• Comprender las limitaciones de SPF en la autenticación de correo electrónico

Comprender las limitaciones de SPF en la autenticación de correo electrónico

Blog

El límite de SPF en el número máximo de búsquedas en el sistema de nombres de dominio y la desalineación de la dirección del remitente y el dominio pueden causar errores de implementación.

por Ahona Rudra

Tiempo de lectura: 7 min
Comprender las limitaciones de SPF en la autenticación de correo electrónico
Índice-

Marco de directivas del remitente o SPF no es suficiente cuando se trata de proteger los correos electrónicos corporativos del phishing y spamming spam. SPF es un protocolo de autenticación de correo electrónico que protege al receptor de correos falsos comprobando si la dirección IP de envío está autorizada en el registro DNS del dominio. Sin embargo, el límite de SPF en el número máximo de búsquedas DNS y la falta de alineación de la dirección del remitente y el dominio provocan errores de implementación que dan lugar a problemas de entregabilidad del correo electrónico. DMARC se basa en SPF (y DKIM) para proporcionar una mayor seguridad e información. Este blog analiza estos problemas de SPF y cómo DMARC ayuda a superar estas limitaciones de SPF.

Puntos clave

  1. SPF tiene un límite de 10 búsquedas, que puede provocar fallos de validación (Permerror) y problemas de entrega si se supera.
  2. SPF comprueba el dominio Return-Path, no la dirección visible From, lo que permite a los atacantes falsear la identidad del remitente.
  3. La autenticación SPF puede fallar cuando se reenvían correos electrónicos, ya que la IP del servidor de reenvío no suele figurar en el registro del remitente original.
  4. DMARC supera las limitaciones de SPF al imponer la alineación entre la dirección del remitente y el dominio autenticado, y proporciona informes para la visibilidad de los canales de correo electrónico.
  5. Optimizar los registros SPF eliminando los mecanismos no utilizados o utilizando el aplanamiento SPF puede ayudar a mantenerse dentro del límite de búsqueda.

¿Cuáles son las limitaciones del registro SPF?

Existen 3 límites principales del SPF que lo hacen un poco complicado de implantar y mantener.

1. El límite de búsqueda de 10 SPF

Cuando un usuario consulta el servidor DNS, se emplean los recursos de su validador, como ancho de banda, tiempo, CPU y memoria. Para evitar cualquier carga en el validador, hay un límite SPF de 10 búsquedas adicionales. Sin embargo, la consulta DNS para el propio registro de política SPF no cuenta para este límite.

Según RFC7208 sección 4.6.4el servidor de correo del destinatario no debería seguir procesando una vez alcanzado el límite de 10 búsquedas. En tal caso, el correo electrónico rechaza la validación SPF con un error Permerror. SPF Permerror es uno de los mensajes que suelen aparecer en el proceso de implementación de SPF. Provoca que no se entregue el correo electrónico y se produce si existen varios registros SPF en un dominio, aparece un error de sintaxis o debido a que se han superado los límites de registros SPF. Cuando se supera este límite, la implementación SPF se considera no válida y su correo electrónico falla SPF, lo que puede perjudicar sus índices de entrega de correo electrónico.

Puede utilizar el comprobador de registros SPF para eliminar este error y garantizar la seguridad de las conversaciones por correo electrónico.

Además, según la RFC, una consulta DNS de un nombre de host encontrado en un registro registro MX no debería generar más de 10 registros A o registros AAAA. Si una consulta DNS PTR genera más de 10 resultados, sólo se muestran y utilizan los 10 primeros.

2. La dirección del remitente legible por humanos

La segunda limitación de SPF es que los registros SPF se aplican a dominios Return-Path específicos (también conocidos como remitente del sobre o MFrom) y no a la dirección From (remitente del encabezado o dirección From) que los destinatarios ven en sus clientes de correo electrónico. Por lo general, los destinatarios no prestan mucha atención a la dirección Return-Path oculta y sólo se centran en la dirección From visible cuando abren un correo electrónico. Los piratas informáticos se aprovechan de esta laguna para intentar ataques de phishing utilizando un dominio falso en su dirección Return Path (que pasa el SPF) y falsificando la dirección From con una legítima o de apariencia legítima. Dado que la mayoría de la gente no es consciente de la dirección Return Path y no la comprueba, este truco permite a los atacantes eludir fácilmente la protección SPF.

3. Problemas de reenvío de correo electrónico

SPF tiene otro punto crítico de fallo que puede dañar la entregabilidad del correo electrónico. Cuando ha implementado SPF en su dominio y alguien reenvía su correo electrónico, el correo reenviado puede ser rechazado debido a su política SPF. Esto se debe a que el proceso de reenvío cambia el servidor que envía el mensaje (y su dirección IP), pero la dirección del remitente original suele seguir siendo la misma. El servidor receptor ve la dirección del remitente original, pero comprueba la dirección IP del servidor *reenviador* en el registro SPF del remitente original. Dado que la dirección IP del servidor de reenvío no suele estar incluida en el registro SPF del remitente original, la comprobación falla, lo que puede provocar que el correo electrónico reenviado sea rechazado o marcado como spam.

