Formato SPF : Explicación de los formatos básicos y avanzados del FPS

Puede enviar correos electrónicos sin utilizar el formato SPF o sin conocerlo, pero eso no será seguro. El SPF añade una indicación de confianza adicional a los proveedores de buzones de los destinatarios, y todos los correos electrónicos auténticos enviados con su dominio aterrizan en la bandeja de entrada del buzón en lugar de ser marcados como spam.

SPF no es un método infalible; por lo tanto, debe combinarlo con otros autenticación de correo electrónico como DKIM, DMARCy BIMI para mejorar la entregabilidad del correo electrónico.

Dado que estos protocolos son cruciales para el proceso de autenticación del correo electrónico y que todas las empresas que se dedican al correo electrónico deben conocerlos, en este blog nos centraremos en el formato de registro SPF en este blog.

¿Qué es el FPS?

SPF es la abreviatura de Sender Policy Framework, uno de los protocolos de autenticación de correo electrónico más comunes. Funciona utilizando una lista de direcciones IP autorizadas a enviar correos electrónicos utilizando su nombre de dominio. La lista suele incluir las direcciones IP de sus empleados, accionistas y terceros que utilizan directamente su dominio para enviar correos electrónicos.

Si ha implementado el SPF, cualquier correo electrónico enviado desde una dirección IP fuera de la lista se considera no autorizado por el buzón del destinatario.

¿Cómo se autentifica el correo electrónico con el SPF?

Para implementar este protocolo, debe publicar un registro SPF válido (en formato TXT ) en su DNS. Cuando se envía un correo electrónico desde su dominio, el servidor de correo del receptor comprueba la dirección IP del remitente con los registros SPF de su DNS. Si está en la lista, la validación pasa y el correo electrónico llega a la bandeja de entrada. Sin embargo, si no está en la lista, la autenticación falla y los correos electrónicos no llegan a su destino.

Después de implementarlo, debe supervisar regularmente la actividad de su dominio utilizando un comprobador SPF para asegurarse de que no está en el radar de un hacker. Esto puede evitar el spear phishingy los ataques de ransomware que intentan utilizar el nombre de su empresa.

Formato del FPS

El registro SPF es complicado y tiene un formato típico difícil de entender. Aquí hablaremos de la sintaxis del registro SPF y de la estructura del registro SPF: la cabeza y el corazón del formato del registro SPF.

Registro SPF: Sintaxis básica

Un registro SPF es un registro DNS que enumera todas las direcciones IP autorizadas a enviar correos electrónicos utilizando su dominio de correo electrónico. Esta es la sintaxis de un registro SPF:

v=spf1 ip4=193.0.1.0 ip4=193.0.1.1 include:samplesender.net -all

Veamos los elementos que incluye.

• v=spf1- Indica al servidor que esto contiene un registro SPF. Cada registro SPF debe comenzar con esta cadena.
• ip4=193.0.1.0 ip4=193.0.1.1- Indica las direcciones IP permitidas para enviar correos electrónicos utilizando un dominio específico.
• Incluir:examplesender.net: Es indica a los terceros autorizados a enviar correos electrónicos. La etiqueta 'include' indica a los servidores de los destinatarios que verifiquen el registro SPF del dominio incluido (aquí- samplesender.net). Puede añadir varios dominios dentro de un registro SPF.
• -all: indica a los servidores de los destinatarios que rechacen los correos electrónicos procedentes de direcciones IP no autorizadas, básicamente las no incluidas en la lista. 

Registro SPF: Sintaxis avanzada

Según el formato del registro SPF para las sintaxis, siempre comienza con el elemento 'v='. Indica la versión del SPF; actualmente, sólo hay una versión, por lo que todos los formatos de registro SPF comienzan así.

La sintaxis del registro SPF tiene tres elementos principales: el mecanismo SPF, los calificadores SPF y los modificadores SPF. Veamos cuáles son.

Mecanismos

Estos son los ocho mecanismos

1. ALL: Esto significa que siempre hay una coincidencia. Verás resultados por defecto como '-all' para las IPs no coincidentes.
2. A: El nombre de dominio con registro de dirección A o AAAA coincide con la dirección del remitente.
3. IP4: La coincidencia es válida cuando el remitente está vinculado al rango de direcciones IPv4 indicado.
4. IP6: La coincidencia es válida cuando el remitente está vinculado al rango de direcciones IPv6 indicado.
5. MX: La dirección de correo electrónico del remitente sólo se valida si su nombre de dominio incluye un registro MX para su resolución.
6. PTR: La coincidencia se autoriza si el registro PTR pertenece a un determinado dominio que resuelve la dirección del cliente. Los expertos no sugieren su uso, ya que podría bloquear todos los correos electrónicos enviados con su dominio.
7. EXISTE: Funciona si el nombre de dominio dado está validado. Este mecanismo SPF funciona con todas las direcciones resueltas. 
8. INCLUIR: Hace referencia a otras políticas de dominio. Por lo tanto, si pasa, pasa automáticamente. Sin embargo, si la política incluida falla, el procesamiento continúa. 

Modificadores

Los modificadores determinan el marco funcional de un registro SPF. Consisten en pares de nombres o valores separados por el símbolo '=', que señalan información adicional. Se ven muchas veces al final del registro SPF, y todos los modificadores no reconocidos se ignoran en el proceso.

El modificador "redirect" dirige a otros registros SPF responsables de un funcionamiento eficaz. Los expertos los utilizan siempre que hay más de un dominio vinculado al mismo registro SPF. Este modificador debe utilizarse si una sola entidad controla todos los dominios; en caso contrario, se utiliza el modificador 'include'.

Calificadores

Cada mecanismo puede combinarse con uno de los cuatro calificadores.

'+' para el resultado PASS

'?' para un resultado NEUTRAL interpretado como la política NONE.

'~' para SOFTFAIL. Normalmente, los mensajes que devuelven un SOFTFAIL son aceptados pero etiquetados. 

'-' para FAIL, el correo electrónico es rechazado.

Conclusión

El SPF evita que los ciberataques se comprometan a utilizar el nombre y la reputación de su marca. Puede evitar que los correos electrónicos enviados por los hackers utilizando su dominio lleguen a su público objetivo. Esto funciona alistando y permitiendo que solo entidades de confianza envíen correos electrónicos utilizando su dominio. 

Después de comprender la estructura y los componentes del formato de registro SPF, puede utilizar la función Generador de registros SPF si aún no has implementado el protocolo.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• Puede Blockchain ayudar a mejorar la seguridad del correo electrónico? - 9 de mayo de 2024
• Proxies de centros de datos: Desvelando el caballo de batalla del mundo proxy - 7 de mayo de 2024
• Kimsuky explota las políticas DMARC "None" en recientes ataques de phishing - 6 de mayo de 2024