Puestos

Los estándares de autenticación del correo electrónico: SPF, DKIM y DMARC son prometedores para reducir los intentos de suplantación de identidad en el correo electrónico y mejorar la capacidad de entrega del mismo. Los estándares de autenticación de correo electrónico, además de diferenciar los correos electrónicos falsos de los legítimos, van más allá para distinguir si un correo electrónico es legítimo verificando la identidad del remitente.

A medida que más organizaciones adopten estas normas, el mensaje general de confianza y autoridad en la comunicación por correo electrónico comenzará a reafirmarse. Todas las empresas que dependen del marketing por correo electrónico, de las solicitudes de proyectos, de las transacciones financieras y del intercambio general de información dentro de las empresas o entre ellas deben comprender los aspectos básicos para los que están diseñadas estas soluciones y los beneficios que pueden obtener de ellas.

¿Qué es el Email Spoofing?

El spoofing del correo electrónico es un problema de ciberseguridad muy común en las empresas de hoy en día. En este artículo, entenderemos cómo funciona el spoofing y los distintos métodos para combatirlo. Conoceremos los tres estándares de autenticación utilizados por los proveedores de correo electrónico: SPF, DKIM y DMARC para evitarlo.

El spoofing de correo electrónico puede clasificarse como un ataque avanzado de ingeniería social que utiliza una combinación de técnicas sofisticadas para manipular el entorno de mensajería y explotar las características legítimas del correo electrónico. Estos correos electrónicos suelen parecer totalmente legítimos, pero están diseñados con la intención de obtener acceso a su información y/o recursos. El spoofing del correo electrónico se utiliza para una variedad de propósitos que van desde los intentos de cometer un fraude, a la violación de la seguridad, e incluso para tratar de obtener acceso a la información comercial confidencial. Como una forma muy popular de falsificación de correo electrónico, los ataques de spoofing tienen como objetivo engañar a los destinatarios haciéndoles creer que un correo electrónico fue enviado por una empresa que utilizan y en la que pueden confiar, en lugar del remitente real. Dado que los correos electrónicos se envían y reciben cada vez más en masa, esta forma maliciosa de estafa por correo electrónico ha aumentado drásticamente en los últimos años.

¿Cómo puede la autenticación del correo electrónico evitar la suplantación de identidad?

La autenticación de correo electrónico le ayuda a verificar las fuentes de envío de correo electrónico con protocolos como SPF, DKIM y DMARC para evitar que los atacantes falsifiquen los nombres de dominio y lancen ataques de suplantación para engañar a los usuarios desprevenidos. Proporciona información verificable sobre los remitentes de correo electrónico que puede utilizarse para demostrar su legitimidad y especificar a los MTA receptores qué hacer con los correos electrónicos que no superan la autenticación.

Por lo tanto, para enumerar los diversos beneficios de la autenticación del correo electrónico, podemos confirmar que SPF, DKIM y DMARC ayudan:

  • Proteger su dominio de ataques de phishing, suplantación de dominio y BEC
  • Proporcionar información granular y conocimientos sobre las fuentes de envío de correo electrónico
  • Mejora de la reputación del dominio y de las tasas de entrega del correo electrónico
  • Evitar que sus correos legítimos sean marcados como spam

¿Cómo colaboran SPF, DKIM y DMARC para evitar la suplantación de identidad?

Marco normativo del remitente

SPF es una técnica de autenticación de correo electrónico utilizada para evitar que los spammers envíen mensajes en nombre de su dominio. Con ella, puede publicar servidores de correo autorizados, lo que le permite especificar qué servidores de correo electrónico están autorizados a enviar mensajes en nombre de su dominio. Un registro SPF se almacena en el DNS, enumerando todas las direcciones IP que están autorizadas a enviar correo para su organización.

Si quiere aprovechar el SPF de forma que se garantice su buen funcionamiento, debe asegurarse de que el SPF no se rompa para sus correos electrónicos. Esto podría ocurrir en caso de que exceda el límite de 10 búsquedas de DNS, causando un permerror de SPF. El aplanamiento de SPF puede ayudarle a mantenerse por debajo del límite y a autenticar sus correos electrónicos sin problemas.

