El SPF (Sender Policy Framework) es un modificador de registro que apunta a un nombre de dominio independiente que contiene un registro SPF. Los propietarios de dominios pueden configurar varios dominios para que hagan uso de un único registro SPF alojado en un dominio mediante la redirección SPF. Aunque puede parecer beneficioso en algunos aspectos, no lo recomendamos. Lea más para saber por qué.
Introducción al SPF y al modificador de redireccionamiento
SPF es el estándar de autenticación de correo electrónico que protege a su organización contra la suplantación de identidad y el spam manteniendo un registro de las partes autorizadas.
Mientras que el modificador de redirección SPF es opcional y sólo puede utilizarse una vez por registro SPF. Hay ciertos requisitos previos para utilizar la redirección SPF. Son los siguientes:
- Sólo tiene sentido cuando una organización trabaja con múltiples dominios
- Todos estos dominios deben compartir la misma infraestructura de correo electrónico
- El segundo dominio, que está siendo redirigido, debe tener un registro SPF válido
- Para utilizar la redirección SPF, el control de todos los dominios que participan en la cadena de redirección debe recaer en el propietario del dominio
¿Cómo funciona el modificador SPF Redirect?
Para entender mejor la funcionalidad de la redirección SPF, veamos el siguiente ejemplo:
Si el dominio_test.com tiene un registro SPF como
v=spf1 redirect=dominio_prueba2.com
Esto indica que el registro SPF para "dominio_prueba2.com" debe utilizarse en lugar de "dominio_prueba". Los correos del dominio_prueba serían entonces redirigidos utilizando "dominio_prueba2".
¿Cuándo se puede utilizar el modificador de redireccionamiento SPF?
1. Cuando un único registro se va a utilizar para varios dominios
Por ejemplo,
delaware.example.com. TXT "v=spf1 redirect=_spf.example1.com"
austin.example.com TXT "v=spf1 redirect=_spf.example1.com"
washington.example.com TXT "v=spf1 redirect=_spf.example1.com"
_spf.example.com. TXT "v=spf1 mx:ejemplo1.com -all"
En este ejemplo, cualquier correo procedente de los tres dominios anteriores será descrito por el mismo registro, en este caso, "_spf.ejemplo1.com", lo que proporciona a los usuarios una ventaja administrativa.
2. Cuando es necesario modificar el nombre del dominio.
Para todos los mecanismos, los valores "a", "mx" y "ptr" son opcionales. Si no se proporcionan valores específicos, se establecen en el dominio actual. Sin embargo, cuando se utiliza una "redirección", los mecanismos "a", "mx" y "ptr" apuntan al dominio redirigido.
Considere el siguiente ejemplo:
powerdmarc.com "v=spf1 a -all"
En este caso, el mecanismo "a" no tiene ningún valor especificado, por lo que apuntará al registro DNS 'A' de "powerdmarc.com", ya que es ahí donde se aloja el registro SPF tal y como se especifica en el ejemplo.
Ahora, considere el siguiente ejemplo:
powerdmarc.com "v=spf1 redirect=_spf.powerdmarc.com"
_spf.powerdmarc.com "v=spf1 a -all"
En el ejemplo anterior, el mecanismo "a" apunta al registro DNS 'A' de "_spf.powerdmarc.com", aunque el dominio raíz "powerdmarc.com" lo redirija.
Esta es una de las causas comunes de los problemas de validación de SPF y es difícil de depurar. Si su organización utiliza una "redirección" SPF, tenga en cuenta que si existe un mecanismo "a", "mx" o "ptr" sin un nombre de dominio definido explícitamente en su registro SPF redirigido, este solo apuntará al dominio redirigido.
Desventajas de utilizar el redireccionamiento SPF
1. El modificador "redirección" se suma al número de búsquedas de DNS
Cuando se utiliza la autenticación de correo electrónico SPF, cada vez que se envía un correo electrónico desde un dominio al dominio del destinatario, el servidor de correo electrónico del destinatario realiza solicitudes de consulta de DNS, también conocidas como búsquedas de DNS, para comprobar las direcciones IP autorizadas existentes en su DNS y compararlas con la dirección IP en el encabezado de la ruta de retorno del correo electrónico recibido. SPF RFC7208 limita el número máximo de estas búsquedas a 10.
