Aprender y aplicar los conceptos de SPF es importante para las empresas tecnológicas. Puede protegerlas contra riesgos potenciales de phishing, spamming, ataques BECetc. SPF o Sender Policy Framework funciona mediante el uso de un código SPF que incluye la sintaxis SPF.
En este blog se habla a grandes rasgos de la tabla de sintaxis SPF, los mecanismos SPF, los calificadores SPF y los modificadores SPF, todos ellos necesarios para conocer a fondo el concepto de autenticación de correo electrónico mediante protocolos técnicos.
Sintaxis SPF para Benginners
Un registro SPF es un registro DNS que incluye una lista de todas las direcciones IP autorizadas a enviar correos electrónicos utilizando su nombre de dominio oficial. Cuando un servidor fuera de la lista envía un correo electrónico utilizando el dominio, es tratado como no autorizado. Así, su entrada es rechazada por el buzón del destinatario. Esto protege el nombre de su empresa de verse involucrado en actividades maliciosas iniciadas por piratas informáticos.
Las empresas deben crear y comprobar los registros SPF para evitar ataques de phishing utilizando sus propios nombres de dominio. En 255 millones de ataques de phishing sólo en el primer semestre de 2022. Imagínese lo crucial que se ha vuelto implementar SPF y aprender sobre la sintaxis SPF.
Un registro SPF contiene instrucciones que dirigen al servidor del destinatario para que compruebe y valide los correos electrónicos recibidos de su dominio. También indica qué debe hacerse con los que no superan la autenticación. Un componente específico representa todas las instrucciones.
Vamos a desglosar cada elemento utilizando un ejemplo de registro SPF. Este es el aspecto de una sintaxis SPF.
v=spf1 ip4:123.1.5.0 ip4:100.5.2.1 include:exampledomain.com ~all
La función de cada elemento es la siguiente:
- v=spf1 especifica al servidor receptor sobre un registro SPF. Todos los registros SPF deben empezar así.
- La siguiente sección de esta sintaxis SPF indica las direcciones IP autorizadas a enviar correos electrónicos utilizando su dominio. En el ejemplo anterior, tenemos ip4:123.1.5.0 e ip4:100.5.2.1
- La sección 'include:exampledomain.com' del ejemplo anterior especifica los terceros autorizados a enviar correos electrónicos utilizando el dominio. La etiqueta 'include' indica a los servidores del destinatario que verifiquen el registro SPF del dominio incluido (exampledomain.com) en busca de direcciones IP que también estén autorizadas. Puede añadir varios dominios dentro de un registro SPF; sin embargo, deben ser válidos.
- El elemento -all indica a los servidores receptores que marquen los correos electrónicos como NO APTOS para SPF si se envían desde cualquier dominio o dirección IP fuera de la lista especificada en el registro SPF
Sintaxis SPF avanzada
Una tabla de sintaxis SPF se define mediante un registro DNS TXT con una única cadena de texto. Siempre comienza con el elemento 'v=' que especifica la versión SPF utilizada, y por ahora solo hay una versión.
Todos los registros SPF tienen sus términos específicos alistados que se comportan como reglas para los hosts a los que se les permite compartir mensajes utilizando el dominio oficial también puede mostrar alguna información extra.
En sintaxis avanzada de SPF desglosaremos los los siguientes tres componentes: Mecanismos SPF, Calificadores SPF y Modificadores SPF.
Mecanismos SPF
- TODOS: Siempre coincide y es el último mecanismo añadido al final de un registro SPF. Muestra resultados por defecto como '-all' para IPs no coincidentes.
- A: Indica un nombre de dominio con un registro AAAA o registro A como coincidencia, ya que clasifica la dirección del remitente. Se utiliza el dominio actual si no se especifica la sintaxis de este registro DNS SPF.
- ip4: Una coincidencia es positiva si un remitente está conectado al rango de direcciones ipv4 dado en el registro SPF. Se añade con un prefijo que especifica la longitud del rango. Se utiliza /32 cuando no hay prefijo.