Correo identificado con DomainKeys

La suplantación de un remitente de confianza puede utilizarse para engañar a su destinatario y hacerle bajar la guardia. DKIM es una solución de seguridad para el correo electrónico que añade una firma digital a cada mensaje que sale de la bandeja de entrada de tu cliente, lo que permite al receptor verificar que efectivamente fue autorizado por tu dominio y entrar en la lista de remitentes de confianza de tu sitio.

DKIM asigna un valor hash único, vinculado a un nombre de dominio, a cada mensaje de correo electrónico saliente, lo que permite al receptor comprobar si un correo electrónico que dice proceder de un dominio específico ha sido realmente autorizado por el propietario de ese dominio o no. Esto ayuda a detectar los intentos de suplantación de identidad.

Autenticación de mensajes basada en el dominio, informes y conformidad

La simple implementación de SPF y DKIM puede ayudar a verificar las fuentes de envío, pero no es lo suficientemente eficaz como para detener el spoofing por sí solo. Para evitar que los ciberdelincuentes envíen correos electrónicos falsos a sus destinatarios, debe implementar DMARC hoy mismo. DMARC le ayuda a alinear las cabeceras del correo electrónico para verificar las direcciones del remitente, exponiendo los intentos de suplantación y el uso fraudulento de los nombres de dominio. Además, ofrece a los propietarios de dominios el poder de especificar a los servidores de recepción de correo electrónico cómo responder a los correos electrónicos que no superan la autenticación SPF y DKIM. Los propietarios de los dominios pueden optar por entregar, poner en cuarentena y rechazar los correos electrónicos falsos en función del grado de cumplimiento de DMARC que necesiten.

Nota: Sólo una política DMARC de rechazo permite detener el spoofing.

Además, DMARC también ofrece un mecanismo de informes para proporcionar a los propietarios de dominios visibilidad sobre sus canales de correo electrónico y resultados de autenticación. Al configurar su analizador de informes DMARC, puede supervisar sus dominios de correo electrónico de forma regular con información detallada sobre las fuentes de envío de correo electrónico, los resultados de la autenticación de correo electrónico, las geolocalizaciones de las direcciones IP fraudulentas y el rendimiento general de sus correos electrónicos. Le ayuda a analizar sus datos DMARC en un formato organizado y legible, y a tomar medidas contra los atacantes más rápidamente.

En última instancia, SPF, DKIM y DMARC pueden trabajar juntos para ayudarle a catapultar la seguridad del correo electrónico de su organización a nuevas cotas, y evitar que los atacantes falsifiquen su nombre de dominio para salvaguardar la reputación y credibilidad de su organización.

Si estás en esta página leyendo este blog, lo más probable es que te hayas encontrado con alguna de las siguientes indicaciones:

  • No se ha encontrado ningún registro SPF
  • Falta el registro SPF
  • No hay registro SPF
  • Registro SPF no encontrado
  • No se ha publicado ningún registro SPF
  • No se puede encontrar el registro SPF

El aviso simplemente significa que su dominio no está configurado con el estándar de autenticación de correo electrónico SPF. Un registro SPF es un registro TXT de DNS que se publica en el DNS de su dominio para autenticar los mensajes cotejándolos con las direcciones IP autorizadas que pueden enviar correos electrónicos en nombre de su dominio, incluidas en su registro SPF. Así que, naturalmente, si su dominio no está autenticado con el protocolo SPF puede encontrarse con un mensaje de "No se ha encontrado el registro SPF".

¿Qué es el Marco de Políticas de Remitentes (SPF)?

El estándar de autenticación de correo electrónicoSPF es un mecanismo utilizado para evitar que los spammers falsifiquen los correos electrónicos. Utiliza registros DNS para verificar que el servidor remitente está autorizado a enviar correos electrónicos desde el nombre de dominio. SPF, que significa Sender Policy Framework, permite identificar a los remitentes permitidos de correos electrónicos en su dominio.

SPF es un sistema de autenticación "basado en la ruta", lo que implica que está relacionado con la ruta que sigue el correo electrónico desde el servidor de envío original hasta el servidor receptor. El SPF no sólo permite a las organizaciones autorizar a las direcciones IP para que utilicen sus nombres de dominio al enviar correos electrónicos, sino que también proporciona una forma de que un servidor de correo electrónico receptor pueda comprobar esa autorización.

¿Necesito configurar el SPF?

