Puestos

Cada En 39 segundos se produce un ciberataque en todo el mundola mayoría de los cuales pueden ser perpetrados a través del correo electrónico. El SPF ayuda a autorizar a sus remitentes para que su dominio no pueda ser manipulado por un tercer remitente de correo electrónico no autorizado. Para configurar SPF es el DNS, primero debe saber qué es el registro SPF en el DNS.

SPF o Sender Policy Framework es un protocolo de autenticación de correo electrónico que permite sólo a determinadas IPs enviar correos electrónicos utilizando un nombre de dominio. Cualquier dirección IP fuera de la lista no llegará al buzón del receptor, ya que provoca un fallo de SPF.

Protege sus dominios de correo electrónico de los hackers para evitar ataques de phishing, spam y suplantación de identidad. Las técnicas de autenticación de correo electrónico como el SPF son ideales para mantener su dominio de correo electrónico protegido. Su estructura tiene 3 componentes principales: mecanismo, modificadores y calificadores. 

En este blog se hablará de lo que es el registro SPF en DNS y mucho más.

¿Qué es un registro SPF en DNS?

SPF es la abreviatura de Sender Policy Framework, un registro DNS TXT con una lista de servidores autorizados a enviar correos electrónicos desde un determinado dominio. Funciona cuando los propietarios de los dominios actualizan textos arbitrarios en el DNS o Sistema de Nombres de Dominio para rastrear y regular los respectivos nombres de dominio. 

Para entender el registro SPF de DNS, veamos rápidamente qué es el DNS.

Es un sistema que traduce el nombre de host de un ordenador en una dirección IP en Internet. Todos los dispositivos con acceso a Internet tienen su dirección IP, que ayuda a otros dispositivos a localizarlos. 

Ahora, volvamos a la pregunta principal, "¿qué es un registro SPF?". Digamos que si su empresa utiliza varias IPs de envío, puede utilizar el programa gratuito de PowerDMARC Generador de registros SPF para crear un inventario de IPs autorizadas en forma de un documento TXT llamado registro SPF para autenticar las IPs genuinas que pueden utilizar su nombre de dominio.

¿Cómo funcionan los registros SPF?

Hasta ahora, hemos hablado de lo que es el registro SPF en DNS, ahora es el momento de entender cómo funciona. El proceso de autenticación comienza después de generar un registro SPF para su dominio. La dirección de correo electrónico del camino de retorno se comprueba en el extremo del receptor. La dirección de correo electrónico de la ruta de retorno se establece en la cabecera del correo electrónico, que define cómo manejar los correos electrónicos devueltos. Se verifica si la dirección de correo electrónico remitente está o no alojada en los registros SPF.

Si la aprobación es positiva, los correos electrónicos se envían a la "bandeja de entrada"; de lo contrario, puede producirse Fallo SPF.

Estructura y componentes del registro SPF

El registro SPF del DNS hace que su dominio sea creíble, digno de confianza y, en consecuencia, mantiene la imagen de su empresa. Hay una estructura de registro SPF adecuada que ayuda a mantenerlo fácilmente. Los registros SPF tienen un tipo de registro TXT, que es una sola cadena de texto.

Un registro DNS SPF comienza con el elemento 'v=', que indica la versión utilizada. 'SPF1' es la versión más común entendida por los intercambios de correo. Los siguientes términos determinan los mecanismos para verificar si un dominio puede o no enviar correos electrónicos.

Mecanismos

Estos son los ocho mecanismos

  1. ALL: Siempre coincide. Muestra resultados por defecto como '-all' para las IPs que no coinciden.
  2. A: El nombre de dominio con registro de dirección A o AAAA coincide con la dirección del remitente.
  3. IP4: La coincidencia es exitosa cuando el remitente está vinculado al rango de direcciones IPv4 indicado.
  4. IP6: La coincidencia es exitosa si el remitente pertenece al rango de direcciones IPv6 indicado.
  5. MX: La dirección de correo electrónico del remitente está autorizada cuando su nombre de dominio consta de un registro MX para su resolución.
  6. PTR: La coincidencia se valida cuando el registro PTR está vinculado a un determinado dominio que resuelve la dirección del cliente. No se sugiere, ya que puede bloquear todos los correos electrónicos enviados con su dominio.
  7. EXISTE: Funciona si el nombre de dominio dado está validado. Este mecanismo SPF funciona con todas las direcciones resueltas.
  8. INCLUIR: Hace referencia a otras políticas de dominio. Por lo tanto, si pasa, pasa automáticamente. Sin embargo, si la política incluida falla, el procesamiento continúa.

