Puestos

Puede enviar correos electrónicos sin utilizar el formato SPF o sin conocerlo, pero eso no será seguro. El SPF añade una indicación de confianza adicional a los proveedores de buzones de los destinatarios, y todos los correos electrónicos auténticos enviados con su dominio aterrizan en la bandeja de entrada del buzón en lugar de ser marcados como spam.

SPF no es un método infalible; por lo tanto, debe combinarlo con otros autenticación de correo electrónico como DKIM, DMARCy BIMI para mejorar la entregabilidad del correo electrónico.

Dado que estos protocolos son cruciales para el proceso de autenticación del correo electrónico y que todas las empresas que se dedican al correo electrónico deben conocerlos, en este blog nos centraremos en el formato de registro SPF en este blog.

¿Qué es el FPS?

SPF es la abreviatura de Sender Policy Framework, uno de los protocolos de autenticación de correo electrónico más comunes. Funciona utilizando una lista de direcciones IP autorizadas a enviar correos electrónicos utilizando su nombre de dominio. La lista suele incluir las direcciones IP de sus empleados, accionistas y terceros que utilizan directamente su dominio para enviar correos electrónicos.

Si ha implementado el SPF, cualquier correo electrónico enviado desde una dirección IP fuera de la lista se considera no autorizado por el buzón del destinatario.

¿Cómo se autentifica el correo electrónico con el SPF?

Para implementar este protocolo, debe publicar un registro SPF válido (en formato TXT ) en su DNS. Cuando se envía un correo electrónico desde su dominio, el servidor de correo del receptor comprueba la dirección IP del remitente con los registros SPF de su DNS. Si está en la lista, la validación pasa y el correo electrónico llega a la bandeja de entrada. Sin embargo, si no está en la lista, la autenticación falla y los correos electrónicos no llegan a su destino.

Después de implementarlo, debe supervisar regularmente la actividad de su dominio utilizando un comprobador SPF para asegurarse de que no está en el radar de un hacker. Esto puede evitar el spear phishingy los ataques de ransomware que intentan utilizar el nombre de su empresa.

Formato del FPS

El registro SPF es complicado y tiene un formato típico difícil de entender. Aquí hablaremos de la sintaxis del registro SPF y de la estructura del registro SPF: la cabeza y el corazón del formato del registro SPF.

Registro SPF: Sintaxis básica

Un registro SPF es un registro DNS que enumera todas las direcciones IP autorizadas a enviar correos electrónicos utilizando su dominio de correo electrónico. Esta es la sintaxis de un registro SPF:

v=spf1 ip4=193.0.1.0 ip4=193.0.1.1 include:samplesender.net -all

Veamos los elementos que incluye.

  • v=spf1- Indica al servidor que esto contiene un registro SPF. Cada registro SPF debe comenzar con esta cadena.
  • ip4=193.0.1.0 ip4=193.0.1.1- Indica las direcciones IP permitidas para enviar correos electrónicos utilizando un dominio específico.
  • Incluir:examplesender.net: Es indica a los terceros autorizados a enviar correos electrónicos. La etiqueta 'include' indica a los servidores de los destinatarios que verifiquen el registro SPF del dominio incluido (aquí- samplesender.net). Puede añadir varios dominios dentro de un registro SPF.
  • -all: indica a los servidores de los destinatarios que rechacen los correos electrónicos procedentes de direcciones IP no autorizadas, básicamente las no incluidas en la lista. 

Registro SPF: Sintaxis avanzada

Según el formato del registro SPF para las sintaxis, siempre comienza con el elemento 'v='. Indica la versión del SPF; actualmente, sólo hay una versión, por lo que todos los formatos de registro SPF comienzan así.

La sintaxis del registro SPF tiene tres elementos principales: el mecanismo SPF, los calificadores SPF y los modificadores SPF. Veamos cuáles son.

Mecanismos

Estos son los ocho mecanismos

  1. ALL: Esto significa que siempre hay una coincidencia. Verás resultados por defecto como '-all' para las IPs no coincidentes.
  2. A: El nombre de dominio con registro de dirección A o AAAA coincide con la dirección del remitente.
  3. IP4: La coincidencia es válida cuando el remitente está vinculado al rango de direcciones IPv4 indicado.
  4. IP6: La coincidencia es válida cuando el remitente está vinculado al rango de direcciones IPv6 indicado.
  5. MX: La dirección de correo electrónico del remitente sólo se valida si su nombre de dominio incluye un registro MX para su resolución.
  6. PTR: La coincidencia se autoriza si el registro PTR pertenece a un determinado dominio que resuelve la dirección del cliente. Los expertos no sugieren su uso, ya que podría bloquear todos los correos electrónicos enviados con su dominio.
  7. EXISTE: Funciona si el nombre de dominio dado está validado. Este mecanismo SPF funciona con todas las direcciones resueltas. 
  8. INCLUIR: Hace referencia a otras políticas de dominio. Por lo tanto, si pasa, pasa automáticamente. Sin embargo, si la política incluida falla, el procesamiento continúa. 

