Cómo solucionar problemas de suplantación de identidad en el correo electrónico de WordPress (paso a paso)

Publicado: Información para el lector
LinkedIn
Resume:ChatGPTPerplejidad

La suplantación de identidad en el correo electrónico de WordPress se produce cuando los correos electrónicos parecen provenir de su dominio, pero carecen de la autenticación adecuada, lo que provoca fallos en la entrega y riesgos de seguridad.

Es posible que sus formularios de contacto estén configurando las direcciones de correo electrónico de los visitantes como remitentes, que su servidor esté enviando correos electrónicos no autenticados o que su dominio simplemente carezca de los registros DNS que demuestran la propiedad legítima.

Esto crea dos problemas principales: sus correos electrónicos legítimos se bloquean o se marcan como spam, y los actores maliciosos pueden suplantar más fácilmente su dominio para enviar mensajes fraudulentos.

En esta guía, solucionaremos estos problemas de suplantación de identidad configurando WP Mail SMTP con la autenticación adecuada, configurando tus registros DNS con SPF, DKIM y DMARC, y asegurándonos de que tus formularios de contacto gestionan correctamente las direcciones de los remitentes.

Cómo solucionar problemas de suplantación de identidad en el correo electrónico en WordPress

Comenzaremos por comprender cómo se manifiesta la suplantación de identidad por correo electrónico en WordPress y por qué ocurre. A continuación, configuraremos WP Mail SMTP con la autenticación adecuada, que es el método más fiable para eliminar los problemas de suplantación de identidad y garantizar que sus correos electrónicos lleguen a su destino.

Paso 1: Comprender la suplantación de identidad por correo electrónico en WordPress

La suplantación de identidad por correo electrónico en WordPress se produce cuando tu sitio web envía correos electrónicos que parecen legítimos, pero que no pueden demostrar su autenticidad a los servidores de correo receptores.

Esto ocurre porque WordPress utiliza por defecto la función básica de correo electrónico de PHP, que envía mensajes sin los protocolos de autenticación adecuados.

El escenario de suplantación de identidad más común tiene que ver con los formularios de contacto. Cuando alguien rellena tu formulario de contacto, muchos plugins establecen automáticamente su dirección de correo electrónico como remitente.

Otro problema frecuente es que WordPress envía correos electrónicos del sistema (restablecimiento de contraseñas, registros de usuarios, confirmaciones de pedidos) utilizando su nombre de dominio, pero sin las firmas criptográficas que demuestran que el mensaje realmente proviene de su servidor.

Los proveedores de correo electrónico como Gmail y Outlook rechazan cada vez más estos mensajes no autenticados, un problema que se analiza con más detalle en nuestra guía sobre la comprensión de la capacidad de entrega del correo electrónico.

Estas son las señales clave de que tu sitio de WordPress tiene problemas de suplantación de identidad:

  • Los envíos del formulario de contacto no llegan a los destinatarios.
  • Tus correos electrónicos llegan constantemente a la carpeta de spam.
  • Recibes mensajes de rebote sobre errores de autenticación.
  • Los proveedores de correo electrónico muestran advertencias sobre «remitente no verificado».
  • Tu dominio aparece en informes de phishing que tú no has enviado.

La causa principal es siempre la misma: sus correos electrónicos carecen de las firmas digitales y los registros DNS que exige la seguridad moderna del correo electrónico.

Para solucionar esto, es necesario pasar a SMTP autenticado y configurar los registros de autenticación de correo electrónico adecuados, lo que veremos en los siguientes pasos.

Ilustración de la capacidad de entrega de correo electrónico SMTP de WP Mail

Arregle sus correos electrónicos de WordPress ahora

Paso 2: Diagnostique el estado actual de la autenticación de su correo electrónico.

Antes de solucionar tus problemas de suplantación de identidad, debes comprender exactamente qué es lo que falla en tu configuración actual de correo electrónico. Empieza por comprobar si tu dominio ya tiene configurados registros de autenticación de correo electrónico.

Utilice una herramienta de búsqueda de registros SPF para comprobar si tiene un registro SPF. Solo tiene que introducir su nombre de dominio y hacer clic en «Búsqueda de registros SPF». Si no se encuentra ningún registro, como en la captura de pantalla siguiente, eso es un problema.

No hay ningún registro SPF válido.

A continuación, comprueba los registros DKIM utilizando la herramienta DKIM Lookup de MXToolbox. Necesitarás conocer tu selector DKIM, que varía según el proveedor de correo electrónico. Los selectores más comunes son «default», «google», «selector1» o el selector específico de tu proveedor.

Después, verifica tu política DMARC con la herramienta DMARC Lookup de MXToolbox. La falta de un registro DMARC es una de las causas más comunes de vulnerabilidad al spoofing de correo electrónico.

