Alerta importante: Google y Yahoo exigirán DMARC a partir de abril de 2024.
Leer más
PowerDMARC

DMARC frente a SPF

Ahona Rudra
DMARC frente a SPF
Tiempo de lectura: 5 min

La seguridad del correo electrónico ya no es tan sencilla como antes, gracias a la evolución tecnológica. La seguridad del correo electrónico se enfrenta a retos como los ataques de phishing, la suplantación de identidad, la distribución de malware, la falta de cifrado, los errores humanos y la complejidad de las tecnologías de autenticación. Estos problemas pueden dar lugar a filtraciones de datos, violaciones de la privacidad y sistemas comprometidos, lo que subraya la necesidad de un enfoque multicapa que incluya una autenticación sólida, educación de los usuarios, detección avanzada de amenazas, cifrado y medidas eficaces de respuesta a incidentes.

Si no has estado siguiendo todo el debate de DMARC vs SPF, vamos a entender qué son y cómo pueden ayudarte. Si eres nuevo en la autenticación de correo electrónico, es probable que te hayas topado con términos fugaces como DMARC y SPF y quieras entenderlos mejor para decidir cuál te conviene más.

¿Cuál es la diferencia entre SPF y DMARC? 

Sender Policy Framework, también conocido como SPF, permite almacenar en caché una lista de direcciones IP autorizadas para enviar correos electrónicos a sus clientes en su nombre (RFC 4408). Por otro lado, DMARC ayuda a especificar una política para los correos electrónicos que no superan la autenticación, ayudando a los propietarios de dominios a controlar la austeridad de sus protocolos de seguridad implementados. Dicho esto, profundicemos en DMARC frente a SPF. 

SPF: Autorizar remitentes para su dominio

SPF confirma que el servidor remitente está autorizado a enviar correos electrónicos en nombre del dominio. Piense que es su portero personal con una lista de invitados VIP de direcciones IP/dominios que están autorizados a enviar mensajes en nombre de su dominio. A menos que el remitente esté documentado en esta lista de comprobación, la verificación falla para el mensaje.

DMARC: alineación y circuito de retroalimentación

DMARC ayuda a definir reglas de instrucción específicas para mensajes que no superan el SPFes decir, si el correo debe rechazarse, ponerse en cuarentena o entregarse. También proporciona un bucle de retroalimentación para mantener informados a los propietarios de dominios sobre los problemas de entregabilidad.

He desplegado SPF, ¿todavía necesito DMARC?

SPF no proporciona a los propietarios de dominios un mecanismo para enviar informes de entregas fallidas e intentos de suplantación. Aquí es donde DMARC entra en juego. Si habilitas los informes DMARC para tus dominios, podrás recibir notificaciones sobre los resultados de la autenticación SPF, que incluyen, entre otros, entregas fallidas e intentos de suplantación. Esta es una característica importante que debería ser una adición indispensable a su seguridad del correo electrónico incluso si sólo tiene SPF desplegado para sus dominios.

La supervisión de sus dominios puede ser útil para procesar información sobre el rendimiento de sus correos electrónicos y medir la tasa de éxito de sus campañas de marketing por correo electrónico. También le ayuda a responder más rápidamente a los ataques y a poner en la lista negra las direcciones de remitentes sospechosos. 

Limitaciones del SPF autónomo

SPF y DMARC trabajan juntos para ayudar a prevenir la suplantación de identidad y los ataques de phishing. Sin embargo, cada uno tiene sus propias limitaciones, y cuando se utilizan de forma independiente, estas limitaciones pueden afectar a la seguridad general de las comunicaciones por correo electrónico. Veamos algunas de ellas:

  1. Protección limitada: SPF por sí solo sólo puede proteger contra la suplantación de dominio comprobando si la dirección IP del remitente está autorizada a enviar correos electrónicos en nombre de un dominio concreto. Sin embargo, no aborda otros aspectos de la autenticación del correo electrónico, como el contenido y la alineación del mensaje.
  2. Problemas de alineación de dominios: SPF no verifica si la dirección "De" en el encabezado del correo electrónico se alinea con la dirección "Return-Path". Esta desalineación puede ser aprovechada por los atacantes para hacer que los correos electrónicos de phishing parezcan más legítimos.
  3. Ausencia de informes y visibilidad: SPF carece de funciones de generación de informes, por lo que no recibirá información sobre los correos electrónicos que no superen las comprobaciones de SPF. Esta falta de visibilidad puede dificultar la identificación de posibles problemas o ataques a su dominio.
  4. Sin aplicación de políticas: SPF es un mecanismo sencillo que sólo define qué servidores están autorizados a enviar correos electrónicos para un dominio. No especifica qué acciones tomar si las comprobaciones SPF fallan. Sin DMARC, no hay aplicación de políticas, y los receptores podrían tratar los fallos SPF de forma diferente o no tratarlos en absoluto.