Modificadores

Los modificadores determinan el marco funcional de un registro SPF. Consisten en pares de nombres o valores separados por el símbolo '=', que señalan información adicional. Se ven muchas veces al final del registro SPF, y todos los modificadores no reconocidos se ignoran en el proceso.

El modificador "redirect" dirige a otros registros SPF responsables de un funcionamiento eficaz. Los expertos los utilizan siempre que hay más de un dominio vinculado al mismo registro SPF. Este modificador debe utilizarse si una sola entidad controla todos los dominios; en caso contrario, se utiliza el modificador 'include'.

Calificadores

Cada mecanismo puede combinarse con uno de los cuatro calificadores.

'+' para el resultado PASS

'?' para un resultado NEUTRAL interpretado como la política NONE.

'~' para SOFTFAIL. Normalmente, los mensajes que devuelven un SOFTFAIL son aceptados pero etiquetados. 

'-' para FAIL, el correo electrónico es rechazado.

Conclusión

El SPF evita que los ciberataques se comprometan a utilizar el nombre y la reputación de su marca. Puede evitar que los correos electrónicos enviados por los hackers utilizando su dominio lleguen a su público objetivo. Esto funciona alistando y permitiendo que solo entidades de confianza envíen correos electrónicos utilizando su dominio. 

Después de comprender la estructura y los componentes del formato de registro SPF, puede utilizar la función Generador de registros SPF si aún no has implementado el protocolo.

El registro Sender Policy Framework(SPF) es una parte importante del sistema de autenticación, notificación y conformidad de mensajes basado en el dominio (DMARC) que especifica un método para evitar la falsificación de direcciones de remitentes.

Los registros SPF son complejos de configurar y pueden surgir problemas de implementación si no se configuran correctamente. Además, la sintaxis de los registros SPF utiliza algunos términos específicos que pueden resultar confusos cuando se encuentran por primera vez. Por lo tanto, en esta entrada del blog, examinamos la sintaxis de los registros SPF y lo que debe tener en cuenta al configurarlos.

¿Qué es un registro SPF?

Un registro SPF es un tipo de registro DNS que identifica qué servidores están autorizados a enviar un correo electrónico en nombre de su dominio. Para ello, enumera los servidores que han sido autorizados a enviar correos electrónicos para su dominio; si cualquier otro servidor intenta enviar un correo electrónico en nombre de su dominio, será rechazado como remitente no autorizado.

El propósito de un registro SPF es evitar que usuarios malintencionados envíen mensajes de correo electrónico falsos con su dominio en el campo "De". Esto puede ocurrir si un atacante envía cantidades masivas de correos electrónicos no deseados desde su servidor suplantando o falsificando su dominio

¿Cómo funciona el FPS?

1. Creación de una sintaxis de registro SPF

Usted crea una sintaxis de registro SPF en su servidor DNS que especifica qué direcciones IP están autorizadas a enviar correos electrónicos desde su dominio. Esto significa que si alguien intentara enviar correos electrónicos falsos desde su dominio, sus mensajes fallarían porque la dirección IP de su servidor de correo no figuraría como uno de los servidores autorizados.

Por ejemplo, si quieres que sólo las cuentas de Gmail puedan enviar correo desde tu nombre de dominio, pero no las cuentas de Outlook, entonces añadirías la siguiente línea a tu registro SPF:

 v=spf1 a mx include:_spf.google.com ~all

 Esto indica a los servidores que cualquier mensaje enviado desde cualquier host cuya dirección IP termine en _spf.google.com debe considerarse válido (m), mientras que todos los demás mensajes deben descartarse (a). 

Puede utilizar nuestro generador de registros SPF para empezar a crear un registro gratuito.

2. Búsqueda de DNS

Cuando un remitente de correo electrónico intenta enviar un mensaje, el servidor del destinatario realiza una búsqueda de DNS en el dominio remitente para ver si hay un registro SPF, lo que se denomina "autenticación". Hay un límite de 10 búsquedas permitidas por consulta, cuyo exceso provoca error SPF.

Si no hay registro SPF, la autenticación falla y el mensaje no se entrega. Si hay un registro SPF, el servidor SPF comprueba las direcciones IP en el registro TXT en el nombre de host especificado en el registro SPF.

 Si no hay direcciones IP especificadas, fallará la autenticación. En caso contrario, realizará una consulta A para cada dirección IP especificada en el orden de aparición en el registro TXT.

