Sintaxis del registro SPF

El registro Sender Policy Framework(SPF) es una parte importante del sistema de autenticación, notificación y conformidad de mensajes basado en el dominio (DMARC) que especifica un método para evitar la falsificación de direcciones de remitentes.

Los registros SPF son complejos de configurar y pueden surgir problemas de implementación si no se configuran correctamente. Además, la sintaxis de los registros SPF utiliza algunos términos específicos que pueden resultar confusos cuando se encuentran por primera vez. Por lo tanto, en esta entrada del blog, examinamos la sintaxis de los registros SPF y lo que debe tener en cuenta al configurarlos.

¿Qué es un registro SPF?

Un registro SPF es un tipo de registro DNS que identifica qué servidores están autorizados a enviar un correo electrónico en nombre de su dominio. Para ello, enumera los servidores que han sido autorizados a enviar correos electrónicos para su dominio; si cualquier otro servidor intenta enviar un correo electrónico en nombre de su dominio, será rechazado como remitente no autorizado.

El propósito de un registro SPF es evitar que usuarios malintencionados envíen mensajes de correo electrónico falsos con su dominio en el campo "De". Esto puede ocurrir si un atacante envía cantidades masivas de correos electrónicos no deseados desde su servidor suplantando o falsificando su dominio

¿Cómo funciona el FPS?

1. Creación de una sintaxis de registro SPF

Usted crea una sintaxis de registro SPF en su servidor DNS que especifica qué direcciones IP están autorizadas a enviar correos electrónicos desde su dominio. Esto significa que si alguien intentara enviar correos electrónicos falsos desde su dominio, sus mensajes fallarían porque la dirección IP de su servidor de correo no figuraría como uno de los servidores autorizados.

Por ejemplo, si quieres que sólo las cuentas de Gmail puedan enviar correo desde tu nombre de dominio, pero no las cuentas de Outlook, entonces añadirías la siguiente línea a tu registro SPF:

 v=spf1 a mx include:_spf.google.com ~all

 Esto indica a los servidores que cualquier mensaje enviado desde cualquier host cuya dirección IP termine en _spf.google.com debe considerarse válido (m), mientras que todos los demás mensajes deben descartarse (a). 

Puede utilizar nuestro generador de registros SPF para empezar a crear un registro gratuito.

2. Búsqueda de DNS

Cuando un remitente de correo electrónico intenta enviar un mensaje, el servidor del destinatario realiza una búsqueda de DNS en el dominio remitente para ver si hay un registro SPF, lo que se denomina "autenticación". Hay un límite de 10 búsquedas permitidas por consulta, cuyo exceso provoca error SPF.

Si no hay registro SPF, la autenticación falla y el mensaje no se entrega. Si hay un registro SPF, el servidor SPF comprueba las direcciones IP en el registro TXT en el nombre de host especificado en el registro SPF.

 Si no hay direcciones IP especificadas, fallará la autenticación. En caso contrario, realizará una consulta A para cada dirección IP especificada en el orden de aparición en el registro TXT.

La dirección IP que devuelva un código de resultado NXDOMAIN o NOERROR se considerará autorizada por el servidor SPF y su nombre de host se añadirá a una lista de hosts de envío autorizados para ese dominio.

3. Resultado de la autenticación

El servidor de correo entrega el mensaje al destinatario o lo marca para que sea rechazado en función de las reglas especificadas en el registro SPF.

Los resultados de la autenticación pueden adoptar tres formas: Aprobado, neutro o suspenso.

Aprobado significa que el servidor de correo acepta el mensaje como legítimo y permite su entrega. Neutral significa que no hay ningún registro o uno inválido para ese dominio en el DNS, por lo que no hay forma de saber si se trata o no de un mensaje legítimo de ese dominio. Fallo significa que algo en este mensaje no era lo suficientemente auténtico como para ser entregado.

Por ejemplo, un servidor de correo con la dirección IP '234.2.1.2' envía un correo electrónico desde '[email protected]'. El servidor de entrada consultará el servicio de nombres de dominio(DNS) para determinar si esta dirección IP está autorizada a enviar correos electrónicos en nombre del dominio 'apple.com'. Si es así, el mensaje se entregará; en caso contrario, se descartará o se marcará como spam, es decir, se clasificará según el mecanismo especificado en el registro SPF.

