Puestos

Comprender las limitaciones de SPF en la autenticación de correo electrónico

Marco de directivas del remitente o SPF no es suficiente cuando se trata de proteger los correos electrónicos corporativos del phishing y spamming spam. El límite de SPF en el número máximo de búsquedas DNS y la falta de alineación de la dirección del remitente y el dominio provocan errores de implementación que dan lugar a problemas de entregabilidad del correo electrónico. Este blog analiza estos problemas y cómo DMARC ayuda a superar estas limitaciones de SPF.

¿Cuáles son las limitaciones del registro SPF?

Hay 2 límites principales del SPF que lo hacen un poco complicado de implantar y mantener. 

1. El límite de búsqueda de 10 SPF

Cuando un usuario consulta el servidor DNS, se emplean los recursos de su validador, como ancho de banda, tiempo, CPU y memoria. Para evitar cualquier carga en el validador, hay un límite SPF de 10 búsquedas adicionales. Sin embargo, la consulta DNS para el propio registro de política SPF no cuenta para este límite.

Según RFC7208 sección 4.6.4el servidor de correo del destinatario no debería seguir procesando una vez alcanzado el límite de 10 búsquedas. En tal caso, el correo electrónico rechaza la validación SPF con un error Permerror. SPF Permerror es uno de los mensajes que suelen aparecer en el proceso de implementación de SPF. Provoca que no se entregue el correo electrónico y se produce si existen varios registros SPF en un dominio, aparece un error de sintaxis o debido a que se han superado los límites de registros SPF.

Puede utilizar el comprobador de registros SPF para eliminar este error y garantizar la seguridad de las conversaciones por correo electrónico.

Además, según la RFC, una consulta DNS de un nombre de host encontrado en un registro registro MX no debería generar más de 10 registros A o registros AAAA. Si una consulta DNS PTR genera más de 10 resultados, sólo se muestran y utilizan los 10 primeros.

2. La dirección del remitente legible por humanos

La segunda limitación de SPF es que los registros SPF se aplican a dominios específicos del remitente y no a la dirección del remitente. Los destinatarios no suelen prestar mucha atención a la dirección del remitente y sólo se fijan en la dirección del remitente cuando abren un correo electrónico. Los piratas informáticos se aprovechan de esta laguna para intentar realizar ataques de phishing falsificando la dirección del remitente.

El impacto del tamaño del registro SPF en la entrega del correo electrónico

Cuando un destinatario supera el límite de registros SPF, falla las comprobaciones SPF y se produce un Permerror. Puede observar este error al utilizar la supervisión DMARC. El destinatario puede elegir cómo tratar los correos electrónicos con fallo Permerror. Puede elegir que se rechace su entrada, lo que significa que el correo electrónico rebotará. Algunos destinatarios lo configuran para que muestre un resultado SPF "neutral" (como si no se utilizara SPF). También pueden elegir "fail" o "softfail", lo que significa que los correos electrónicos que no superan las comprobaciones de autenticación SPF no se rechazan, sino que van a parar a la carpeta de correo no deseado. 

Estos resultados también se determinan teniendo en cuenta los resultados de DMARC, DKIM y la clasificación de spam. Superar el límite SPF afecta a la entregabilidad del correo electrónico al reducir la probabilidad de que los mensajes lleguen a la bandeja de entrada principal de los destinatarios previstos.

El validador evalúa la política SPF de izquierda a derecha y cuando encuentra una coincidencia en la dirección IP del remitente, el proceso se detiene. Ahora, dependiendo del remitente, es posible que un validador no siempre alcance el límite de búsquedas aunque la política SPF exija más de 10 búsquedas para evaluarla por completo. Esto crea dificultades a la hora de identificar problemas de entregabilidad de correo electrónico relacionados con el límite de registros SPF. 

¿Cómo reducir el número de búsquedas necesarias?

Es difícil para algunos propietarios de dominios mantenerse dentro del límite SPF de 10 búsquedas, ya que los hábitos de intercambio de correo electrónico han cambiado significativamente desde 2006 (la época en que se implementó RFC4408). Ahora, las empresas utilizan varios programas y servicios basados en la nube con un único dominio. Por lo tanto, las siguientes son algunas formas de superar esta limitación SPF común.