DMARC, SPF, DKIM: elegir la combinación adecuada 

Es posible publicar un registro DM ARC incluso sin la presencia de un registro DKIM en su DNS. Esto se debe a que, para que sus correos electrónicos se consideren conformes con DMARC, deben pasar la autenticación SPF o DKIM y no ambas. Si no dispone de un registro DKIM, los MTA receptores sólo comprueban la alineación SPF, que determina la autenticidad de los mensajes, mientras que DKIM falla automáticamente para cada mensaje.

Sin embargo, esta no es una situación ideal. Descubramos por qué:

Resolución de problemas de reenvío de correo electrónico

En el caso de los correos electrónicos reenviados, su mensaje pasa por un servidor intermediario antes de llegar a la bandeja de entrada de su receptor. Este servidor tiene una dirección IP diferente que puede no estar incluida en el registro SPF de su dominio. Por lo tanto, los correos electrónicos reenviados rompen el SPF en el lado del receptor.

Si no tiene una cuenta DKIM un fallo de SPF equivaldría básicamente a un fallo de DMARC. Para una política establecida para rechazar, sus correos electrónicos legítimos enviados a través de listas de correo no llegarían a sus receptores en absoluto. Por este motivo, tener implementados tanto SPF como DKIM para su dominio y obtener el cumplimiento completo de DMARC alineando sus correos electrónicos con ambos protocolos es la mejor forma de garantizar una capacidad de entrega sin problemas.

SPF y DMARC reducen los falsos negativos

Tanto SPF como DMARC ayudan a evitar que los correos electrónicos legítimos sean marcados como spam o rechazados. Cuando los correos electrónicos superan las comprobaciones de SPF y DMARC, es más probable que lleguen a las bandejas de entrada de los destinatarios, lo que disminuye la posibilidad de falsos positivos (correos legítimos tratados incorrectamente como spam).

DMARC, con el apoyo de SPF, ayuda a identificar y bloquear correos electrónicos falsos o fraudulentos que intentan engañar a los destinatarios aparentando proceder de fuentes legítimas. Esto reduce la posibilidad de falsos negativos (correos electrónicos maliciosos tratados incorrectamente como legítimos).

DMARC aplica la política en función de los resultados de autenticación

Cuando se implementa DMARC, se indica al servidor de correo receptor qué hacer con los correos electrónicos que no superan las comprobaciones DKIM o SPF. Esto reduce la probabilidad de que se cuelen falsos negativos, ya que el propietario del dominio puede optar por poner en cuarentena o rechazar los correos que no superen la autenticación.

¿Cómo colaboran SPF y DMARC para reforzar la seguridad del correo electrónico?

SPF y DMARC trabajan juntos para reforzar la autenticación del correo electrónico proporcionando capas complementarias de protección. SPF verifica la autorización del servidor de envío y DMARC aplica políticas basadas en los resultados de autenticación combinados. 

Cuando se configura e implementa correctamente, este dúo ayuda a prevenir la suplantación de identidad y el phishing y mejora la seguridad general de la comunicación por correo electrónico. SPF garantiza la legitimidad del remitente, mientras que DMARC actúa como un ejecutor de políticas para evitar que correos electrónicos no autorizados lleguen a los destinatarios, reduciendo las posibilidades de falsos negativos y mejorando la entregabilidad del correo electrónico.

Al trabajar juntos, SPF y DMARC crean una potente defensa contra los ataques basados en el correo electrónico. Esta colaboración ayuda a minimizar los falsos negativos y refuerza la autenticación del correo electrónico, lo que dificulta a los actores maliciosos el phishing, la suplantación de identidad u otras ciberamenazas a través del correo electrónico.

DMARC y SPF: una poderosa combinación 

Para resumir la discusión sobre DMARC vs SPF, nuestra recomendación es empezar publicando un registro TXT para SPF y un registro DMARC manteniendo la política en ninguno mientras se habilita la generación de informes agregados. De este modo, podrá controlar el volumen de correos electrónicos que se reenvían o envían a través de listas de correo. Una política de "ninguno" no tendrá ningún efecto en la entregabilidad de sus correos electrónicos y le permitirá supervisar sus dominios de forma eficaz.

Sin embargo, para mejorar sus defensas contra ataques inminentes de phishing y spoofing necesita una política más aplicada (p=reject/quarantine) para DMARC. La mera implementación de SPF no ofrece ninguna protección contra el fraude por correo electrónico, para el que una política de política DMARC es imprescindible.

Ventajas de una solución de software DMARC

Recomendamos el uso de PowerDMARC's Analizador de informes DMARC de PowerDMARC para obtener asesoramiento experto y sacar el máximo partido a sus normas de autenticación de correo electrónico hoy mismo. Esto le ayudará:

Prueba gratuita prueba de 15 días para probar nuestra plataforma hoy mismo.

Últimas publicaciones de Ahona Rudra (ver todas)
Salir de la versión móvil