Sintaxis del registro SPF

La sintaxis del registro SPF se compone de varios elementos: directivas, calificadores y mecanismos.

Las directivas son la primera parte de la sintaxis de un registro SPF. Indican cómo interpretar el resto del registro. En un registro SPF pueden aparecer tres directivas: v=spf1, a y mx. La directiva v indica que este registro es un registro SPFv1; la directiva a indica que este registro es un informe de fallo de autenticación del estilo SPFv2; la directiva mx especifica una lista de servidores de intercambio de correo para un dominio.

Los calificadores especifican en qué lugar de su zona DNS desea colocar sus registros SPF: exim4, enduser o _spf. Estos calificadores indican a los receptores de correo dónde deben buscar sus registros SPF cuando los comprueban con sus registros DNS.

Los mecanismos se utilizan para indicar cómo desea tratar las direcciones de correo electrónico que no superan la comprobación SPF. Puede elegir entre varios mecanismos: todos, ninguno, softfail, neutralizar o rechazar.

  • todos aceptará todos los correos electrónicos de los remitentes que hayan pasado su comprobación SPF;
  • ninguno rechazará todo lo que provenga de remitentes que hayan pasado su comprobación SPF;
  • softfail aceptará los correos electrónicos de remitentes que no hayan superado una comprobación SPF, pero los marcará como sospechosos;
  • neutral indica que no rechazas ni aceptas los mensajes enviados desde tu dominio, es básicamente una postura de "no opinión" sobre si el mensaje debe ser aceptado o rechazado;
  • rechazar rechazará los correos electrónicos que no hayan superado la comprobación SPF.

Calificadores de la sintaxis del registro SPF

Los "calificadores" en la sintaxis de un registro SPF ayudan a indicar el alcance del registro SPF. Se utilizan principalmente para indicar si una dirección IP específica está autorizada o no a enviar correos electrónicos en nombre de su dominio.

Calificador Código de resultado Explicación
+ Pasar el único calificador sin connotación negativa. Indica que el registro de seguridad del nombre de dominio no contiene errores ni advertencias y se considera seguro.
- Falla indica que el registro de seguridad del nombre de dominio contiene errores o advertencias que impiden considerarlo seguro.

 

~ Softfail indica que el registro de seguridad del nombre de dominio contiene errores o advertencias que no impiden que se considere seguro, pero pueden indicar problemas con la resolución de DNS u otras cuestiones relacionadas con los anclajes de confianza de DNS.
? Neutral Indica que el dominio no tiene un registro SPF o que su registro era sintácticamente correcto pero no coincidía con ningún servidor de envío cuando se comprobaba con uno (o más) servidores de envío en su lista de direcciones IP de confianza para ese dominio.

Mecanismos de sintaxis del registro SPF 

Los mecanismos se utilizan en la sintaxis del registro SPF para indicar al servidor receptor qué tipo de mecanismo de autenticación debe utilizar. Hay dos tipos de mecanismos: 

  • el emisor puede especificar un conjunto concreto de mecanismos;
  • O puede especificar que todos los mecanismos están permitidos.
Mecanismo Propósito La directiva se aplica cuando Aplicación
a define el registro DNS A del dominio como autorizado. Si esta directiva no se especifica, se utiliza el dominio actual.

 

 

puede aplicarse cuando se consulta un registro A o AAAA en un dominio que contiene la dirección IP del remitente. a

a/<prefix-length>

a:<domain>

a:<domain>/<prefix-length>

todo La directiva all siempre coincide, y define la política para todas las demás fuentes. Este mecanismo debe aplicarse siempre, y este mecanismo siempre coincide. todo
existe Comprueba si un registro A es válido o no para un dominio determinado. Funciona mirando todos los registros A de ese dominio y viendo si alguno de ellos coincide con los criterios establecidos en su registro SPF. Se aplica cuando hay algún registro A en dicho dominio o si se autorizaron otros criterios, según RFC7208. exists:<domain>
incluye El propósito de este mecanismo es especificar el dominio y buscar una coincidencia, así como devolver un error permanente si el dominio no tiene un registro SPF válido. El mecanismo de "inclusión" en los registros SPF puede utilizarse para incluir otros registros SPF dentro del registro de un dominio. Si un dominio no tiene un registro SPF, pero otro dominio sí y ese otro dominio tiene una dirección IP que coincide con la dirección IP del remitente, entonces el mecanismo "include" hará que se utilice el dominio con la dirección IP coincidente a efectos de autorización.