 

¡Simplifique la seguridad con PowerDMARC!

Prueba de 15 díasAgendar demo

El impacto del tamaño del registro SPF en la entrega del correo electrónico

Cuando un destinatario supera el límite de registros SPF, falla las comprobaciones SPF y se produce un Permerror. Puede observar este error al utilizar la supervisión DMARC. El destinatario puede elegir cómo tratar los correos electrónicos que tienen un fallo Permerror. Puede elegir que se rechace su entrada, lo que significa que el correo electrónico rebotará. Algunos destinatarios lo configuran para que muestre un resultado SPF "neutral" (como si no se utilizara SPF). También pueden elegir "fail" o "softfail", lo que significa que los correos electrónicos que no superan las comprobaciones de autenticación SPF no son rechazados, sino que van a parar a la carpeta de correo no deseado. 

Estos resultados también se determinan teniendo en cuenta los resultados de DMARC, DKIM y la clasificación de spam. Superar el límite SPF afecta a la entregabilidad del correo electrónico al reducir la probabilidad de que los mensajes lleguen a la bandeja de entrada principal de los destinatarios previstos.

El validador evalúa la política SPF de izquierda a derecha y cuando encuentra una coincidencia en la dirección IP del remitente, el proceso se detiene. Ahora, dependiendo del remitente, es posible que un validador no siempre alcance el límite de búsquedas aunque la política SPF exija más de 10 búsquedas para evaluarla por completo. Esto crea dificultades a la hora de identificar problemas de entregabilidad de correo electrónico relacionados con el límite de registros SPF. 

¿Cómo reducir el número de búsquedas necesarias?

Es difícil para algunos propietarios de dominios mantenerse dentro del límite SPF de 10 búsquedas, ya que los hábitos de intercambio de correo electrónico han cambiado significativamente desde 2006 (la época en que se implementó RFC4408). Ahora, las empresas utilizan varios programas y servicios basados en la nube con un único dominio. Por lo tanto, las siguientes son algunas formas de superar esta limitación SPF común.

  • Eliminar servicios no utilizados

Evalúe su registro SF y compruebe si hay servicios no utilizados o no requeridos. Compruebe si aparece la etiqueta 'incluya' u otros mecanismos que muestren dominios de servicios que ya no se utilizan.

  • Eliminar los valores SPF por defecto

La política SPF predeterminada suele ser 'v=spf1 a mx'. Dado que la mayoría de los registros A y AAAA se utilizan para servidores web que no pueden enviar correos electrónicos, por lo tanto, la política 'ay 'mx' no son necesarios.

  • Evitar el uso de la función ptr Mecanismo

La dirección ptr es altamente desaconsejado debido a su débil seguridad y poca fiabilidad. El mecanismo causa el problema del límite SPF al requerir más búsquedas. Por lo tanto, debe evitarse en la medida de lo posible.

  • Evitar el uso de mx Mecanismo

En mx se utiliza para recibir correos electrónicos, y no necesariamente para enviarlos. Por eso puede evitar utilizarlo para mantenerse dentro del límite de registros SPF establecido en las búsquedas. Si es usuario de un servicio de correo electrónico basado en la nube, utilice el mecanismo 'include en su lugar.

  • Utilizar IPv6 o IPv4 

IPv4 e IPv6 no necesitan búsquedas adicionales, lo que significa que le ayudan a no superar el límite SPF de no más de 10 búsquedas. Sin embargo, es necesario actualizar y mantener los dos mecanismos con regularidad, ya que son más propensos a errores cuando no se reacondicionan.

  • Considere la posibilidad de aplanar los registros SPF

Algunos recursos afirman que cuanto más plana (o corta) sea la política SPF, mejor será la reputación del dominio. Sugieren este método para mantenerse dentro de los límites de registros SPF establecidos en las búsquedas. El aplanamiento consiste en sustituir mecanismos como "include" por las direcciones IP reales a las que resuelven, lo que reduce directamente el número de búsquedas DNS necesarias durante la validación. Sin embargo, el acoplamiento requiere una gestión cuidadosa; si las direcciones IP detrás de un servicio incluido cambian, el registro acoplado queda obsoleto y debe actualizarse manualmente para evitar que los correos electrónicos legítimos no pasen las comprobaciones SPF. Las herramientas automáticas de acoplamiento SPF pueden ayudar a gestionar este proceso.