Probablemente le hayan dicho que necesita la autenticación de correo electrónico SPF (Sender Policy Framework). Pero, ¿lo necesita realmente una empresa? Y si es así, ¿hay otros beneficios? Esta pregunta se suele entender cuando la empresa se convierte en un gran intercambiador de correo electrónico para su organización. Con SPF, puede rastrear el comportamiento del correo electrónico para detectar mensajes fraudulentos y proteger a su empresa de problemas relacionados con el spam, la suplantación de identidad y los ataques de phishing. El SPF le ayuda a conseguir la máxima entregabilidad y protección de la marca al verificar la identidad de los remitentes.

¿Cómo funciona el FPS?

  • Los registros SPF son registros del Sistema de Nombres de Dominio (DNS) con un formato especial publicados por los administradores de dominios que definen qué servidores de correo están autorizados a enviar correo en nombre de ese dominio.
  • Con el SPF configurado para su dominio, cada vez que se envía un correo electrónico desde su dominio, el servidor de correo del destinatario busca las especificaciones del dominio de retorno en el
  • DNS. Posteriormente, ha intentado hacer coincidir la dirección IP del remitente con las direcciones autorizadas definidas en su registro SPF.
  • De acuerdo con las especificaciones de la política SPF, el servidor receptor decide entonces si entregar, rechazar o marcar el correo electrónico en caso de que falle la autenticación.

Desglosando la sintaxis de un registro SPF

Tomemos el ejemplo de un registro SPF para un dominio ficticio con la sintaxis correcta:

v=spf1 ip4:29.337.148 include:dominio.com -all

 

Cómo detener el mensaje "No se ha encontrado ningún registro SPF"

Si quiere dejar de recibir el molesto aviso "No se ha encontrado ningún registro SPF" todo lo que tiene que hacer es configurar el SPF para su dominio publicando un registro TXT de DNS. Puede utilizar nuestro generador de registros SPF gratuito para crear un registro instantáneo con la sintaxis correcta, para publicarlo en su DNS.

Todo lo que tienes que hacer es:

  • Elija si desea permitir que los servidores listados como MX envíen correos electrónicos para su dominio
  • Elija si desea permitir que la dirección IP actual del dominio envíe correo electrónico para este dominio
  • Rellene las direcciones IP autorizadas para enviar correos electrónicos desde su dominio
  • Añade cualquier otro nombre de servidor o dominio que pueda entregar o retransmitir correo para tu dominio
  • Elija el modo de la política SPF o el nivel de rigor del servidor receptor entre Fail (se rechazarán los correos no conformes), Soft-fail (se aceptarán los correos no conformes pero se marcarán) y Neutral (probablemente se aceptarán los correos)
  • Haga clic en Generar registro SPF para crear instantáneamente su registro

En caso de que ya tenga configurado el SPF para su dominio, también puede utilizar nuestro comprobador de registros SPF gratuito para buscar y validar su registro SPF y detectar problemas.

¿Es suficiente con publicar un registro SPF?

La respuesta es no. El SPF por sí solo no puede evitar la suplantación de su marca. Para una protección óptima contra la suplantación de dominio directa, los ataques de phishing y BEC, debe configurar DKIM y DMARC para su dominio.

Además, el SPF tiene un límite de 10 búsquedas de DNS. Si supera este límite, su SPF se romperá y la autenticación fallará incluso para los correos electrónicos legítimos. Por eso necesita un aplanador SPF dinámico que le ayude a mantenerse por debajo del límite de 10 búsquedas de DNS, además de mantenerle actualizado sobre los cambios realizados por sus proveedores de intercambio de correo electrónico.

Esperamos que este blog le haya ayudado a resolver su problema y no tenga que preocuparse nunca más por el mensaje "No se ha encontrado ningún registro SPF". Regístrese para obtener una prueba gratuita de autenticación de correo electrónico para mejorar la entregabilidad y la seguridad de su correo electrónico hoy mismo.

 

Razones para evitar el aplanamiento del FPS

Sender Policy Framework, o SPF es un protocolo de autenticación de correo electrónico ampliamente aclamado que valida sus mensajes autenticándolos contra todas las direcciones IP autorizadas registradas para su dominio en su registro SPF. Para validar los mensajes de correo electrónico, SPF especifica al servidor de correo receptor que realice consultas de DNS para comprobar las IP autorizadas, lo que da lugar a búsquedas de DNS.