La dirección IP que devuelva un código de resultado NXDOMAIN o NOERROR se considerará autorizada por el servidor SPF y su nombre de host se añadirá a una lista de hosts de envío autorizados para ese dominio.

3. Resultado de la autenticación

El servidor de correo entrega el mensaje al destinatario o lo marca para que sea rechazado en función de las reglas especificadas en el registro SPF.

Los resultados de la autenticación pueden adoptar tres formas: Aprobado, neutro o suspenso.

Aprobado significa que el servidor de correo acepta el mensaje como legítimo y permite su entrega. Neutral significa que no hay ningún registro o uno inválido para ese dominio en el DNS, por lo que no hay forma de saber si se trata o no de un mensaje legítimo de ese dominio. Fallo significa que algo en este mensaje no era lo suficientemente auténtico como para ser entregado.

Por ejemplo, un servidor de correo con la dirección IP '234.2.1.2' envía un correo electrónico desde '[email protected]'. El servidor de entrada consultará el servicio de nombres de dominio(DNS) para determinar si esta dirección IP está autorizada a enviar correos electrónicos en nombre del dominio 'apple.com'. Si es así, el mensaje se entregará; en caso contrario, se descartará o se marcará como spam, es decir, se clasificará según el mecanismo especificado en el registro SPF.

Sintaxis del registro SPF

La sintaxis del registro SPF se compone de varios elementos: directivas, calificadores y mecanismos.

Las directivas son la primera parte de la sintaxis de un registro SPF. Indican cómo interpretar el resto del registro. En un registro SPF pueden aparecer tres directivas: v=spf1, a y mx. La directiva v indica que este registro es un registro SPFv1; la directiva a indica que este registro es un informe de fallo de autenticación del estilo SPFv2; la directiva mx especifica una lista de servidores de intercambio de correo para un dominio.

Los calificadores especifican en qué lugar de su zona DNS desea colocar sus registros SPF: exim4, enduser o _spf. Estos calificadores indican a los receptores de correo dónde deben buscar sus registros SPF cuando los comprueban con sus registros DNS.

Los mecanismos se utilizan para indicar cómo desea tratar las direcciones de correo electrónico que no superan la comprobación SPF. Puede elegir entre varios mecanismos: todos, ninguno, softfail, neutralizar o rechazar.

  • todos aceptará todos los correos electrónicos de los remitentes que hayan pasado su comprobación SPF;
  • ninguno rechazará todo lo que provenga de remitentes que hayan pasado su comprobación SPF;
  • softfail aceptará los correos electrónicos de remitentes que no hayan superado una comprobación SPF, pero los marcará como sospechosos;
  • neutral indica que no rechazas ni aceptas los mensajes enviados desde tu dominio, es básicamente una postura de "no opinión" sobre si el mensaje debe ser aceptado o rechazado;
  • rechazar rechazará los correos electrónicos que no hayan superado la comprobación SPF.

Calificadores de la sintaxis del registro SPF

Los "calificadores" en la sintaxis de un registro SPF ayudan a indicar el alcance del registro SPF. Se utilizan principalmente para indicar si una dirección IP específica está autorizada o no a enviar correos electrónicos en nombre de su dominio.

Calificador Código de resultado Explicación
+ Pasar el único calificador sin connotación negativa. Indica que el registro de seguridad del nombre de dominio no contiene errores ni advertencias y se considera seguro.
- Falla indica que el registro de seguridad del nombre de dominio contiene errores o advertencias que impiden considerarlo seguro.

 

~ Softfail indica que el registro de seguridad del nombre de dominio contiene errores o advertencias que no impiden que se considere seguro, pero pueden indicar problemas con la resolución de DNS u otras cuestiones relacionadas con los anclajes de confianza de DNS.
? Neutral Indica que el dominio no tiene un registro SPF o que su registro era sintácticamente correcto pero no coincidía con ningún servidor de envío cuando se comprobaba con uno (o más) servidores de envío en su lista de direcciones IP de confianza para ese dominio.

Mecanismos de sintaxis del registro SPF 

Los mecanismos se utilizan en la sintaxis del registro SPF para indicar al servidor receptor qué tipo de mecanismo de autenticación debe utilizar. Hay dos tipos de mecanismos: 

  • el emisor puede especificar un conjunto concreto de mecanismos;
  • O puede especificar que todos los mecanismos están permitidos.
Mecanismo Propósito La directiva se aplica cuando Aplicación
a define el registro DNS A del dominio como autorizado. Si esta directiva no se especifica, se utiliza el dominio actual.