Modificadores

Los modificadores deciden los parámetros de trabajo del registro SPF de DNS. Consisten en pares de nombres o valores separados por el símbolo "=", que señalan información adicional. Se presencian varias veces al final del registro SPF, y todos los modificadores no reconocidos se ignoran en el proceso.

El modificador "redirect" dirige a otros registros SPF responsables de un funcionamiento eficaz. Los expertos los utilizan cuando hay más de un dominio vinculado al mismo registro SPF. Este modificador debe utilizarse si una sola entidad controla todos los dominios, de lo contrario se utiliza el modificador 'include'.

Calificadores

Cada mecanismo puede combinarse con uno de los cuatro calificadores.

'+' para el resultado PASS

'?' para un resultado NEUTRAL interpretado como la política NONE.

'~' para SOFTFAIL. Normalmente, los mensajes que devuelven un SOFTFAIL son aceptados pero etiquetados.

'-' para FAIL, el correo electrónico es rechazado.

¿Por qué se utilizan los registros SPF?

Las siguientes son las principales razones para saber qué es el registro SPF en DNS y su uso.

Evitar los ciberataques

Los actores maliciosos envían correos electrónicos no autentificados y fraudulentos utilizando su nombre de dominio para ganarse la confianza de sus clientes, prospectos, partes interesadas, etc. Crean direcciones de correo electrónico de empresa utilizando su dominio para intentar el phishing, el spam, la suplantación de correo electrónico y otros ciberataques. 

Sin embargo, si entiendes el proceso de configuración del protocolo y creas uno para tu empresa, será relativamente difícil y llevará mucho tiempo a los actores de amenazas explotar tu dominio. Esto acabará reduciendo la probabilidad de pasar por debajo de su radar.

Mejora de la capacidad de entrega del correo electrónico

Los dominios sin registros DNS SPF tienen altas probabilidades de que sus correos electrónicos sean devueltos o etiquetados como "spam". Si esto persiste, la capacidad de llegar al buzón se verá perjudicada. Esto significa que la mayoría de los correos electrónicos enviados con su nombre de dominio no llegarán al destinatario, lo que afectará a su negocio.

Cumplimiento de DMARC

DMARC son las siglas de Domain-based Message Authentication, Reporting, and Conformance. Es otra técnica de autenticación del correo electrónico que evita el spam, el phishing y la suplantación de identidad.

Garantiza que sólo las entidades permitidas puedan enviar correos electrónicos a través de un dominio específico. Se basa en la verificación SPF y DKIM (otra política de autenticación de correo electrónico) y dirige el buzón de un receptor sobre cómo tratar cada correo electrónico recibido de su dominio. En función de esto, se marcan como "spam", "rechazado" o "entregado como normal". 

Además, los administradores de dominios pueden comprobar los informes que registran su actividad de correo electrónico y modificar su política DMARC en consecuencia. PowerDMARC puede facilitar a su empresa la adopción de la política DMARC mediante la supervisión periódica y el ajuste de la misma según los requisitos. 

Reflexiones finales

Los dominios de correo electrónico protegidos por SPF repelen a los malos actores, ya que se necesita más tiempo y esfuerzo para comprometerlos para intentar actividades maliciosas. El SPF se sincroniza con el DNS para garantizar que solo las entidades autorizadas puedan enviar correos electrónicos desde un determinado dominio. 

De lo contrario, los ciberactores pueden aprovecharse de su marca enviando correos electrónicos fraudulentos y de spam, pidiendo a los receptores que hagan clic en un enlace malicioso, descarguen un archivo corrupto o compartan detalles sensibles. En muchos casos, incluso solicitan la transferencia directa de dinero en nombre de su empresa. 

Una vez que haya configurado su registro DNS para SPF, no olvide comprobarlo con nuestro comprobador SPF para comprobar su validez.