Su registro SPF existe como un registro DNS TXT que está formado por un conjunto de varios mecanismos. La mayoría de estos mecanismos (como include, a, mx, redirect, exists, ptr) generan búsquedas DNS. Sin embargo, el número máximo de búsquedas DNS para la autenticación SPF está limitado a 10. Si utiliza varios proveedores de terceros para enviar correos electrónicos utilizando su dominio, puede superar fácilmente el límite duro de SPF.

Quizá se pregunte qué ocurre si supera este límite. Si se supera el límite de 10 búsquedas en el DNS, el SPF fallará e invalidará incluso los mensajes legítimos enviados desde su dominio. En estos casos, el servidor de correo receptor devuelve un informe SPF PermError a tu dominio si tienes activada la monitorización DMARC.Esto nos hace llegar al tema principal de discusión de este blog: SPF flattening.

¿Qué es el aplanamiento del FPS?

El aplanamiento del registro SPF es uno de los métodos más populares utilizados por los expertos del sector para optimizar su registro SPF y evitar superar el límite duro del SPF. El procedimiento para aplanar el SPF es bastante sencillo. Aplanar su registro SPF es el proceso de reemplazar todos los mecanismos de inclusión con sus respectivas direcciones IP para eliminar la necesidad de realizar búsquedas de DNS.

Por ejemplo, si su registro SPF tenía inicialmente el siguiente aspecto

v=spf1 include:spf.domain.com -all

Un registro SPF aplanado tendrá el siguiente aspecto:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Este registro aplanado genera sólo una búsqueda de DNS, en lugar de realizar múltiples búsquedas. Reducir el número de consultas DNS realizadas por el servidor receptor durante la autenticación del correo electrónico ayuda a mantenerse por debajo del límite de 10 búsquedas DNS, sin embargo, tiene sus propios problemas.

El problema del aplanamiento del FPS

Aparte del hecho de que su registro SPF aplanado manualmente puede resultar demasiado largo para publicarlo en el DNS de su dominio (superando el límite de 255 caracteres), tiene que tener en cuenta que su proveedor de servicios de correo electrónico puede cambiar o añadir sus direcciones IP sin notificárselo a usted como usuario. De vez en cuando, cuando su proveedor hace cambios en su infraestructura, estas alteraciones no se reflejan en su registro SPF. Por lo tanto, siempre que su servidor de correo utilice estas direcciones IP cambiadas o nuevas, el correo electrónico fallará el SPF en el lado del receptor.

PowerSPF: Su generador de registros SPF dinámicos

El objetivo final de PowerDMARC fue crear una solución que pueda evitar que los propietarios de dominios lleguen al límite de 10 búsquedas de DNS, así como optimizar su registro SPF para estar siempre actualizado en las últimas direcciones IP que utilizan sus proveedores de servicios de correo electrónico. PowerSPF es su solución automatizada de aplanamiento de SPF que se encarga de revisar su registro SPF para generar una única declaración de inclusión. PowerSPF le ayuda:

  • Añadir o eliminar IPs y mecanismos con facilidad
  • Actualiza automáticamente los bloqueos de red para asegurarte de que tus IPs autorizadas están siempre al día
  • Manténgase por debajo del límite de 10 búsquedas de DNS con facilidad
  • Obtenga un registro SPF optimizado con un solo clic
  • Derrotar permanentemente al "permerror
  • Implantar un SPF sin errores

Regístrese en PowerDMARC hoy mismo para garantizar una mayor capacidad de entrega y autenticación del correo electrónico, todo ello sin superar el límite de 10 búsquedas SPF de DNS .

En este artículo, exploraremos cómo optimizar el registro SPF fácilmente para su dominio. Tanto las empresas como los pequeños negocios que poseen un dominio de correo electrónico para enviar y recibir mensajes entre sus clientes, socios y empleados, es muy probable que exista un registro SPF por defecto, que ha sido configurado por su proveedor de servicios de bandeja de entrada. No importa si tiene un registro SPF preexistente o si necesita crear uno nuevo, debe optimizar su registro SPF correctamente para su dominio con el fin de garantizar que no cause problemas de entrega de correo electrónico.

Algunos destinatarios de correo electrónico exigen estrictamente el SPF, lo que indica que si no tiene un registro SPF publicado para su dominio sus correos electrónicos pueden ser marcados como spam en la bandeja de entrada de su receptor. Además, el SPF ayuda a detectar fuentes no autorizadas que envían correos electrónicos en nombre de su dominio.