Prueba la autenticación del correo electrónico con un mensaje real

Otra forma de comprobar rápidamente el estado de autenticación de tu correo electrónico es enviar un correo electrónico de prueba a Gmail y comprobar los encabezados del mensaje (haz clic en los tres puntos y luego en Mostrar original).

spf dkim dmarc gmail test

Busque estos resultados de autenticación:

  • SPF: APROBADO (bueno) frente a SPF: SUSPENSO (problema)
  • DKIM: APROBADO (correcto) frente a DKIM: SUSPENSO (problema)
  • DMARC: APROBADO (correcto) frente a DMARC: FALLIDO (problema)

Paso 3: Configurar los registros de autenticación de correo electrónico (nivel DNS)

La autenticación del correo electrónico se realiza a nivel del DNS, donde se publican registros que indican a los servidores de correo receptores cómo verificar los correos electrónicos procedentes de su dominio.

Estos tres protocolos funcionan conjuntamente para evitar la suplantación de identidad: SPF autoriza los servidores de envío, DKIM añade firmas digitales y DMARC establece políticas para gestionar los fallos de autenticación.

Configurar registros SPF

Los registros SPF (Sender Policy Framework) especifican qué servidores de correo están autorizados a enviar correos electrónicos en nombre de su dominio. Sin un registro SPF, cualquier servidor puede afirmar que envía correos electrónicos desde su dominio.

La mayoría de los sitios de WordPress necesitan autorizar múltiples fuentes de envío: su proveedor de alojamiento web para los correos electrónicos del sistema, su proveedor SMTP para el envío autenticado y, en ocasiones, servicios de terceros como plataformas de marketing.

Esto suele dar lugar a múltiples registros SPF, lo que interrumpe la autenticación. La clave es crear un único registro SPF que incluya todos sus remitentes legítimos.

Añádalo como un registro TXT en el DNS de su dominio, normalmente comenzando porv=spf1 yterminando por~all para rechazar a los remitentes no autorizados.

Regla de registro SPF múltiple en Cloudflare

Configurar la autenticación DKIM

DKIM (DomainKeys Identified Mail) añade una firma criptográfica a tus correos electrónicos que los servidores receptores pueden verificar con una clave pública almacenada en tu DNS.

Su proveedor SMTP generará claves DKIM para usted, pero a veces el registro DNS resultante es demasiado largo para una sola entrada TXT.

Cuando esto ocurra, deberá dividir el registro DKIM en varias entradas DNS, manteniendo el formato adecuado que esperan los servidores de correo.

El registro DKIM incluye la clave pública de su proveedor y se publica como un registro TXT en un subdominio específico, normalmente algo así como selector1._domainkey.yourdomain.com.

SendLayer DKIM

Implementar la política DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) vincula SPF y DKIM, al tiempo que indica a los servidores receptores qué hacer cuando los correos electrónicos no superan la autenticación.

Es su principal defensa contra la suplantación de dominios. La creación de un registro DMARC implica establecer una política que permita poner en cuarentena los correos electrónicos sospechosos, rechazarlos por completo o simplemente supervisarlos sin tomar medidas.

Comience con una política de supervisión (p=none) para recopilar datos sin afectar a la entrega, luego pase gradualmente a p=quarantine y , finalmente, a p=reject a medida que verifique que los correos electrónicos legítimos pasan la autenticación.

Aplicar registro DMARC en Cloudflare

Orden de implementación del DNS

Configure sus registros de autenticación en este orden:

  • SPF primero: autoriza tus servidores de envío.
  • DKIM segundo: añade firmas digitales.
  • DMARC last: establece políticas basadas en los resultados de SPF/DKIM.

Este orden garantiza que cada protocolo se base en el anterior.

DMARC necesita que tanto SPF como DKIM estén configurados para funcionar de manera eficaz, así que no se salte este paso.

Paso 4: Instalar y configurar WP Mail SMTP

La instalación de WP Mail SMTP sustituye la poco fiable función de correo predeterminada de WordPress por el envío SMTP autenticado, que es esencial para evitar la suplantación de identidad en el correo electrónico.

Si tienes WP Mail SMTP Pro, inicia sesión en tu cuenta y ve a la pestaña Descargas para obtener el archivo del plugin más reciente. La versión Pro incluye funciones avanzadas y registro de correos electrónicos que ayudan a identificar y resolver problemas de entrega.

descargar-wp-mail-smtp

En tu panel de control de WordPress, ve a Plugins » Añadir nuevo » Subir plugin, sube el archivo zip y haz clic en Instalar ahora. Una vez instalado, activa el plugin inmediatamente.

