fácilmente:

1. Te recomiendo ir a la misma sección: «Email» > «Email Deliverability».
2. Junto a SPF, verás la columna correspondiente a DKIM.
3. Utiliza la opción «Repair» o «Install». WHM generará un par de claves, almacenará la clave privada en el servidor para firmar los correos y publicará la clave pública en el DNS del cliente.

Así, cuando otro servidor recibe un correo, busca esa clave pública para verificar la firma. Si es válida, el correo se considera legítimo.

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC integra a SPF y DKIM. Su función es indicarles a los servidores de correo qué acción tomar si reciben un correo que falla las verificaciones de SPF o DKIM. Además, una de sus funciones más valiosas es que te manda informes detallados para que sepas quién está mandando correos en nombre de tus dominios.

Cómo se implementa

Te recomiendo añadir DMARC manually para tener más control, comenzando siempre en modo «monitoreo».

1. Desde tu cPanel/WHM, ve a «DNS Functions» y selecciona «DNS Zone Manager» para el dominio del cliente.
2. Añade un nuevo registro de tipo TXT.
3. Te recomiendo configurar el registro con la siguiente estructura:
   • Nombre: _dmarc.webhostingydominios.com. (sustituye por el dominio real).
   • Tipo: TXT
   • Contenido: v=DMARC1; p=none; rua=mailto:reportes-dmarc@webhostingydominios.com

Para qué sirve cada parámetro

• v=DMARC1: Le dice al servidor que se trata de un registro DMARC.
• p=none: Es la política de «monitoreo». Les indicas a los servidores que no tomen ninguna acción especial, pero que sí te notifiquen. Este es el primer paso para detectar anomalías. Después puedes implementar p=quarantine, que le pide a los servidores que manden los correos que fallen la validación directamente a la carpeta de «Spam».
• rua=mailto:…: Aquí especificas el correo donde deseas recibir los informes agregados (RUA). Te recomiendo crear una cuenta específica para administrar estos informes.

Al implementar estas tres medidas, estás protegiendo a tus clientes, fortaleciendo la reputación de tus servidores y mejorando la entregabilidad de los correos.

Herramientas de protección adicionales

Además de la autenticación, existen otras herramientas adicionales de defensa para tu servidor.

MailScanner

Es una herramienta de seguridad que actúa como un filtro avanzado para proteger tanto los correos entrantes como salientes. Su principal función es detectar y bloquear amenazas como phishing, malware y enlaces fraudulentos. Si tienes MailScanner instalado, puedes administrar su configuración desde WHM, en la sección de “MailScanner Configuration” dentro del menú de plugins.

Greylisting

Es una técnica de filtrado antispam que consiste en rechazar temporalmente el primer correo que llega de un remitente desconocido. Los servidores legítimos suelen reintentar el envío, mientras que muchos sistemas de spam no lo hacen. Una vez que el remitente reintenta y el correo es aceptado, se añade a una lista blanca. Es muy efectiva, aunque puede causar un pequeño retraso en la entrega del primer mensaje de un remitente nuevo. Esta utilidad viene integrada en WHM sin costo.

SpamAssassin

Es un filtro antispam de código abierto que analiza cada correo y le asigna una puntuación de probabilidad de ser spam. Si un correo supera el parámetro de puntuación, se marca como tal, generalmente modificando el asunto para que los usuarios puedan filtrarlo fácilmente. En WHM/cPanel, SpamAssassin se puede configurar globalmente desde WHM > Service Configuration > Exim Configuration Manager, y cada usuario puede ajustar sus propios filtros en cPanel > Email > Spam Filters.

Tabla de puertos y protocolos seguros de correo electrónico

Importante: Siempre indica a tus clientes que configuren sus cuentas usando IMAP por el puerto 993 para recibir, y SMTP por el 587 (STARTTLS) o 465 (SSL/TLS) para mandar.

Cuadro de configuración de clientes de correo

Checklist de mantenimiento proactivo para el servicio de correo

Importante: Siempre documenta cualquier incidente de rebote o listado en RBL. Esto te permitirá presentar reportes claros si necesitas contactar a un proveedor o resolver una inclusión en listas negras.

Conclusión

La administración del correo electrónico es un proceso dinámico de configuración, monitoreo y aprendizaje. Las amenazas y las mejores prácticas evolucionan. Mantenerse informado y ser proactivo es la mejor estrategia para asegurar que tus comunicaciones lleguen siempre a donde deben.