Un modificador de "redirección", cuando se utiliza, también aumenta este recuento. Por lo tanto, su organización debe tener cuidado al utilizar un modificador de "redirección", ya que el límite de 10 búsquedas de DNS puede ser superado. Esto puede hacer que el SPF se rompa y provoque fallos de autenticación.
En PowerDMARC, nuestros usuarios configuran PowerSPF, que es una eficaz herramienta de aplanamiento del SPF para limitar el número de búsquedas y disfrutar de un SPF sin errores.
2. Se devuelve un resultado erróneo si no se ha definido una política SPF en los dominios que utilizan "redirect".
En caso de que incluya un dominio que no contenga un registro SPF o que tenga uno no válido, se devuelve un resultado softfail (ninguno) que no afecta al proceso de verificación.
Sin embargo, cuando se utiliza el modificador de redirección SPF, si el dominio redirigido contiene un registro no válido o faltante para SPF, se devuelve un resultado de SPF Permerror, que es un fallo duro y puede causar la ruptura de SPF.
Uso del mecanismo de inclusión del SPF en lugar del modificador de redirección del SPF
Recomendamos utilizar el mecanismo de inclusión del SPF en lugar del modificador de redirección para evitar algunas complicaciones comunes, que son las siguientes:
- Cuando se utiliza un mecanismo de redirección, éste denota el final del registro y no se pueden hacer más modificaciones. En cambio, si se utiliza un SPF include, se pueden hacer modificaciones en el registro y añadir más includes, a o mx según se quiera, ofreciendo así más flexibilidad.
- El mecanismo de inclusión puede ayudar a acortar su registro SPF para que esté por debajo del límite de longitud de caracteres del SPF. Puede crear un registro SPF TXT para cada uno de los dominios spfrecord1.xyz.com y spfrecord2.abc.com dividiendo el registro SPF originalmente único y largo e incluir ambos dominios en el registro TXT para uno de los dominios (por ejemplo: xyz.com).
- En caso de que no se encuentre no se encuentra ningún registro SPF en un dominio redirigido, la retención del estado de error (valor de permerror) para la redirección, como se ha mencionado anteriormente, también se puede evadir utilizando el mecanismo de inclusión, que devolverá un resultado de softfail en su lugar, con sus correos electrónicos aún siendo entregados.
- A diferencia de SPF include, que no tiene ningún efecto sobre el mecanismo all, el modificador SPF redirect instruye al servidor para que haga el SPF ~all para el dominio raíz mediante redirección como en el siguiente caso:
dominio1.com "v=spf1 redirect=_spf.dominio2.com"
_spf.dominio2.com "v=spf1 ip4:164.100.226.127 ~all
Esto se debe a que para cualquier registro que utilice redirección, el mecanismo "all" está ausente en primer lugar, lo que puede coexistir durante el uso de los mecanismos de inclusión. Por lo tanto, el conjunto "~all" para el subdominio redirigido se impone también en el dominio raíz.
Conclusión
Hay muchas cosas con las que hay que tener cuidado cuando se utiliza un modificador de "redirección" como el límite de 10 búsquedas de DNS, por lo que su organización debe tener cuidado al configurar su registro SPF. Su organización debe optimizar los registros SPF de vez en cuando asegurándose de que las búsquedas DNS están dentro del límite. Para todas las consultas relacionadas con el SPF de su organización, consulte PowerSPF. Lleva a cabo un aplanamiento automático y auto-actualiza los netblocks para asegurar que las IPs autorizadas estén siempre actualizadas y seguras. Además, no tiene que preocuparse por el permerror o la superación de los límites de búsqueda de DNS.
La mejor manera de asegurar sus correos electrónicos con SPF es implementarlo con DKIM y DMARC gratuito. Esto ayudará a proteger su organización contra el correo basura y los posibles intentos de spear-phishing. Eche un vistazo a PowerDMARC y asegúrese de que su organización utiliza un proveedor de servicios de tecnología DMARC anti-spoofing activo.
- SPF Softfail Vs Hardfail: ¿Cuál es la diferencia? - 26 de abril de 2024
- La FTC informa de que el correo electrónico es un medio popular para las estafas de suplantación de identidad - 16 de abril de 2024
- SubdoMailing y el auge del phishing de subdominios - 18 de marzo de 2024