  • Eliminar servicios no utilizados

Evalúe su registro SF y compruebe si hay servicios no utilizados o no requeridos. Compruebe si aparece la etiqueta 'incluya' u otros mecanismos que muestren dominios de servicios que ya no se utilizan.

  • Eliminar los valores SPF por defecto

La política SPF predeterminada suele ser 'v=spf1 a mx'. Dado que la mayoría de los registros A y AAAA se utilizan para servidores web que no pueden enviar correos electrónicos, por lo tanto, la política 'ay 'mx' no son necesarios.

  • Evitar el uso de la función ptr Mecanismo

La dirección ptr es altamente desaconsejado debido a su débil seguridad y poca fiabilidad. El mecanismo causa el problema del límite SPF al requerir más búsquedas. Por lo tanto, debe evitarse en la medida de lo posible.

  • Evitar el uso de mx Mecanismo

En mx se utiliza para recibir correos electrónicos, y no necesariamente para enviarlos. Por eso puede evitar utilizarlo para mantenerse dentro del límite de registros SPF establecido en las búsquedas. Si es usuario de un servicio de correo electrónico basado en la nube, utilice el mecanismo 'include en su lugar.

  • Utilizar IPv6 o IPv4 

IPv4 e IPv6 no necesitan búsquedas adicionales, lo que significa que le ayudan a no superar el límite SPF de no más de 10 búsquedas. Sin embargo, es necesario actualizar y mantener los dos mecanismos con regularidad, ya que son más propensos a errores cuando no se reacondicionan.

  • No aplaste los registros SPF

Algunos recursos afirman que cuanto más plana (o corta) sea la política SPF, mejor será la reputación del dominio. Sugieren este método para mantenerse dentro de los límites del registro SPF establecidos en las búsquedas. Sin embargo, se desaconseja el aplanamiento, ya que hace que el registro sea más propenso a errores y requiera actualizaciones periódicas. 

El papel de DMARC para superar las limitaciones de SPF

DMARC aborda la limitación de SPF de la dirección del remitente legible por humanos exigiendo una coincidencia o alineación entre el campo del remitente legible por humanos y el servidor autenticado por SPF.

Por lo tanto, si un correo electrónico pasa las comprobaciones SPF pero el dominio no coincide con la dirección del remitente, DMARC anula la autenticación. Esto significa que el correo electrónico no pasa la prueba de autenticación.

¿Cómo ayuda el aplanamiento de registros SPF a superar el límite de 10 búsquedas DNS?

Aplanamiento de registros SPF es una técnica utilizada para optimizar los registros SPF (Sender Policy Framework) con el fin de superar el límite de 10 consultas DNS para SPF. El límite de 10 consultas DNS es una restricción impuesta por muchos resolvedores DNS, que limita el número de consultas DNS que se pueden realizar al verificar un registro SPF para un dominio.

Cuando se recibe un correo electrónico, el servidor de correo del destinatario consulta en el DNS del dominio del remitente su registro SPF para verificar si el remitente está autorizado a enviar correos electrónicos desde ese dominio. Sin embargo, si el registro SPF contiene muchos includes anidados, puede superar rápidamente el límite de 10 consultas DNS, lo que provoca fallos en la verificación SPF y falsos positivos en las detecciones de spam.

Para superar esta limitación, se utiliza el aplanamiento de registros SPF. El aplanamiento de registros SPF es una técnica que sustituye todas las declaraciones include anidadas en un registro SPF por sus correspondientes direcciones IP o rangos CIDR. Esto reduce el número de consultas DNS necesarias para verificar el registro SPF, ya que cada dominio incluido ya no se consulta individualmente.

Al aplanar el registro SPF, se reduce significativamente el número de consultas DNS necesarias para verificar el registro SPF, lo que permite que los mensajes de correo electrónico pasen la verificación SPF aunque el registro original haya tenido más de 10 consultas DNS. Esta técnica también reduce el riesgo de fallos de validación del registro SPF debidos a tiempos de espera de las consultas DNS o problemas temporales del servidor DNS.

Retos de la implantación del SPF en las grandes empresas

SPF ha forzado la limitación de no más de 10 búsquedas para evitar ataques DoS y DDoS. Por desgracia, estas búsquedas pueden acumularse muy rápidamente, especialmente en las grandes empresas. Antes, las empresas gestionaban sus propios servidores de correo, pero ahora utilizan remitentes de terceros. Esto crea un problema, ya que cada uno puede ocupar hasta 3 o 4 servidores y se llega al límite muy rápidamente.