Un problema muy común al que se enfrentan los usuarios de SPF a diario es el riesgo de generar demasiadas búsquedas de DNS que pueden hacer que superen fácilmente el límite duro de SPF. Esto devuelve un resultado SPF PermError cuando la supervisión DMARC está activada y provoca problemas de entregabilidad del correo electrónico. Con los expertos de la industria que vienen con soluciones como los servicios de aplanamiento SPF para mitigar este problema, PowerSPF realmente cumple con sus afirmaciones y supera las expectativas. Siga leyendo para saber cómo.

Demasiadas búsquedas de DNS: ¿Por qué ocurre esto?

Lo primero que debe entender es por qué acaba generando demasiadas búsquedas de DNS en primer lugar. Esto se debe a que, independientemente de la solución de intercambio de correo electrónico que utilice, su proveedor de servicios añade más mecanismos a su registro, lo que da lugar a más búsquedas.

Por ejemplo, si utiliza el intercambiador de correo electrónico de Google, o Gmail, un registro SPF como v=spf1 include:[email protected] -all genera en realidad un total de 4 búsquedas de DNS. Los registros anidados también inician más búsquedas y si utilizas varios proveedores de terceros para enviar correos electrónicos utilizando tu dominio, puedes superar fácilmente el límite de 10 búsquedas de DNS.

¿Es el aplanamiento del SPF la solución? No!

La respuesta es no. El aplanamiento manual del SPF puede ayudarle a mantenerse por debajo del límite de 10 búsquedas del SPF, pero tiene su propio conjunto de limitaciones y desafíos. Si aplana su SPF manualmente, simplemente está reemplazando las declaraciones de inclusión en su registro SPF con sus correspondientes direcciones IP para eliminar la necesidad de búsquedas. Esto asegura que no acabe generando demasiadas búsquedas de DNS en primer lugar, ayudándole así a mantenerse por debajo del límite de 10 búsquedas de SPF y evitar el permerror . Pero los problemas con las soluciones manuales de aplanamiento SPF son:

  • La longitud del registro SPF puede ser demasiado larga (más de 255 caracteres)
  • Su proveedor de servicios de correo electrónico puede cambiar o ampliar sus direcciones IP sin notificárselo
  • No hay un panel de control para supervisar el flujo de correo electrónico, cambiar o actualizar sus dominios y mecanismos, y realizar un seguimiento de las actividades
  • Tiene que hacer constantemente cambios en su DNS para actualizar su registro SPF
  • Su capacidad de entrega de correo electrónico podría verse afectada debido a los frecuentes cambios de IP

¿Cómo le afectan? Bueno, si su registro SPF no está actualizado en las nuevas direcciones IP que sus proveedores de servicios de correo electrónico están utilizando, de vez en cuando cuando estas direcciones IP se utilizan sus correos electrónicos inevitablemente fallan SPF en el lado del receptor.

Aplanamiento dinámico de SPF para resolver demasiadas búsquedas de DNS

Una solución más inteligente para decir adiós al error de búsqueda de DNS es PowerSPF, su aplanador automático de registros SPF. PowerSPF es su solución de aplanamiento SPF en tiempo real que le ayuda:

  • Configure fácilmente el SPF para su dominio con unos pocos clics
  • Aplanamiento de registros SPF con un solo clic y con una sola declaración de inclusión para disfrutar de la gestión automática de la inclusión SPF
  • Manténgase siempre por debajo del límite de 10 búsquedas de DNS
  • Actualiza automáticamente el netblock y busca las direcciones IP cambiadas constantemente para mantener su registro SPF actualizado
  • Mantenga un panel de control fácil de usar en el que puede actualizar fácilmente los cambios en sus políticas, añadir dominios y mecanismos, y supervisar el flujo de correo electrónico.

¿Por qué confiar en herramientas de compresión SPF que pueden proporcionar resultados temporales con limitaciones subyacentes? Optimice su registro SPF y mitigue el límite duro del SPF con SPF automático hoy mismo. Inscríbase en PowerSPF ahora?

Razones para evitar el aplanamiento del FPS

Sender Policy Framework, o SPF es un protocolo de autenticación de correo electrónico ampliamente aclamado que valida sus mensajes autenticándolos contra todas las direcciones IP autorizadas registradas para su dominio en su registro SPF. Para validar los mensajes de correo electrónico, SPF especifica al servidor de correo receptor que realice consultas de DNS para comprobar las IP autorizadas, lo que da lugar a búsquedas de DNS.