Entendamos primero qué es el FPS y por qué se necesita.

Marco de la política de remitentes (SPF)

SPF es esencialmente un protocolo de autenticación de correo electrónico estándar que especifica las direcciones IP que están autorizadas a enviar correos electrónicos desde su dominio. Funciona comparando las direcciones de los remitentes con la lista de hosts de envío autorizados y las direcciones IP para un dominio específico que se publica en el DNS para ese dominio.

SPF, junto con DMARC (Domain-based Message Authentication, Reporting and Conformance) está diseñado para detectar direcciones de remitente falsas durante la entrega del correo electrónico y prevenir ataques de spoofing, phishing y estafas por correo electrónico.

Es importante saber que, aunque el SPF por defecto integrado en su dominio por su proveedor de alojamiento asegura que los correos electrónicos enviados desde su dominio se autentifiquen contra el SPF, si tiene varios proveedores de terceros para enviar correos electrónicos desde su dominio, este registro SPF preexistente debe ser adaptado y modificado para ajustarse a sus necesidades. ¿Cómo puede hacerlo? Exploremos dos de las formas más comunes:

  • Creación de un nuevo registro SPF
  • Optimizar un registro SPF existente

Instrucciones para optimizar el registro SPF

Crear un nuevo registro SPF

Crear un registro SPF es simplemente publicar un registro TXT en el DNS de su dominio para configurar el SPF para su dominio. Este es un paso obligatorio que viene antes de empezar a optimizar el registro SPF. Si está empezando con la autenticación y no está seguro de la sintaxis, puede utilizar nuestro generador de registros SPF en línea gratuito para crear un registro SPF para su dominio.

Una entrada de registro SPF con una sintaxis correcta tendrá el siguiente aspecto:

v=spf1 ip4:38.146.237 include:ejemplo.com -all

v=spf1Especifica la versión de SPF que se está utilizando
ip4/ip6Este mecanismo especifica las direcciones IP válidas que están autorizadas a enviar correos electrónicos desde su dominio.
incluyeEste mecanismo indica a los servidores receptores que incluyan los valores del registro SPF del dominio especificado.
-todosEste mecanismo especifica que los correos electrónicos que no sean compatibles con SPF serán rechazados. Esta es la etiqueta recomendada que puede utilizar al publicar su registro SPF. Sin embargo, puede sustituirse por ~ para SPF Soft Fail (los correos electrónicos no conformes se marcarían como soft fail, pero seguirían siendo aceptados) o por +, que especifica que todos y cada uno de los servidores podrán enviar correos electrónicos en nombre de su dominio, lo que se desaconseja totalmente.

Si ya tiene configurado el SPF para su dominio, también puede utilizar nuestro comprobador de registros SPF gratuito para buscar y validar su registro SPF y detectar problemas.

Desafíos y errores comunes al configurar el SPF

1) Límite de 10 búsquedas de DNS 

El reto más común al que se enfrentan los propietarios de dominios al configurar y adoptar el protocolo de autenticación SPF para su dominio, es que SPF viene con un límite en el número de búsquedas de DNS, que no puede exceder de 10. Para los dominios que dependen de varios proveedores de terceros, el límite de 10 búsquedas DNS se excede fácilmente, lo que a su vez rompe el SPF y devuelve un SPF PermError. El servidor receptor en estos casos invalida automáticamente su registro SPF y lo bloquea.

Mecanismos que inician las búsquedas de DNS: MX, A, INCLUDE, modificador REDIRECT

2) Búsqueda de vacíos en el FPS 

Las búsquedas nulas se refieren a las búsquedas de DNS que devuelven una respuesta NOERROR o NXDOMAIN (respuesta nula). Al implementar el SPF, se recomienda asegurarse de que las búsquedas de DNS no devuelvan una respuesta nula en primer lugar.

3) Bucle recursivo SPF

Este error indica que el registro SPF del dominio especificado contiene problemas de recursividad con uno o varios de los mecanismos INCLUDE. Esto tiene lugar cuando uno de los dominios especificados en la etiqueta INCLUDE contiene un dominio cuyo registro SPF contiene la etiqueta INCLUDE del dominio original. Esto conduce a un bucle interminable que hace que los servidores de correo electrónico realicen continuamente búsquedas de DNS para los registros SPF. En última instancia, esto hace que se supere el límite de 10 búsquedas de DNS, lo que hace que los correos electrónicos fallen el SPF.