/por

¿Cómo optimizar el registro SPF?

En este artículo, exploraremos cómo optimizar el registro SPF fácilmente para su dominio. Tanto las empresas como los pequeños negocios que poseen un dominio de correo electrónico para enviar y recibir mensajes entre sus clientes, socios y empleados, es muy probable que exista un registro SPF por defecto, que ha sido configurado por su proveedor de servicios de bandeja de entrada. No importa si tiene un registro SPF preexistente o si necesita crear uno nuevo, debe optimizar su registro SPF correctamente para su dominio con el fin de garantizar que no cause problemas de entrega de correo electrónico.

Algunos destinatarios de correo electrónico exigen estrictamente el SPF, lo que indica que si no tiene un registro SPF publicado para su dominio sus correos electrónicos pueden ser marcados como spam en la bandeja de entrada de su receptor. Además, el SPF ayuda a detectar fuentes no autorizadas que envían correos electrónicos en nombre de su dominio.

Entendamos primero qué es el FPS y por qué se necesita.

Marco de la política de remitentes (SPF)

SPF es esencialmente un protocolo de autenticación de correo electrónico estándar que especifica las direcciones IP que están autorizadas a enviar correos electrónicos desde su dominio. Funciona comparando las direcciones de los remitentes con la lista de hosts de envío autorizados y las direcciones IP para un dominio específico que se publica en el DNS para ese dominio.

SPF, junto con DMARC (Domain-based Message Authentication, Reporting and Conformance) está diseñado para detectar direcciones de remitente falsas durante la entrega del correo electrónico y prevenir ataques de spoofing, phishing y estafas por correo electrónico.

Es importante saber que, aunque el SPF por defecto integrado en su dominio por su proveedor de alojamiento asegura que los correos electrónicos enviados desde su dominio se autentifiquen contra el SPF, si tiene varios proveedores de terceros para enviar correos electrónicos desde su dominio, este registro SPF preexistente debe ser adaptado y modificado para ajustarse a sus necesidades. ¿Cómo puede hacerlo? Exploremos dos de las formas más comunes:

  • Creación de un nuevo registro SPF
  • Optimizar un registro SPF existente

Instrucciones para optimizar el registro SPF

Crear un nuevo registro SPF

Crear un registro SPF es simplemente publicar un registro TXT en el DNS de su dominio para configurar el SPF para su dominio. Este es un paso obligatorio que viene antes de empezar a optimizar el registro SPF. Si está empezando con la autenticación y no está seguro de la sintaxis, puede utilizar nuestro generador de registros SPF en línea gratuito para crear un registro SPF para su dominio.

Una entrada de registro SPF con una sintaxis correcta tendrá el siguiente aspecto:

v=spf1 ip4:38.146.237 include:ejemplo.com -all

v=spf1Especifica la versión de SPF que se está utilizando
ip4/ip6Este mecanismo especifica las direcciones IP válidas que están autorizadas a enviar correos electrónicos desde su dominio.
incluyeEste mecanismo indica a los servidores receptores que incluyan los valores del registro SPF del dominio especificado.
-todosEste mecanismo especifica que los correos electrónicos que no sean compatibles con SPF serán rechazados. Esta es la etiqueta recomendada que puede utilizar al publicar su registro SPF. Sin embargo, puede sustituirse por ~ para SPF Soft Fail (los correos electrónicos no conformes se marcarían como soft fail, pero seguirían siendo aceptados) o por +, que especifica que todos y cada uno de los servidores podrán enviar correos electrónicos en nombre de su dominio, lo que se desaconseja totalmente.

Si ya tiene configurado el SPF para su dominio, también puede utilizar nuestro comprobador de registros SPF gratuito para buscar y validar su registro SPF y detectar problemas.

Desafíos y errores comunes al configurar el SPF

1) Límite de 10 búsquedas de DNS 

El reto más común al que se enfrentan los propietarios de dominios al configurar y adoptar el protocolo de autenticación SPF para su dominio, es que SPF viene con un límite en el número de búsquedas de DNS, que no puede exceder de 10. Para los dominios que dependen de varios proveedores de terceros, el límite de 10 búsquedas DNS se excede fácilmente, lo que a su vez rompe el SPF y devuelve un SPF PermError. El servidor receptor en estos casos invalida automáticamente su registro SPF y lo bloquea.

