Comprender las limitaciones de SPF en la autenticación de correo electrónico

Marco de directivas del remitente o SPF no es suficiente cuando se trata de proteger los correos electrónicos corporativos del phishing y spamming spam. El límite de SPF en el número máximo de búsquedas DNS y la falta de alineación de la dirección del remitente y el dominio provocan errores de implementación que dan lugar a problemas de entregabilidad del correo electrónico. Este blog analiza estos problemas y cómo DMARC ayuda a superar estas limitaciones de SPF.

¿Cuáles son las limitaciones del registro SPF?

Hay 2 límites principales del SPF que lo hacen un poco complicado de implantar y mantener. 

1. El límite de búsqueda de 10 SPF

Cuando un usuario consulta el servidor DNS, se emplean los recursos de su validador, como ancho de banda, tiempo, CPU y memoria. Para evitar cualquier carga en el validador, hay un límite SPF de 10 búsquedas adicionales. Sin embargo, la consulta DNS para el propio registro de política SPF no cuenta para este límite.

Según RFC7208 sección 4.6.4el servidor de correo del destinatario no debería seguir procesando una vez alcanzado el límite de 10 búsquedas. En tal caso, el correo electrónico rechaza la validación SPF con un error Permerror. SPF Permerror es uno de los mensajes que suelen aparecer en el proceso de implementación de SPF. Provoca que no se entregue el correo electrónico y se produce si existen varios registros SPF en un dominio, aparece un error de sintaxis o debido a que se han superado los límites de registros SPF.

Puede utilizar el comprobador de registros SPF para eliminar este error y garantizar la seguridad de las conversaciones por correo electrónico.

Además, según la RFC, una consulta DNS de un nombre de host encontrado en un registro registro MX no debería generar más de 10 registros A o registros AAAA. Si una consulta DNS PTR genera más de 10 resultados, sólo se muestran y utilizan los 10 primeros.

2. La dirección del remitente legible por humanos

La segunda limitación de SPF es que los registros SPF se aplican a dominios específicos del remitente y no a la dirección del remitente. Los destinatarios no suelen prestar mucha atención a la dirección del remitente y sólo se fijan en la dirección del remitente cuando abren un correo electrónico. Los piratas informáticos se aprovechan de esta laguna para intentar realizar ataques de phishing falsificando la dirección del remitente.

El impacto del tamaño del registro SPF en la entrega del correo electrónico

Cuando un destinatario supera el límite de registros SPF, falla las comprobaciones SPF y se produce un Permerror. Puede observar este error al utilizar la supervisión DMARC. El destinatario puede elegir cómo tratar los correos electrónicos con fallo Permerror. Puede elegir que se rechace su entrada, lo que significa que el correo electrónico rebotará. Algunos destinatarios lo configuran para que muestre un resultado SPF "neutral" (como si no se utilizara SPF). También pueden elegir "fail" o "softfail", lo que significa que los correos electrónicos que no superan las comprobaciones de autenticación SPF no se rechazan, sino que van a parar a la carpeta de correo no deseado. 

Estos resultados también se determinan teniendo en cuenta los resultados de DMARC, DKIM y la clasificación de spam. Superar el límite SPF afecta a la entregabilidad del correo electrónico al reducir la probabilidad de que los mensajes lleguen a la bandeja de entrada principal de los destinatarios previstos.

El validador evalúa la política SPF de izquierda a derecha y cuando encuentra una coincidencia en la dirección IP del remitente, el proceso se detiene. Ahora, dependiendo del remitente, es posible que un validador no siempre alcance el límite de búsquedas aunque la política SPF exija más de 10 búsquedas para evaluarla por completo. Esto crea dificultades a la hora de identificar problemas de entregabilidad de correo electrónico relacionados con el límite de registros SPF. 

¿Cómo reducir el número de búsquedas necesarias?

Es difícil para algunos propietarios de dominios mantenerse dentro del límite SPF de 10 búsquedas, ya que los hábitos de intercambio de correo electrónico han cambiado significativamente desde 2006 (la época en que se implementó RFC4408). Ahora, las empresas utilizan varios programas y servicios basados en la nube con un único dominio. Por lo tanto, las siguientes son algunas formas de superar esta limitación SPF común.

• Eliminar servicios no utilizados

Evalúe su registro SF y compruebe si hay servicios no utilizados o no requeridos. Compruebe si aparece la etiqueta 'incluya' u otros mecanismos que muestren dominios de servicios que ya no se utilizan.

• Eliminar los valores SPF por defecto

La política SPF predeterminada suele ser 'v=spf1 a mx'. Dado que la mayoría de los registros A y AAAA se utilizan para servidores web que no pueden enviar correos electrónicos, por lo tanto, la política 'ay 'mx' no son necesarios.