- ip6: Una coincidencia es positiva cuando el remitente es aliado del rango de direcciones ipv6 especificado. Se añade con la directiva ip4 y un prefijo que indica la longitud del rango. Se utiliza /128 cuando no hay prefijo.
- MX: Permite remitentes con una dirección IP igual a la incluida en el registro MX especificado. Los registros MX constan de una dirección IP y un valor de prioridad para que cada servidor acepte mensajes.
- PTR: Especifica el dominio autorizado para ayudar a resolver direcciones IP a subdominios o dominios. Para todos los dominios o subdominios que coincidan exactamente, se realiza una búsqueda hacia delante para obtener la dirección IP.
Este mecanismo se considera lento y poco fiable, ya que requiere múltiples búsquedas. No se recomienda según las directrices RFC 7208.
- EXISTE: Realiza una búsqueda de registros DNS A para el dominio introducido. Una coincidencia es correcta cuando se encuentra un registro A válido, independientemente del resultado real de la búsqueda.
- INCLUYE: Autoriza a terceros remitentes de correo electrónico indicando sus dominios. Un remitente sólo está autorizado si su dirección IP coincide con las direcciones IP o los dominios facilitados en el registro SPF del dominio incluido.
Calificadores SPF
Cuando un mecanismo no tiene un calificador, y aún así hay una coincidencia correcta, la autenticación SPF pasa. Cada uno de los 8 mecanismos está asociado a uno de los cuatro calificadores que se mencionan a continuación.
Calificador | Resultado | Acción tomada por el servidor receptor |
+ | Pasar | El correo electrónico supera con éxito la autenticación SPF y el servidor puede intercambiar correos electrónicos. Los correos electrónicos se marcan como auténticos. Esta es la acción predeterminada que se aplica si no hay calificador. |
- | Falla | El correo falla la autenticación porque el servidor remitente no pertenece a la lista. El correo puede ser rechazado por el buzón del destinatario. |
~ | SoftFail | El buzón del destinatario acepta el mensaje; sin embargo, se marca como sospechoso y va a parar a la carpeta de spam. |
? | Neutral | El mensaje de correo electrónico no pasa ni falla la autenticación. La acción tomada no se especifica y el correo electrónico es aceptado por el receptor. |
Modificadores SPF
Los modificadores del SPD se encargan de determinar los parámetros de trabajo de una sintaxis del SPF. Incluyen pares de nombres o valores separados por el símbolo "=", que comparten detalles adicionales y excepciones a las reglas, si las hay.
Los modificadores aparecen una sola vez y sólo en la última sección de un registro SPF. Todos los modificadores no identificados se ignoran en el proceso. El modificador 'redirect' se utiliza para dirigir otros registros SPF para su autenticación. Se utiliza cuando se desea que más de un dominio tenga el mismo contenido de registro SPF.
El mecanismo 'include' se utiliza para dominios de terceros con permiso para enviar correos electrónicos en su nombre o utilizando su nombre comercial. El modificador "exp" especifica por qué el servidor receptor devuelve un calificador SPF incorrecto cuando coincide un mecanismo.
Directrices para los registros SPF
Tenga en cuenta lo siguiente al crear un registro SPF utilizando la tabla de sintaxis SPF.
- No se pueden alinear varios registros SPF para un mismo dominio.
- Un registro SPF no debe tener ninguna letra mayúscula; de lo contrario, vería errores.
- No debe haber más de 255 caracteres. Cualquier cadena que exceda este número resultará en una autenticación fallida.
- Borrar si hay mecanismos SPF que resuelven al mismo dominio.
- Elimine cualquier mecanismo SPF ip4 e ip6 que no esté en uso. Además, compruebe si puede fusionar algún rango de direcciones.
- Puede crear subdominios para almacenar la información SPF. Para ello, utilice '_spf.dominio.com'. Se recomienda para grandes empresas de TI, ya que tienen varias direcciones IP que añadir a un registro SPF.
- La botnet MikroTik aprovecha los errores de configuración de SPF para propagar malware - 17 de enero de 2025
- El correo no autenticado DMARC está prohibido [SOLUCIONADO] - 14 de enero de 2025
- ¿Cómo solucionar el error "La firma DKIM no es válida"? - 14 de enero de 2025