Su registro SPF existe como un registro DNS TXT que está formado por un conjunto de varios mecanismos. La mayoría de estos mecanismos (como include, a, mx, redirect, exists, ptr) generan búsquedas DNS. Sin embargo, el número máximo de búsquedas DNS para la autenticación SPF está limitado a 10. Si utiliza varios proveedores de terceros para enviar correos electrónicos utilizando su dominio, puede superar fácilmente el límite duro de SPF.

Quizá se pregunte qué ocurre si supera este límite. Si se supera el límite de 10 búsquedas en el DNS, el SPF fallará e invalidará incluso los mensajes legítimos enviados desde su dominio. En estos casos, el servidor de correo receptor devuelve un informe SPF PermError a tu dominio si tienes activada la monitorización DMARC.Esto nos hace llegar al tema principal de discusión de este blog: SPF flattening.

¿Qué es el aplanamiento del FPS?

El aplanamiento del registro SPF es uno de los métodos más populares utilizados por los expertos del sector para optimizar su registro SPF y evitar superar el límite duro del SPF. El procedimiento para aplanar el SPF es bastante sencillo. Aplanar su registro SPF es el proceso de reemplazar todos los mecanismos de inclusión con sus respectivas direcciones IP para eliminar la necesidad de realizar búsquedas de DNS.

Por ejemplo, si su registro SPF tenía inicialmente el siguiente aspecto

v=spf1 include:spf.domain.com -all

Un registro SPF aplanado tendrá el siguiente aspecto:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Este registro aplanado genera sólo una búsqueda de DNS, en lugar de realizar múltiples búsquedas. Reducir el número de consultas DNS realizadas por el servidor receptor durante la autenticación del correo electrónico ayuda a mantenerse por debajo del límite de 10 búsquedas DNS, sin embargo, tiene sus propios problemas.

El problema del aplanamiento del FPS

Aparte del hecho de que su registro SPF aplanado manualmente puede resultar demasiado largo para publicarlo en el DNS de su dominio (superando el límite de 255 caracteres), tiene que tener en cuenta que su proveedor de servicios de correo electrónico puede cambiar o añadir sus direcciones IP sin notificárselo a usted como usuario. De vez en cuando, cuando su proveedor hace cambios en su infraestructura, estas alteraciones no se reflejan en su registro SPF. Por lo tanto, siempre que su servidor de correo utilice estas direcciones IP cambiadas o nuevas, el correo electrónico fallará el SPF en el lado del receptor.

PowerSPF: Su generador de registros SPF dinámicos

El objetivo final de PowerDMARC fue crear una solución que pueda evitar que los propietarios de dominios lleguen al límite de 10 búsquedas de DNS, así como optimizar su registro SPF para estar siempre actualizado en las últimas direcciones IP que utilizan sus proveedores de servicios de correo electrónico. PowerSPF es su solución automatizada de aplanamiento de SPF que se encarga de revisar su registro SPF para generar una única declaración de inclusión. PowerSPF le ayuda:

  • Añadir o eliminar IPs y mecanismos con facilidad
  • Actualiza automáticamente los bloqueos de red para asegurarte de que tus IPs autorizadas están siempre al día
  • Manténgase por debajo del límite de 10 búsquedas de DNS con facilidad
  • Obtenga un registro SPF optimizado con un solo clic
  • Derrotar permanentemente al "permerror
  • Implantar un SPF sin errores

Regístrese en PowerDMARC hoy mismo para garantizar una mayor capacidad de entrega y autenticación del correo electrónico, todo ello sin sobrepasar el límite de 10 búsquedas SPF de DNS .

En este artículo, exploraremos cómo optimizar el registro SPF fácilmente para su dominio. Tanto las empresas como los pequeños negocios que poseen un dominio de correo electrónico para enviar y recibir mensajes entre sus clientes, socios y empleados, es muy probable que exista un registro SPF por defecto, que ha sido configurado por su proveedor de servicios de bandeja de entrada. No importa si tiene un registro SPF preexistente o si necesita crear uno nuevo, debe optimizar su registro SPF correctamente para su dominio con el fin de garantizar que no cause problemas de entrega de correo electrónico.

Algunos destinatarios de correo electrónico exigen estrictamente el SPF, lo que indica que si no tiene un registro SPF publicado para su dominio sus correos electrónicos pueden ser marcados como spam en la bandeja de entrada de su receptor. Además, el SPF ayuda a detectar fuentes no autorizadas que envían correos electrónicos en nombre de su dominio.