• Evitar el uso de la función ptr Mecanismo

La dirección ptr es altamente desaconsejado debido a su débil seguridad y poca fiabilidad. El mecanismo causa el problema del límite SPF al requerir más búsquedas. Por lo tanto, debe evitarse en la medida de lo posible.

• Evitar el uso de mx Mecanismo

En mx se utiliza para recibir correos electrónicos, y no necesariamente para enviarlos. Por eso puede evitar utilizarlo para mantenerse dentro del límite de registros SPF establecido en las búsquedas. Si es usuario de un servicio de correo electrónico basado en la nube, utilice el mecanismo 'include en su lugar.

• Utilizar IPv6 o IPv4 

IPv4 e IPv6 no necesitan búsquedas adicionales, lo que significa que le ayudan a no superar el límite SPF de no más de 10 búsquedas. Sin embargo, es necesario actualizar y mantener los dos mecanismos con regularidad, ya que son más propensos a errores cuando no se reacondicionan.

• No aplaste los registros SPF

Algunos recursos afirman que cuanto más plana (o corta) sea la política SPF, mejor será la reputación del dominio. Sugieren este método para mantenerse dentro de los límites del registro SPF establecidos en las búsquedas. Sin embargo, se desaconseja el aplanamiento, ya que hace que el registro sea más propenso a errores y requiera actualizaciones periódicas. 

El papel de DMARC para superar las limitaciones de SPF

DMARC aborda la limitación de SPF de la dirección del remitente legible por humanos exigiendo una coincidencia o alineación entre el campo del remitente legible por humanos y el servidor autenticado por SPF.

Por lo tanto, si un correo electrónico pasa las comprobaciones SPF pero el dominio no coincide con la dirección del remitente, DMARC anula la autenticación. Esto significa que el correo electrónico no pasa la prueba de autenticación.

¿Cómo ayuda el aplanamiento de registros SPF a superar el límite de 10 búsquedas DNS?

Aplanamiento de registros SPF es una técnica utilizada para optimizar los registros SPF (Sender Policy Framework) con el fin de superar el límite de 10 consultas DNS para SPF. El límite de 10 consultas DNS es una restricción impuesta por muchos resolvedores DNS, que limita el número de consultas DNS que se pueden realizar al verificar un registro SPF para un dominio.

Cuando se recibe un correo electrónico, el servidor de correo del destinatario consulta en el DNS del dominio del remitente su registro SPF para verificar si el remitente está autorizado a enviar correos electrónicos desde ese dominio. Sin embargo, si el registro SPF contiene muchos includes anidados, puede superar rápidamente el límite de 10 consultas DNS, lo que provoca fallos en la verificación SPF y falsos positivos en las detecciones de spam.

Para superar esta limitación, se utiliza el aplanamiento de registros SPF. El aplanamiento de registros SPF es una técnica que sustituye todas las declaraciones include anidadas en un registro SPF por sus correspondientes direcciones IP o rangos CIDR. Esto reduce el número de consultas DNS necesarias para verificar el registro SPF, ya que cada dominio incluido ya no se consulta individualmente.

Al aplanar el registro SPF, se reduce significativamente el número de consultas DNS necesarias para verificar el registro SPF, lo que permite que los mensajes de correo electrónico pasen la verificación SPF aunque el registro original haya tenido más de 10 consultas DNS. Esta técnica también reduce el riesgo de fallos de validación del registro SPF debidos a tiempos de espera de las consultas DNS o problemas temporales del servidor DNS.

Retos de la implantación del SPF en las grandes empresas

SPF ha forzado la limitación de no más de 10 búsquedas para evitar ataques DoS y DDoS. Por desgracia, estas búsquedas pueden acumularse muy rápidamente, especialmente en las grandes empresas. Antes, las empresas gestionaban sus propios servidores de correo, pero ahora utilizan remitentes de terceros. Esto crea un problema, ya que cada uno puede ocupar hasta 3 o 4 servidores y se llega al límite muy rápidamente.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Director de Marketing Digital y Redacción de Contenidos en PowerDMARC

Ahona trabaja como responsable de marketing digital y redacción de contenidos en PowerDMARC. Es una apasionada escritora, bloguera y especialista en marketing de ciberseguridad y tecnologías de la información.

Últimas publicaciones de Ahona Rudra (ver todas)

• ¿Cómo autenticar correos electrónicos? - 28 de marzo de 2023
• ¿Cómo funciona el DNS? - 27 de marzo de 2023
• ¿Qué es el malware sin archivos? - 27 de marzo de 2023