Mecanismos que inician las búsquedas de DNS: MX, A, INCLUDE, modificador REDIRECT

2) Búsqueda de vacíos en el FPS 

Las búsquedas nulas se refieren a las búsquedas de DNS que devuelven una respuesta NOERROR o NXDOMAIN (respuesta nula). Al implementar el SPF, se recomienda asegurarse de que las búsquedas de DNS no devuelvan una respuesta nula en primer lugar.

3) Bucle recursivo SPF

Este error indica que el registro SPF del dominio especificado contiene problemas de recursividad con uno o varios de los mecanismos INCLUDE. Esto tiene lugar cuando uno de los dominios especificados en la etiqueta INCLUDE contiene un dominio cuyo registro SPF contiene la etiqueta INCLUDE del dominio original. Esto conduce a un bucle interminable que hace que los servidores de correo electrónico realicen continuamente búsquedas de DNS para los registros SPF. En última instancia, esto hace que se supere el límite de 10 búsquedas de DNS, lo que hace que los correos electrónicos fallen el SPF.

4) Errores de sintaxis 

Un registro SPF puede existir en el DNS de su dominio, pero no sirve de nada si contiene errores de sintaxis. Si su registro SPF TXT contiene espacios en blanco innecesarios al escribir el nombre del dominio o el nombre del mecanismo, la cadena que precede al espacio extra sería completamente ignorada por el servidor receptor al realizar una búsqueda, invalidando así el registro SPF.

5) Múltiples registros SPF para el mismo dominio

Un mismo dominio sólo puede tener una entrada SPF TXT en el DNS. Si su dominio contiene más de un registro SPF, el servidor receptor los invalida todos, haciendo que los correos electrónicos no pasen el SPF.

6) Longitud del registro SPF 

La longitud máxima de un registro SPF en el DNS está limitada a 255 caracteres. Sin embargo, este límite puede superarse y un registro TXT para SPF puede contener varias cadenas concatenadas, pero no más allá de un límite de 512 caracteres, para ajustarse a la respuesta de consulta del DNS (según el RFC 4408). Aunque esto se revisó más tarde, los destinatarios que dependen de versiones de DNS más antiguas no podrían validar los correos electrónicos enviados desde dominios que contienen un registro SPF largo.

Optimizar su registro SPF

Para modificar rápidamente su registro SPF puede utilizar las siguientes prácticas recomendadas de SPF:

  • Intente escribir sus fuentes de correo electrónico en orden decreciente de importancia de izquierda a derecha en su registro SPF
  • Elimine las fuentes de correo electrónico obsoletas de su DNS
  • Utilizar mecanismos IP4/IP6 en lugar de A y MX
  • Mantenga el número de mecanismos INCLUDE lo más bajo posible y evite los includes anidados
  • No publique más de un registro SPF para el mismo dominio en su DNS
  • Asegúrese de que su registro SPF no contiene espacios en blanco redundantes ni errores de sintaxis

Nota: No se recomienda aplanar el SPF, ya que no es algo que se haga una sola vez. Si su proveedor de servicios de correo electrónico cambia su infraestructura, tendrá que cambiar sus registros SPF en consecuencia, cada vez.

Optimizar su registro SPF es fácil con PowerSPF

Puede seguir adelante e intentar implementar todas las modificaciones mencionadas anteriormente para optimizar su registro SPF manualmente, o puede olvidarse de las molestias y confiar en nuestro dinámico PowerSPF para que haga todo eso por usted automáticamente. PowerSPF le ayuda a optimizar su registro SPF con un solo clic, en el que puede:

  • Añadir o eliminar fuentes de envío con facilidad
  • Actualice los registros fácilmente sin tener que hacer cambios manuales en sus DNS
  • Obtenga un registro SPF automático optimizado con un solo clic
  • Manténgase por debajo del límite de 10 búsquedas de DNS en todo momento
  • Mitigar con éxito PermError
  • Olvídese de los errores de sintaxis del registro SPF y de los problemas de configuración
  • Le quitamos la carga de resolver las limitaciones del FPS en su nombre

Regístrese en PowerDMARC hoy mismo y diga adiós a las limitaciones del FPS para siempre.  

/por