Entendamos primero qué es el FPS y por qué se necesita.

Marco de la política de remitentes (SPF)

SPF es esencialmente un protocolo de autenticación de correo electrónico estándar que especifica las direcciones IP que están autorizadas a enviar correos electrónicos desde su dominio. Funciona comparando las direcciones de los remitentes con la lista de hosts de envío autorizados y las direcciones IP para un dominio específico que se publica en el DNS para ese dominio.

SPF, junto con DMARC (Domain-based Message Authentication, Reporting and Conformance) está diseñado para detectar direcciones de remitente falsas durante la entrega del correo electrónico y prevenir ataques de spoofing, phishing y estafas por correo electrónico.

Es importante saber que, aunque el SPF por defecto integrado en su dominio por su proveedor de alojamiento asegura que los correos electrónicos enviados desde su dominio se autentifiquen contra el SPF, si tiene varios proveedores de terceros para enviar correos electrónicos desde su dominio, este registro SPF preexistente debe ser adaptado y modificado para ajustarse a sus necesidades. ¿Cómo puede hacerlo? Exploremos dos de las formas más comunes:

  • Creación de un nuevo registro SPF
  • Optimizar un registro SPF existente

Instrucciones para optimizar el registro SPF

Crear un nuevo registro SPF

Crear un registro SPF es simplemente publicar un registro TXT en el DNS de su dominio para configurar el SPF para su dominio. Este es un paso obligatorio que viene antes de empezar a optimizar el registro SPF. Si está empezando con la autenticación y no está seguro de la sintaxis, puede utilizar nuestro generador de registros SPF en línea gratuito para crear un registro SPF para su dominio.

Una entrada de registro SPF con una sintaxis correcta tendrá el siguiente aspecto:

v=spf1 ip4:38.146.237 include:ejemplo.com -all

v=spf1Especifica la versión de SPF que se está utilizando
ip4/ip6Este mecanismo especifica las direcciones IP válidas que están autorizadas a enviar correos electrónicos desde su dominio.
incluyeEste mecanismo indica a los servidores receptores que incluyan los valores del registro SPF del dominio especificado.
-todosEste mecanismo especifica que los correos electrónicos que no sean compatibles con SPF serán rechazados. Esta es la etiqueta recomendada que puede utilizar al publicar su registro SPF. Sin embargo, puede sustituirse por ~ para SPF Soft Fail (los correos electrónicos no conformes se marcarían como soft fail, pero seguirían siendo aceptados) o por +, que especifica que todos y cada uno de los servidores podrán enviar correos electrónicos en nombre de su dominio, lo que se desaconseja totalmente.

Si ya tiene configurado el SPF para su dominio, también puede utilizar nuestro comprobador de registros SPF gratuito para buscar y validar su registro SPF y detectar problemas.

Desafíos y errores comunes al configurar el SPF

1) Límite de 10 búsquedas de DNS 

El reto más común al que se enfrentan los propietarios de dominios al configurar y adoptar el protocolo de autenticación SPF para su dominio, es que SPF viene con un límite en el número de búsquedas de DNS, que no puede exceder de 10. Para los dominios que dependen de varios proveedores de terceros, el límite de 10 búsquedas DNS se excede fácilmente, lo que a su vez rompe el SPF y devuelve un SPF PermError. El servidor receptor en estos casos invalida automáticamente su registro SPF y lo bloquea.

Mecanismos que inician las búsquedas de DNS: MX, A, INCLUDE, modificador REDIRECT

2) Búsqueda de vacíos en el FPS 

Las búsquedas nulas se refieren a las búsquedas de DNS que devuelven una respuesta NOERROR o NXDOMAIN (respuesta nula). Al implementar el SPF, se recomienda asegurarse de que las búsquedas de DNS no devuelvan una respuesta nula en primer lugar.

3) Bucle recursivo SPF

Este error indica que el registro SPF del dominio especificado contiene problemas de recursividad con uno o varios de los mecanismos INCLUDE. Esto tiene lugar cuando uno de los dominios especificados en la etiqueta INCLUDE contiene un dominio cuyo registro SPF contiene la etiqueta INCLUDE del dominio original. Esto conduce a un bucle interminable que hace que los servidores de correo electrónico realicen continuamente búsquedas de DNS para los registros SPF. En última instancia, esto hace que se supere el límite de 10 búsquedas de DNS, lo que hace que los correos electrónicos fallen el SPF.