4) Errores de sintaxis 

Un registro SPF puede existir en el DNS de su dominio, pero no sirve de nada si contiene errores de sintaxis. Si su registro SPF TXT contiene espacios en blanco innecesarios al escribir el nombre del dominio o el nombre del mecanismo, la cadena que precede al espacio extra sería completamente ignorada por el servidor receptor al realizar una búsqueda, invalidando así el registro SPF.

5) Múltiples registros SPF para el mismo dominio

Un mismo dominio sólo puede tener una entrada SPF TXT en el DNS. Si su dominio contiene más de un registro SPF, el servidor receptor los invalida todos, haciendo que los correos electrónicos no pasen el SPF.

6) Longitud del registro SPF 

La longitud máxima de un registro SPF en el DNS está limitada a 255 caracteres. Sin embargo, este límite puede superarse y un registro TXT para SPF puede contener varias cadenas concatenadas, pero no más allá de un límite de 512 caracteres, para ajustarse a la respuesta de consulta del DNS (según el RFC 4408). Aunque esto se revisó más tarde, los destinatarios que dependen de versiones de DNS más antiguas no podrían validar los correos electrónicos enviados desde dominios que contienen un registro SPF largo.

Optimizar su registro SPF

Para modificar rápidamente su registro SPF puede utilizar las siguientes prácticas recomendadas de SPF:

  • Intente escribir sus fuentes de correo electrónico en orden decreciente de importancia de izquierda a derecha en su registro SPF
  • Elimine las fuentes de correo electrónico obsoletas de su DNS
  • Utilizar mecanismos IP4/IP6 en lugar de A y MX
  • Mantenga el número de mecanismos INCLUDE lo más bajo posible y evite los includes anidados
  • No publique más de un registro SPF para el mismo dominio en su DNS
  • Asegúrese de que su registro SPF no contiene espacios en blanco redundantes ni errores de sintaxis

Nota: No se recomienda aplanar el SPF, ya que no es algo que se haga una sola vez. Si su proveedor de servicios de correo electrónico cambia su infraestructura, tendrá que cambiar sus registros SPF en consecuencia, cada vez.

Optimizar su registro SPF es fácil con PowerSPF

Puede seguir adelante e intentar implementar todas las modificaciones mencionadas anteriormente para optimizar su registro SPF manualmente, o puede olvidarse de las molestias y confiar en nuestro dinámico PowerSPF para que haga todo eso por usted automáticamente. PowerSPF le ayuda a optimizar su registro SPF con un solo clic, en el que puede:

  • Añadir o eliminar fuentes de envío con facilidad
  • Actualice los registros fácilmente sin tener que hacer cambios manuales en sus DNS
  • Obtenga un registro SPF automático optimizado con un solo clic
  • Manténgase por debajo del límite de 10 búsquedas de DNS en todo momento
  • Mitigar con éxito PermError
  • Olvídese de los errores de sintaxis del registro SPF y de los problemas de configuración
  • Le quitamos la carga de resolver las limitaciones del FPS en su nombre

Regístrese en PowerDMARC hoy mismo y diga adiós a las limitaciones del FPS para siempre.  

Como proveedor de servicios DMARC, nos hacen esta pregunta a menudo: "Si DMARC sólo utiliza la autenticación SPF y DKIM, ¿por qué deberíamos molestarnos con DMARC? ¿No es innecesario?"

A primera vista puede parecer que no hay mucha diferencia, pero la realidad es muy diferente. DMARC no es sólo una combinación de las tecnologías SPF y DKIM, es un protocolo completamente nuevo por sí mismo. Tiene varias características que lo convierten en uno de los estándares de autenticación de correo electrónico más avanzados del mundo, y en una necesidad absoluta para las empresas.

Pero espere un momento. No hemos respondido exactamente por qué necesita DMARC. ¿Qué ofrece que no ofrezcan SPF y DKIM? Bueno, esa es una respuesta bastante larga; demasiado larga para una sola entrada del blog. Así que vamos a dividirla y a hablar primero del SPF. En caso de que no estés familiarizado con él, aquí tienes una rápida introducción.

¿Qué es el FPS?

