La autenticación passwordless con email en Auth0 te permite validar usuarios sin contraseña, enviando un código al correo. Antes de configurarla, necesitas entender cómo viaja un email y por qué tu mensaje puede terminar en spam si no aplicas los chequeos de seguridad correctos.

¿Cómo funciona el envío de correo bajo el protocolo SMTP?

El envío de correo se apoya en Simple Mail Transfer Protocol (SMTP), un protocolo que solo describe el formato del mensaje, no su seguridad. Cuando envías un correo desde Gmail a Outlook, tu cliente entrega el mensaje al servidor de Gmail, este lo retransmite vía SMTP al servidor de Outlook, y el destinatario lo consume mediante POP3 o IMAP según su cliente.

El problema aparece aquí: SMTP nunca define cómo verificar quién envía realmente el correo. Esa puerta abierta da pie al email spoofing, una técnica donde cualquiera puede falsificar el remitente. Por eso los servidores modernos exigen tres capas de validación antes de dejar pasar un mensaje a la bandeja de entrada.

¿Qué es el email spoofing? Es la suplantación del remitente en un correo. Cualquiera puede declarar que envía desde un dominio ajeno, y solo los chequeos SPF, DKIM y DMARC permiten detectarlo.

¿Qué son SPF, DKIM y DMARC y por qué importan?

Estos tres mecanismos son el estándar para garantizar que un correo es genuino y no fue alterado en el camino [2:00].

• SPF (Sender Policy Framework): verifica que el correo se envió desde un servidor autorizado por el dominio. Si tu dominio es guillermorodas.com, SPF confirma que el mensaje salió de un servidor permitido por ese dominio.
• DKIM (DomainKeys Identified Mail): añade una firma criptográfica al mensaje. Garantiza que el contenido llegó tal cual se envió, sin modificaciones intermedias.
• DMARC (Domain-based Message Authentication, Reporting and Conformance): define qué hacer cuando SPF o DKIM fallan. Su política puede ser none (acepta de todas formas), quarantine (envía a spam) o strict (rechaza el correo).

Cuando llega un correo desde, por ejemplo, memo@rodas.dev, el servidor del destinatario consulta SPF para validar el origen [3:30]. Si pasa, el mensaje aterriza en la bandeja de entrada. Si falla, DMARC decide el destino según la política configurada y reporta al remitente.

¿Cómo activo email passwordless en el dashboard de Auth0?

Auth0 ofrece sus propios servidores de correo para que puedas probar la autenticación sin configurar nada externo, pero solo sirven para testing [5:00].

Los pasos en el dashboard son directos:

1. Entra a Authentication > Passwordless y activa Email.
2. Verás campos como from y subject, pero no podrás modificarlos hasta conectar tu propio proveedor.
3. Selecciona la aplicación que usará la conexión y guarda los cambios.
4. Prueba la conexión enviando un correo de ejemplo con el botón Try.

Al forzar un logout en la app, el flujo cambia: ya no pide contraseña, solo el correo. Tras enviarlo, llega un código a la bandeja con la plantilla estándar de Auth0. Ingresas el código, confirmas permisos de perfil y email, y la sesión queda iniciada.

¿Puedo personalizar la plantilla de correo en Auth0? Solo si conectas tu propio proveedor SMTP. Mientras uses los servidores de Auth0, los campos from, subject y la plantilla quedan bloqueados.

¿Cómo conecto mi propio proveedor de correo en Auth0?

Para producción necesitas tu propio servidor SMTP. Esto te da control total sobre la plantilla, el remitente y, sobre todo, sobre los chequeos de seguridad que evitan el spam [7:00].

La ruta es Branding > Email Provider > Use my own email provider. Auth0 trae integraciones preconfiguradas con servicios como Mandrill o Amazon Simple Email Service, donde solo completas las credenciales y pruebas la conexión. Si tu proveedor no aparece en la lista, puedes ingresar manualmente los datos de cualquier servidor SMTP.

Una vez conectado tu proveedor, recuerda lo esencial:

• Configura SPF en los registros DNS de tu dominio.
• Activa DKIM para firmar tus correos salientes.
• Define una política DMARC acorde a tu nivel de exigencia.
• Personaliza la plantilla, el subject y el remitente desde Auth0.

Sin estos tres chequeos bien configurados, tus correos de autenticación pueden caer en spam y romper la experiencia del usuario justo en el momento más crítico: el login.

¿Cuándo necesito mi propio proveedor de correo en Auth0? Cuando quieras personalizar las plantillas, controlar el remitente o garantizar entregabilidad en producción. Los servidores de Auth0 solo son válidos para pruebas.

Ahora te toca a ti: si no pudieras usar un tercero para enviar correos, ¿cómo diseñarías la arquitectura de esta implementación? Compártelo en los comentarios con un diagrama o un resumen en texto.