4) Errores de sintaxis 

Un registro SPF puede existir en el DNS de su dominio, pero no sirve de nada si contiene errores de sintaxis. Si su registro SPF TXT contiene espacios en blanco innecesarios al escribir el nombre del dominio o el nombre del mecanismo, la cadena que precede al espacio extra sería completamente ignorada por el servidor receptor al realizar una búsqueda, invalidando así el registro SPF.

5) Múltiples registros SPF para el mismo dominio

Un mismo dominio sólo puede tener una entrada SPF TXT en el DNS. Si su dominio contiene más de un registro SPF, el servidor receptor los invalida todos, haciendo que los correos electrónicos no pasen el SPF.

6) Longitud del registro SPF 

La longitud máxima de un registro SPF en el DNS está limitada a 255 caracteres. Sin embargo, este límite puede superarse y un registro TXT para SPF puede contener varias cadenas concatenadas, pero no más allá de un límite de 512 caracteres, para ajustarse a la respuesta de consulta del DNS (según el RFC 4408). Aunque esto se revisó más tarde, los destinatarios que dependen de versiones de DNS más antiguas no podrían validar los correos electrónicos enviados desde dominios que contienen un registro SPF largo.

Optimizar su registro SPF

Para modificar rápidamente su registro SPF puede utilizar las siguientes prácticas recomendadas de SPF:

  • Intente escribir sus fuentes de correo electrónico en orden decreciente de importancia de izquierda a derecha en su registro SPF
  • Elimine las fuentes de correo electrónico obsoletas de su DNS
  • Utilizar mecanismos IP4/IP6 en lugar de A y MX
  • Mantenga el número de mecanismos INCLUDE lo más bajo posible y evite los includes anidados
  • No publique más de un registro SPF para el mismo dominio en su DNS
  • Asegúrese de que su registro SPF no contiene espacios en blanco redundantes ni errores de sintaxis

Nota: No se recomienda aplanar el SPF, ya que no es algo que se haga una sola vez. Si su proveedor de servicios de correo electrónico cambia su infraestructura, tendrá que cambiar sus registros SPF en consecuencia, cada vez.

Optimizar su registro SPF es fácil con PowerSPF

Puede seguir adelante e intentar implementar todas las modificaciones mencionadas anteriormente para optimizar su registro SPF manualmente, o puede olvidarse de las molestias y confiar en nuestro dinámico PowerSPF para que haga todo eso por usted automáticamente. PowerSPF le ayuda a optimizar su registro SPF con un solo clic, en el que puede:

  • Añadir o eliminar fuentes de envío con facilidad
  • Actualice los registros fácilmente sin tener que hacer cambios manuales en sus DNS
  • Obtenga un registro SPF automático optimizado con un solo clic
  • Manténgase por debajo del límite de 10 búsquedas de DNS en todo momento
  • Mitigar con éxito PermError
  • Olvídese de los errores de sintaxis del registro SPF y de los problemas de configuración
  • Le quitamos la carga de resolver las limitaciones del FPS en su nombre

Regístrese en PowerDMARC hoy mismo y diga adiós a las limitaciones del FPS para siempre.  

Como proveedor de servicios DMARC, nos hacen esta pregunta a menudo: "Si DMARC sólo utiliza la autenticación SPF y DKIM, ¿por qué deberíamos molestarnos con DMARC? ¿No es innecesario?"

A primera vista puede parecer que no hay mucha diferencia, pero la realidad es muy diferente. DMARC no es sólo una combinación de las tecnologías SPF y DKIM, es un protocolo completamente nuevo por sí mismo. Tiene varias características que lo convierten en uno de los estándares de autenticación de correo electrónico más avanzados del mundo, y en una necesidad absoluta para las empresas.

Pero espere un momento. No hemos respondido exactamente por qué necesita DMARC. ¿Qué ofrece que no ofrezcan SPF y DKIM? Bueno, esa es una respuesta bastante larga; demasiado larga para una sola entrada del blog. Así que vamos a dividirla y a hablar primero del SPF. En caso de que no estés familiarizado con él, aquí tienes una rápida introducción.

¿Qué es el FPS?