SPF, o Sender Policy Framework, es un protocolo de autenticación de correo electrónico que protege al receptor del correo electrónico de los mensajes falsos. Es esencialmente una lista de todas las direcciones IP autorizadas para enviar correo electrónico a través de sus canales (el propietario del dominio). Cuando el servidor receptor ve un mensaje de su dominio, comprueba su registro SPF que está publicado en su DNS. Si la IP del remitente está en esta "lista", el correo electrónico se entrega. Si no, el servidor rechaza el correo.

Como puede ver, el SPF hace un buen trabajo al mantener alejados muchos correos electrónicos desagradables que podrían dañar su dispositivo o comprometer los sistemas de seguridad de su organización. Pero el SPF no es tan bueno como algunos podrían pensar. Esto se debe a que tiene algunos inconvenientes importantes. Hablemos de algunos de estos problemas.

Limitaciones del SPF

Los registros SPF no se aplican a la dirección From

Los correos electrónicos tienen varias direcciones para identificar a su remitente: la dirección del remitente que normalmente se ve, y la dirección de la ruta de retorno que está oculta y requiere uno o dos clics para verla. Con el SPF activado, el servidor de correo electrónico receptor mira la ruta de retorno y comprueba los registros SPF del dominio de esa dirección.

El problema es que los atacantes pueden aprovecharse de ello utilizando un dominio falso en su dirección de retorno y una dirección de correo electrónico legítima (o que parece legítima) en la sección del remitente. Incluso si el receptor comprobara la identificación del correo electrónico del remitente, vería primero la dirección del remitente, y normalmente no se molestaría en comprobar la ruta de retorno. De hecho, la mayoría de la gente ni siquiera sabe que existe la dirección de retorno.

El SPF se puede eludir con bastante facilidad utilizando este sencillo truco, y deja incluso a los dominios protegidos con SPF muy vulnerables.

Los registros SPF tienen un límite de búsqueda en el DNS

Los registros SPF contienen una lista de todas las direcciones IP autorizadas por el propietario del dominio para enviar correos electrónicos. Sin embargo, tienen un inconveniente crucial. El servidor receptor tiene que comprobar el registro para ver si el remitente está autorizado, y para reducir la carga del servidor, los registros SPF tienen un límite de 10 búsquedas de DNS.

Esto significa que si su organización utiliza varios proveedores de terceros que envían correos electrónicos a través de su dominio, el registro SPF puede acabar sobrepasando ese límite. A menos que se optimice adecuadamente (lo que no es fácil de hacer uno mismo), los registros SPF tendrán un límite muy restrictivo. Cuando se sobrepasa este límite, la implementación del SPF se considera inválida y su correo electrónico falla el SPF. Esto podría perjudicar sus índices de entrega de correo electrónico.

 

El SPF no siempre funciona cuando se reenvía el correo electrónico

El SPF tiene otro punto de fallo crítico que puede dañar la capacidad de entrega de su correo electrónico. Cuando has implementado el SPF en tu dominio y alguien reenvía tu correo, el correo reenviado puede ser rechazado debido a tu política de SPF.

Esto se debe a que el mensaje reenviado ha cambiado el destinatario del correo electrónico, pero la dirección del remitente sigue siendo la misma. Esto se convierte en un problema porque el mensaje contiene la dirección del remitente original, pero el servidor receptor ve una IP diferente. La dirección IP del servidor de correo electrónico de reenvío no está incluida en el registro SPF del dominio del remitente original. Esto puede hacer que el correo electrónico sea rechazado por el servidor receptor.

¿Cómo resuelve DMARC estos problemas?

DMARC utiliza una combinación de SPF y DKIM para autenticar el correo electrónico. Un correo electrónico debe pasar el SPF o el DKIM para pasar el DMARC y ser entregado con éxito. Además, añade una característica clave que lo hace mucho más eficaz que SPF o DKIM por sí solos: Los informes.

Con los informes DMARC, obtendrá información diaria sobre el estado de sus canales de correo electrónico. Esto incluye información sobre su alineación DMARC, datos sobre los correos electrónicos que fallaron en la autenticación y detalles sobre posibles intentos de suplantación.

Si te preguntas qué puedes hacer para que no te suplanten, echa un vistazo a nuestra práctica guía sobre las 5 mejores formas de evitar la suplantación de identidad en el correo electrónico.