 

 

puede aplicarse cuando se consulta un registro A o AAAA en un dominio que contiene la dirección IP del remitente. a

a/<prefix-length>

a:<domain>

a:<domain>/<prefix-length>

todo La directiva all siempre coincide, y define la política para todas las demás fuentes. Este mecanismo debe aplicarse siempre, y este mecanismo siempre coincide. todo
existe Comprueba si un registro A es válido o no para un dominio determinado. Funciona mirando todos los registros A de ese dominio y viendo si alguno de ellos coincide con los criterios establecidos en su registro SPF. Se aplica cuando hay algún registro A en dicho dominio o si se autorizaron otros criterios, según RFC7208. exists:<domain>
incluye El propósito de este mecanismo es especificar el dominio y buscar una coincidencia, así como devolver un error permanente si el dominio no tiene un registro SPF válido. El mecanismo de "inclusión" en los registros SPF puede utilizarse para incluir otros registros SPF dentro del registro de un dominio. Si un dominio no tiene un registro SPF, pero otro dominio sí y ese otro dominio tiene una dirección IP que coincide con la dirección IP del remitente, entonces el mecanismo "include" hará que se utilice el dominio con la dirección IP coincidente a efectos de autorización.

 

include:<domain>
ip4 Puede especificar un rango de IPv4 con la directiva "ip4", junto con un prefijo que denote la longitud del rango. Si no se especifica ningún prefijo, se asume /32. El mecanismo "ip4" se aplicará si alguna de estas condiciones es cierta:

 

- La dirección IPv4 especificada coincide con la de una dirección IP de su registro SPF.

 

- La subred IPv4 especificada contiene la dirección IP del remitente.

ip4:<ip4-address>

ip4:<ip4-network>/<prefix-length>

ip6 Puede especificar un rango IPv6 con la directiva "ip4", junto con un prefijo que denote la longitud del rango. Si no se especifica ningún prefijo, se asume /128. El mecanismo "ip6" se aplicará si alguna de estas condiciones es cierta:

 

- La dirección IPv6 especificada coincide con la de una dirección IP de su registro SPF.

 

- La subred IPv6 especificada contiene la dirección IP del remitente.

ip6:<ip6-address>

ip6:<ip6-network>/<prefix-length>

mx El mecanismo "mx", tal y como se define en el registro SPF, define el registro de Intercambio de Correo (MX) del Sistema de Nombres de Dominio (DNS) de un dominio como autorizado. El registro DNS MX determina qué servidor es responsable de aceptar mensajes de correo electrónico en nombre del dominio. El registro DNS MX contiene una dirección IP y un valor de prioridad para cada servidor que puede utilizarse para aceptar mensajes.

 

Cuando un registro MX de un dominio contiene una dirección IP que coincide con la dirección IP del remitente, esto indica que este remitente está autorizado a enviar correos electrónicos en nombre de este dominio.

mx

mx/<prefix-length>

mx:<domain>

mx:<domain>/<prefix-length>

ptr El mecanismo ptr utiliza el nombre de host o subdominio inverso de la dirección IP de envío para definir el nombre de dominio de destino. Sólo se aplica si hay al menos un registro MX para el dominio consultado o especificado y ese registro MX contiene un registro PTR con un FQDN para la dirección IP del remitente. ptr

ptr:<domain>

Modificadores de la sintaxis del registro SPF

En la sintaxis del registro SPF, se pueden utilizar modificadores para cambiar el comportamiento por defecto de un registro SPF. Los modificadores pueden utilizarse para especificar excepciones a las reglas, o pueden utilizarse para proporcionar información adicional al receptor.

Modificador Propósito Aplicación
exp El modificador "exp" es un valor que especifica una explicación de por qué un mensaje fue rechazado. Está pensado para ayudar a los remitentes a evitar ciertos tipos de problemas, y puede utilizarse para informarles de la razón específica por la que su mensaje no fue aceptado por el servidor receptor. exp=<domain>
redirigir El modificador de redirección es una cadena que sustituye al nombre completo del dominio en el registro SPF. El propósito de este modificador es redirigir todo el correo enviado al dominio a otro servidor. Esto puede ser útil para los dominios con múltiples registros MX o para los dominios que han sido reasignados a otra empresa pero que siguen utilizando las mismas direcciones de correo electrónico. redirect=<domain>

Conclusión

El registro SPF es una parte importante de los registros DNS de su dominio. Indica a otros servidores de correo cómo autenticar los mensajes que dicen provenir de usted, lo que significa que es importante que tenga un registro SPF correctamente configurado. Sin embargo, asegúrese de combinar el SPF con el DMARC para mejorar la protección contra el compromiso del correo electrónico y la suplantación de identidad. 

La página web Herramienta de búsqueda de registros SPF puede ayudarle a hacerlo. La herramienta de búsqueda le dará una visión rápida de cómo es su registro SPF actual, incluyendo si le falta algún campo obligatorio.El generador le permitirá crear una sintaxis de registro SPF desde cero, completa con todos los campos requeridos para que se pueda añadir a sus registros DNS de inmediato.