Instalar WP Mail SMTP

El asistente de configuración aparece automáticamente tras la activación y es esencial para solucionar problemas de suplantación de identidad en el correo electrónico. No omita este paso.

¿Necesitas ayuda?

¡Puedes adquirir la configuración White Glove para que un experto instale y configure WP Mail SMTP por ti!

Haga clic en «Comencemos» para iniciar el proceso de configuración que eliminará sus vulnerabilidades de suplantación de identidad.

haga clic en el botón Comencemos

Suelo elegir un proveedor transaccional como SendLayer, SMTP.com o Brevo por su velocidad y fiabilidad, ya que gestionan las colas y los límites de velocidad mejor que el correo web básico.

Seleccione su proveedor de correo SMTP

Una vez que hayas elegido tu proveedor de correo electrónico, haz clic en el enlace de abajo para abrir la documentación correspondiente. Tenemos una guía completa para cada proveedor de correo electrónico, para que puedas conectar fácilmente tu sitio de WordPress:

Mailers disponibles en todas las versionesMailers en WP Mail SMTP Pro
SendLayerAmazon SES
SMTP.comMicrosoft 365 / Outlook.com
BrevoZoho Mail
Espacio de trabajo de Google / Gmail
Mailjet
Mailgun
Matasellos
SendGrid
SMTP2GO
SparkPost
Correo electrónico elástico
Otros SMTP

Sigue los pasos que aparecen en pantalla para conectar tu cuenta y, a continuación, rellena los campos que te pida el remitente. Dependiendo de tu elección, pegarás una clave API, iniciarás sesión con OAuth o aprobarás el envío desde tu dominio.

Durante la configuración de WP Mail SMTP, encontrarás la opción «Forzar remitente del correo electrónico» situada debajo del campo principal de configuración del remitente del correo electrónico .

WordPress suele utilizar la dirección de correo electrónico del administrador de su sitio web para los mensajes salientes, pero esto crea problemas de autenticación cuando diferentes plugins intentan utilizar varias direcciones de remitente.

Los formularios de contacto, los correos electrónicos de registro de usuarios y las notificaciones de comercio electrónico pueden intentar utilizar diferentes direcciones de remitente, lo que da lugar a una autenticación inconsistente y a posibles señales de suplantación de identidad.

Al habilitar la opción Activar la fuerza desde el correo electrónico , se estandarizan todos los mensajes salientes para que utilicen la dirección de dominio autenticada que hayas establecido en el campo Desde el correo electrónico.

WP Mail SMTP Desde Configuración de correo electrónico

Paso 5: Configuración de BIMI (avanzado)

BIMI (Brand Indicators for Message Identification) es un protocolo avanzado contra la suplantación de identidad que muestra el logotipo de su marca directamente en los clientes de correo electrónico de los destinatarios cuando sus mensajes superan los controles de autenticación.

Esta verificación visual permite a los destinatarios saber de inmediato que los correos electrónicos proceden realmente de su organización, lo que proporciona una capa adicional de protección contra los intentos de suplantación de identidad.

Ejemplo de BIMI

Para obtener instrucciones detalladas sobre la implementación, los requisitos del logotipo, el formato de los registros DNS y la configuración del certificado de marca verificada, consulte nuestra guía completa sobre qué es BIMI y cómo implementarlo.

Paso 6: Prueba la configuración de tu correo electrónico

Una vez que todo esté configurado, utiliza la función de prueba integrada de WP Mail SMTP para evaluar la capacidad de entrega de tus correos electrónicos. Ve a Herramientas y haz clic en la pestaña Prueba de correo electrónico para comenzar.

Enviar un email de prueba con WP Mail SMTP

En esta pantalla, personalice la dirección del destinatario de su correo electrónico de prueba y pulse Enviar correo electrónico.

Enviar email de prueba desde WP Mail SMTP

Si todo está configurado correctamente, verás un mensaje verde.

Prueba de correo electrónico Cloudflare en WordPress - mensaje de éxito

Si WP Mail SMTP detecta algún problema, mostrará una advertencia.

La entregabilidad debe mejorarse Mensaje de advertencia

Debajo de la advertencia, verás información sobre los pasos que debes dar para mejorarla.

La guía común de resolución de problemas de WP Mail SMTP cubre soluciones para problemas típicos de configuración.

Preguntas frecuentes sobre cómo solucionar la suplantación de identidad en el correo electrónico de WordPress

La solución al problema del suplantación de identidad en los correos electrónicos de WordPress es un tema de gran interés entre nuestros lectores. A continuación, ofrecemos respuestas a algunas preguntas frecuentes al respecto:

¿Qué es la suplantación de correo electrónico en WordPress?