 

include:<domain>
ip4 Puede especificar un rango de IPv4 con la directiva "ip4", junto con un prefijo que denote la longitud del rango. Si no se especifica ningún prefijo, se asume /32. El mecanismo "ip4" se aplicará si alguna de estas condiciones es cierta:

 

- La dirección IPv4 especificada coincide con la de una dirección IP de su registro SPF.

 

- La subred IPv4 especificada contiene la dirección IP del remitente.

ip4:<ip4-address>

ip4:<ip4-network>/<prefix-length>

ip6 Puede especificar un rango IPv6 con la directiva "ip4", junto con un prefijo que denote la longitud del rango. Si no se especifica ningún prefijo, se asume /128. El mecanismo "ip6" se aplicará si alguna de estas condiciones es cierta:

 

- La dirección IPv6 especificada coincide con la de una dirección IP de su registro SPF.

 

- La subred IPv6 especificada contiene la dirección IP del remitente.

ip6:<ip6-address>

ip6:<ip6-network>/<prefix-length>

mx El mecanismo "mx", tal y como se define en el registro SPF, define el registro de Intercambio de Correo (MX) del Sistema de Nombres de Dominio (DNS) de un dominio como autorizado. El registro DNS MX determina qué servidor es responsable de aceptar mensajes de correo electrónico en nombre del dominio. El registro DNS MX contiene una dirección IP y un valor de prioridad para cada servidor que puede utilizarse para aceptar mensajes.

 

Cuando un registro MX de un dominio contiene una dirección IP que coincide con la dirección IP del remitente, esto indica que este remitente está autorizado a enviar correos electrónicos en nombre de este dominio.

mx

mx/<prefix-length>

mx:<domain>

mx:<domain>/<prefix-length>

ptr El mecanismo ptr utiliza el nombre de host o subdominio inverso de la dirección IP de envío para definir el nombre de dominio de destino. Sólo se aplica si hay al menos un registro MX para el dominio consultado o especificado y ese registro MX contiene un registro PTR con un FQDN para la dirección IP del remitente. ptr

ptr:<domain>

Modificadores de la sintaxis del registro SPF

En la sintaxis del registro SPF, se pueden utilizar modificadores para cambiar el comportamiento por defecto de un registro SPF. Los modificadores pueden utilizarse para especificar excepciones a las reglas, o pueden utilizarse para proporcionar información adicional al receptor.

Modificador Propósito Aplicación
exp El modificador "exp" es un valor que especifica una explicación de por qué un mensaje fue rechazado. Está pensado para ayudar a los remitentes a evitar ciertos tipos de problemas, y puede utilizarse para informarles de la razón específica por la que su mensaje no fue aceptado por el servidor receptor. exp=<domain>
redirigir El modificador de redirección es una cadena que sustituye al nombre completo del dominio en el registro SPF. El propósito de este modificador es redirigir todo el correo enviado al dominio a otro servidor. Esto puede ser útil para los dominios con múltiples registros MX o para los dominios que han sido reasignados a otra empresa pero que siguen utilizando las mismas direcciones de correo electrónico. redirect=<domain>

Conclusión

El registro SPF es una parte importante de los registros DNS de su dominio. Indica a otros servidores de correo cómo autenticar los mensajes que dicen provenir de usted, lo que significa que es importante que tenga un registro SPF correctamente configurado. Sin embargo, asegúrese de combinar el SPF con el DMARC para mejorar la protección contra el compromiso del correo electrónico y la suplantación de identidad. 

La página web Herramienta de búsqueda de registros SPF puede ayudarle a hacerlo. La herramienta de búsqueda le dará una visión rápida de cómo es su registro SPF actual, incluyendo si le falta algún campo obligatorio.El generador le permitirá crear una sintaxis de registro SPF desde cero, completa con todos los campos requeridos para que se pueda añadir a sus registros DNS de inmediato.

Últimas publicaciones de Ahona Rudra (ver todas)