¿Qué es SPF y cómo funciona?

Image

¿Qué es SPF?

Sender Policy Framework (SPF) es un protocolo de autenticación de correo electrónico que los propietarios de un dominio utilizan para especificar los servidores desde los que envían correo electrónico. Su función es evitar que los estafadores falsifiquen la información del remitente.

Las políticas de correo electrónico de SPF se utilizan ampliamente en todo el mundo y actualmente están definidas por el IETF en la sección RFC 7208. Los registros SPF son como una lista pública que permite a todo el mundo saber desde dónde envía el correo. Si un email no coincide con esa lista, el destinatario debe considerar que es falso. SPF se configura y gestiona como un registro TXT dentro del servidor DNS que usa el dominio.

¿Por qué son importantes los registros SPF?

Los registros SPF desempeñan un papel clave en la Seguridad del correo electrónico porque garantizan que su dominio solo envíe correos electrónicos a partir de una lista verificada de servidores, que usted especifica. Si bien es cierto que SPF no es perfecto, cuando se lo combina con DKIM y DMARC, puede mejorar drásticamente la postura de Seguridad del email.

A continuación veremos qué pueden hacer las sólidas políticas de correo electrónico de SPF:

Mejorar la capacidad de entrega:

Cuando protege el servidor de correo electrónico con SPF, los atacantes no pueden usar el dominio para enviar spam. Esto ayuda a mantener el dominio fuera de las listas negras a nivel internacional, mejorando así la capacidad de entrega general de los servidores de correo.

Combatir la suplantación de correo electrónico:

Un registro SPF ayuda a prevenir phishing y fraudes por suplantación de identidad al verificar la dirección IP del remitente y compararlo con el propietario del dominio.

Mejora la reputación del dominio:

Tener políticas SFP de email proporciona al dominio una reputación elevada y muestra a otros servidores y sitios de la listas negras que se toma muy en serio la Seguridad del correo electrónico. Esto reduce drásticamente las probabilidades de que los emails se consideren erróneamente como correo no deseado y ayuda a mejorar su postura dentro de los firewalls y otras bases de datos de Ciberseguridad.

¿Cómo funcionan los registros SPF?

Los servidores que reciben mensajes verifican el SPF consultando el valor Return-Path del dominio que se encuentra en los encabezados del correo electrónico. El servidor del destinatario utiliza este Return-Path para buscar un registro TXT en el servidor DNS del remitente. Si SPF está implementado, enumerará todos los servidores aprobados de los que se permite que provenga el correo. Si esa IP en particular no está en la lista, la verificación de SPF fallará.

Los registros SPF se pueden dividir en dos partes: calificadores y mecanismos.

Se pueden configurar mecanismos para describir quién puede enviar correo en nombre de un dominio. Si se cumplen esas condiciones, se puede aplicar uno de los cuatro calificadores.

Los calificadores son la acción que se aplica en última instancia cuando se coincide con un mecanismo. Si no aparece ningún calificador, se utiliza el valor predeterminado +.

A continuación se muestran los cuatro tipos de calificadores que se pueden usar al configurar las políticas SPF de correo electrónico:

Los siguientes elementos pueden incluirse dentro del registro SPF:

• v=spf1: Esta etiqueta es obligatoria e indica la versión de SPF que se está utilizando. Siempre será la primera etiqueta en la política SPF.
• a: Testea los registros A para el dominio. Si se encuentra la IP del host, coincide. El siguiente ejemplo usa el dominio actual y determina que hay un error temporal en todo lo demás.
  • Ejemplo: v=spf1 a ~all
• all: Ubicado al final del registro SPF, especifica instrucciones sobre qué hacer cuando no existe ninguna coincidencia con el registro SPF. Uno de los calificadores más comunes usa ~all para determinar que hay un error temporal en todo aquello que no coincide.
• mx: El uso por sí mismo de mx consultará las direcciones IP del registro A del registro MX para el dominio actual. El mecanismo mx también se puede emparejar con un dominio completamente separado. El uso de mx le permite actualizar el DNS sin tener que modificar el registro SPF. A continuación, se consultarán los registros mx de example.com para ver si hay una coincidencia.
  • Ejemplo: v=spf1 mx:example.com ~all
• Include: Permite especificar otro dominio y, a menudo, se usa cuando se permite que servicios de terceros envíen correo con el dominio. Los mecanismos include se pueden apilar, lo que permite abarcar múltiples remitentes. A continuación se muestra un ejemplo del uso de include para permitir múltiples servidores de envío.
  • Ejemplo: include:_spf.google.com include:example.com ~all
• Exists: Busca si existe el registro A de cualquier dominio especificado. Si el registro A existe, entonces esto pasa. El dominio no tiene que ser suyo, simplemente se debe autenticar. Esto se puede utilizar junto con macros para que el destinatario consulte una lista pública de correo no deseado y no supere la verificación de SPF si la dirección figura allí. A continuación, se muestra un ejemplo del uso de una macro para consultar una lista negra. %{i} es la sintaxis de una macro que ingresa la dirección IP del remitente y luego verifica si esa dirección está presente en la lista.
  • Ejemplo: v=spf1 mx -exists:%{i}.rbl.spamchecker.example.org ~all

¿Cómo es un registro SPF?