La suplantación de correo electrónico en WordPress se produce cuando los correos electrónicos parecen provenir de su dominio, pero carecen de la autenticación adecuada, lo que provoca fallos en la entrega y riesgos de seguridad.

Esto ocurre porque WordPress utiliza por defecto la función básica de correo de PHP, que envía mensajes sin los protocolos de autenticación SPF, DKIM o DMARC que acreditan la legitimidad del correo electrónico.

¿Cómo puedo saber si mis correos electrónicos de WordPress están siendo suplantados?

Comprueba si hay estos signos:

  • Los envíos del formulario de contacto no llegan a los destinatarios.
  • Los correos electrónicos siempre terminan en la carpeta de spam.
  • recibes mensajes de rebote sobre errores de autenticación
  • Los proveedores de correo electrónico muestran advertencias de «remitente no verificado».
  • Tu dominio aparece en informes de phishing que tú no has enviado.

Prueba enviando un correo electrónico a Gmail y comprobando Mostrar original para los resultados SPF, DKIM y DMARC APROBADO/SUSPENSO.

¿Cómo puedo solucionar los problemas de suplantación de identidad en el correo electrónico de WordPress?

Instala el plugin WP Mail SMTP, configúralo con un proveedor SMTP profesional como SendLayer, configura los registros SPF, DKIM y DMARC en tu DNS, habilita la configuración «Force From Email» para utilizar tu dirección de dominio autenticada y comprueba la autenticación del correo electrónico utilizando la función de prueba de WP Mail SMTP.

¿Los formularios de contacto de WordPress pueden provocar suplantación de identidad en el correo electrónico?

Sí, los formularios de contacto suelen provocar suplantación de identidad cuando utilizan la dirección de correo electrónico del visitante como remitente, lo que hace que parezca que el visitante ha enviado el correo electrónico directamente, en lugar de que sea su sitio web el que reenvía el mensaje.

Soluciona esto utilizando WP Mail SMTP con la opción «Force From Email» (Forzar desde el correo electrónico) activada y configurando los correos electrónicos de los visitantes en el campo «Reply-To» (Responder a ) .

¿Qué proveedores SMTP evitan la suplantación de identidad en el correo electrónico de WordPress?

Los proveedores SMTP profesionales como SendGrid, Mailgun, Amazon SES, Postmark y SMTP.com evitan la suplantación de identidad proporcionando una autenticación adecuada, firma DKIM e infraestructura de entrega.

Evita utilizar proveedores de correo web básicos, como cuentas personales de Gmail, ya que carecen de las funciones de autenticación necesarias para el envío de WordPress.

¿El alojamiento compartido puede causar problemas de suplantación de identidad en el correo electrónico de WordPress?

Sí, el alojamiento compartido suele provocar suplantación de identidad porque varios sitios web comparten la misma dirección IP del servidor, lo que dificulta la autenticación SPF, y la mayoría de los alojamientos compartidos no configuran DKIM ni proporcionan una autenticación de correo electrónico adecuada.

Soluciona este problema utilizando WP Mail SMTP con un proveedor de servicios de correo electrónico dedicado, en lugar de depender de los servidores de correo de tu proveedor de alojamiento.

A continuación, aprenda cómo solucionar los retrasos en el correo electrónico en WordPress.

¿Tus correos electrónicos de WordPress llegan con 20 minutos de retraso? ¿O peor aún, llegan horas después de que alguien haya enviado un formulario o completado el proceso de pago? Consulta esta guía para saber qué es lo que realmente está causando los retrasos en tu sitio web y cómo solucionarlos para que tus correos electrónicos se envíen al instante.

Arregle sus correos electrónicos de WordPress ahora

¿Listo para arreglar tus correos electrónicos? Empieza hoy mismo con el mejor plugin SMTP para WordPress. Si no tienes tiempo para arreglar tus correos electrónicos, puedes obtener asistencia completa de White Glove Setup como compra adicional, y hay una garantía de devolución de dinero de 14 días para todos los planes de pago.

Si este artículo te ha ayudado, síguenos en Facebook y Twitter para más consejos y tutoriales sobre WordPress.

Divulgación: Nuestro contenido está apoyado por los lectores. Esto significa que si hace clic en algunos de nuestros enlaces, podemos ganar una comisión. Vea cómo se financia WPForms, por qué es importante y cómo puede apoyarnos.

Hamza Shahid

Hamza es un escritor de WP Mail SMTP, que también se especializa en temas relacionados con el marketing digital, la ciberseguridad, los plugins de WordPress y los sistemas ERP.Más información

Pruebe nuestro plugin gratuito WP Mail SMTP

Utilice su proveedor SMTP favorito para enviar sus correos electrónicos de WordPress de forma fiable.