El papel de DMARC para superar las limitaciones de SPF

DMARC aborda la limitación de SPF de la dirección del remitente legible por humanos exigiendo una coincidencia o alineación entre el dominio del campo del remitente legible por humanos y el dominio autenticado por SPF (el dominio de la ruta de retorno).

Por lo tanto, si un correo electrónico pasa las comprobaciones SPF (lo que significa que la IP remitente está autorizada para el dominio de la ruta de retorno) pero el dominio de la ruta de retorno no es el mismo que el dominio de la dirección del remitente, la alineación DMARC para SPF falla. Para que un correo electrónico pase el DMARC en general, debe pasar la alineación SPF *con* o la alineación DKIM *con*. Esto evita la táctica común de phishing en la que se falsifica la dirección del remitente mientras que la ruta de retorno pasa SPF. DMARC también introduce funciones de generación de informes, que proporcionan a los propietarios de dominios información sobre los correos electrónicos que afirman proceder de su dominio, incluidos los resultados de autenticación (SPF, DKIM, DMARC, alineación) e información sobre las fuentes de envío. Esta visibilidad ayuda a identificar errores de configuración, problemas de reenvío e intentos maliciosos de suplantación de identidad.

¿Cómo ayuda el aplanamiento de registros SPF a superar el límite de 10 búsquedas DNS?

Aplanamiento de registros SPF es una técnica utilizada para optimizar los registros SPF (Sender Policy Framework) con el fin de superar el límite de 10 consultas DNS para SPF. El límite de 10 consultas DNS es una restricción impuesta por muchos resolvedores DNS, que limita el número de consultas DNS que se pueden realizar al verificar un registro SPF para un dominio.

Cuando se recibe un correo electrónico, el servidor de correo del destinatario consulta el DNS del dominio del remitente en busca de su registro SPF para verificar si el remitente está autorizado a enviar correos electrónicos desde ese dominio. Los registros SPF suelen utilizar mecanismos como "include", "a", "mx" y "ptr" que requieren búsquedas en el DNS. Si el registro SPF contiene muchos mecanismos de este tipo, especialmente includes anidados (donde el registro SPF de un dominio incluido también contiene includes), puede superar rápidamente el límite de 10 búsquedas DNS, lo que provoca fallos de verificación SPF (Permerror) y posibles problemas de entrega del correo electrónico.

Para superar esta limitación, se utiliza el aplanamiento de registros SPF. El aplanamiento de registros SPF es una técnica que sustituye los mecanismos de búsqueda (principalmente "include", pero potencialmente "a" y "mx" también) en un registro SPF por sus correspondientes direcciones IP o rangos CIDR. Esto reduce el número de consultas DNS necesarias para verificar el registro SPF, ya que las direcciones IP se enumeran directamente en lugar de necesitar búsquedas adicionales.

Al aplanar el registro SPF, se reduce significativamente el número de consultas DNS necesarias para verificar el registro SPF, lo que permite que los mensajes de correo electrónico pasen la verificación SPF incluso si la estructura original del registro hubiera dado lugar a más de 10 consultas DNS. Esta técnica ayuda a evitar los permerrores SPF y reduce el riesgo de fallos en la validación de registros SPF debidos a tiempos de espera en las consultas DNS o problemas temporales del servidor DNS. Sin embargo, como se mencionó anteriormente, los registros aplanados requieren mantenimiento para seguir siendo precisos cuando cambian las direcciones IP subyacentes.

Retos de la implantación del SPF en las grandes empresas

SPF ha forzado la limitación de no más de 10 búsquedas para evitar ataques DoS y DDoS contra la infraestructura DNS durante la validación SPF. Por desgracia, estas búsquedas pueden acumularse muy rápidamente, especialmente en las grandes empresas. Anteriormente, las empresas solían operar sus propios servidores de correo, pero ahora dependen en gran medida de numerosos remitentes de terceros para marketing, correos electrónicos transaccionales, CRM, sistemas de soporte, etc. Cada servicio de terceros suele requerir un mecanismo de "inclusión" en el registro SPF, que cuenta como una búsqueda, y sus propios registros SPF pueden contener más búsquedas. Esto crea un problema, ya que la adición de varios servicios puede hacer que el dominio alcance o supere rápidamente el límite de 10 búsquedas, lo que provoca los problemas de Permerror descritos anteriormente. Gestionar estas numerosas fuentes y mantenerse dentro del límite al tiempo que se garantiza que todo el correo legítimo está autorizado se convierte en un reto importante.

Últimas publicaciones de Ahona Rudra (ver todas)
¿Cómo introducir valores TXT en Google Cloud DNS?Cómo introducir valores TXT en Google Cloud DNSQué es el malware como servicio MaaSMalware como servicio (MaaS): ¿Qué es y cómo prevenirlo?