A continuación puede ver un ejemplo de un registro SPF que podría encontrarse dentro de un registro TXT en un servidor DNS:

v=spf1 a ip4:12.34.56.78/28 include:marketingemailserver.com ~all

En el ejemplo anterior, este registro SPF permite enviar correos electrónicos desde 12.34.56.78/28, así como desde marketingemailserver.com. Si el mensaje proviene de cualquier otra dirección, se marcará como un error temporal de SPF.

Para ilustrar mejor cómo funcionan las políticas de SPF, analicemos el ejemplo anterior:

• v=spf1: Esto anuncia qué versión de SPF se está utilizando.
• a: Si el dominio tiene un registro A o AAAA que coincide con la dirección IP, se determinará que es una coincidencia.
• ip4: Indica que la siguiente dirección IPv4 está autorizada para enviar.
• 12.34.56.78/28: Especifica el servidor que puede enviar. El /28 permite que toda la subred de la red envíe correo en lugar de una sola dirección IP. Esto es útil para organizaciones con múltiples servidores de correo o subredes dedicadas para servidores. Esta también es una excelente manera de acortar un registro SPF largo.
• Include: Nota que otro servidor también puede enviar correo en nombre del dominio. En este ejemplo, se trata de un servidor de marketing por correo electrónico de terceros.
• ~all: Etiquete aquello que no esté especificado como un error temporal de SPF y permita que se envíe.

¿Cómo saber si  tiene un registro de correo electrónico SPF?

Si tiene acceso al servidor DNS que usa su servidor de correo, puede buscar un registro TXT que comience con "v=spf". Una forma más fácil de verificar un dominio es usar la herramienta de búsqueda Agari SPF. Esto le permite buscar rápidamente registros SPF para verificar su existencia y configuración.

¿Cómo crear un registro SPF?

Si no tiene un registro SPF, puede crear uno fácilmente. Sin embargo, hay algunos pasos a seguir antes de crear el registro SPF. Para realizar cambios, deberá conocer cierta información fundamental, como el nombre de host y la dirección IP del servidor de correo, una lista de otros servidores desde los que desea que se envíe el correo electrónico y, por supuesto, la información de ubicación e inicio de sesión de su servidor DNS.

1) Inicie sesión en su servidor DNS.

Puede ser a través de un portal web si el DNS está alojado por un tercero.

2) Cree un registro TXT.

Algunos servidores DNS tienen la opción de agregar un registro de tipo SPF, pero aun así debería siempre usar un registro de tipo TXT. Al elegir un nombre de registro, puede poner "@" o dejarlo en blanco.

3) Ingrese su regla de correo electrónico SPF en la sección marcada como texto o valor.

Asegúrese de que comienza con la sintaxis de la versión y termina con un calificador "all".

Tenga en cuenta que después de publicar el registro SPF puede tardar hasta 48 horas en tener efecto.

Dependiendo de los objetivos, un simple registro SPF con un servidor puede no ser suficiente. Por ejemplo, SPF no incluye automáticamente subdominios. Deberá incluir cada subdominio en el registro.

Además, algunos sistemas tienen un límite de 255 caracteres para el registro SPF. Si se está acercando al límite, puede hacer lo siguiente para acortar el registro:

• Retire los mecanismos PTR. Estos están en desuso y cuentan contra el límite de búsqueda y recuento de palabras.
• Verifique el rango de direcciones de envío. Si tiene muchas direcciones IP diferentes, a menudo se pueden abreviar especificando la subred completa en lugar de servidores individuales.
• Elimine antiguos proveedores. Con el tiempo, es posible que deje de usar servicios de correo electrónico específicos, verifique los registros para verificar que todavía está usando ese servidor como remitente.
• Use SPF alojado en Agari, de Fortra. Nuestros registros alojados tienen menos caracteres, pero pueden incluir perfectamente más proveedores de servicios dentro de esos caracteres.

Recuerde que SPF tiene sus limitaciones. Como resultado, es importante que SPF no sea la única protección para correo electrónico que tenga. Tener registros DKIM y DMARC adecuados es clave para garantizar que el correo esté protegido en múltiples frentes.

Si necesita recursos adicionales, no dude en comunicarse con nuestro equipo. Las empresas pueden encontrar beneficios usar una solución como Agari Brand Protection para ayudarlas a automatizar el trabajo de implementación.