SPF, o Sender Policy Framework, es un protocolo de autenticación de correo electrónico que protege al receptor del correo electrónico de los mensajes falsos. Es esencialmente una lista de todas las direcciones IP autorizadas para enviar correo electrónico a través de sus canales (el propietario del dominio). Cuando el servidor receptor ve un mensaje de su dominio, comprueba su registro SPF que está publicado en su DNS. Si la IP del remitente está en esta "lista", el correo electrónico se entrega. Si no, el servidor rechaza el correo.

Como puede ver, el SPF hace un buen trabajo al mantener alejados muchos correos electrónicos desagradables que podrían dañar su dispositivo o comprometer los sistemas de seguridad de su organización. Pero el SPF no es tan bueno como algunos podrían pensar. Esto se debe a que tiene algunos inconvenientes importantes. Hablemos de algunos de estos problemas.

Limitaciones del SPF

Los registros SPF no se aplican a la dirección From

Los correos electrónicos tienen varias direcciones para identificar a su remitente: la dirección del remitente que normalmente se ve, y la dirección de la ruta de retorno que está oculta y requiere uno o dos clics para verla. Con el SPF activado, el servidor de correo electrónico receptor mira la ruta de retorno y comprueba los registros SPF del dominio de esa dirección.

El problema es que los atacantes pueden aprovecharse de ello utilizando un dominio falso en su dirección de retorno y una dirección de correo electrónico legítima (o que parece legítima) en la sección del remitente. Incluso si el receptor comprobara la identificación del correo electrónico del remitente, vería primero la dirección del remitente, y normalmente no se molestaría en comprobar la ruta de retorno. De hecho, la mayoría de la gente ni siquiera sabe que existe la dirección de retorno.

El SPF se puede eludir con bastante facilidad utilizando este sencillo truco, y deja incluso a los dominios protegidos con SPF muy vulnerables.

Los registros SPF tienen un límite de búsqueda en el DNS

Los registros SPF contienen una lista de todas las direcciones IP autorizadas por el propietario del dominio para enviar correos electrónicos. Sin embargo, tienen un inconveniente crucial. El servidor receptor tiene que comprobar el registro para ver si el remitente está autorizado, y para reducir la carga del servidor, los registros SPF tienen un límite de 10 búsquedas de DNS.

Esto significa que si su organización utiliza varios proveedores de terceros que envían correos electrónicos a través de su dominio, el registro SPF puede acabar sobrepasando ese límite. A menos que se optimice adecuadamente (lo que no es fácil de hacer uno mismo), los registros SPF tendrán un límite muy restrictivo. Cuando se sobrepasa este límite, la implementación del SPF se considera inválida y su correo electrónico falla el SPF. Esto podría perjudicar sus índices de entrega de correo electrónico.

 

El SPF no siempre funciona cuando se reenvía el correo electrónico

El SPF tiene otro punto de fallo crítico que puede dañar la capacidad de entrega de su correo electrónico. Cuando has implementado el SPF en tu dominio y alguien reenvía tu correo, el correo reenviado puede ser rechazado debido a tu política de SPF.

Esto se debe a que el mensaje reenviado ha cambiado el destinatario del correo electrónico, pero la dirección del remitente sigue siendo la misma. Esto se convierte en un problema porque el mensaje contiene la dirección del remitente original, pero el servidor receptor ve una IP diferente. La dirección IP del servidor de correo electrónico de reenvío no está incluida en el registro SPF del dominio del remitente original. Esto puede hacer que el correo electrónico sea rechazado por el servidor receptor.

¿Cómo resuelve DMARC estos problemas?

DMARC utiliza una combinación de SPF y DKIM para autenticar el correo electrónico. Un correo electrónico debe pasar el SPF o el DKIM para pasar el DMARC y ser entregado con éxito. Además, añade una característica clave que lo hace mucho más eficaz que SPF o DKIM por sí solos: Los informes.

Con los informes DMARC, obtendrá información diaria sobre el estado de sus canales de correo electrónico. Esto incluye información sobre su alineación DMARC, datos sobre los correos electrónicos que fallaron en la autenticación y detalles sobre posibles intentos de suplantación.

Si te preguntas qué puedes hacer para que no te suplanten, echa un vistazo a nuestra práctica guía sobre las 5 mejores formas de evitar la suplantación de identidad en el correo electrónico.