SPF es uno de los pilares fundamentales de la seguridad en el correo electrónico, si bien es cierto, no es vinculante, aporta una validación muy importante dentro del marco de DMARC quien une a SPF y DKIM para una validación más completa.
Conocer quiénes son los servidores autorizados para enviar correo electrónico en nombre de un dominio ayuda a prevenir ataques como el spoofing o suplantación de identidad en los correos.
Como dominio que envía email, implementar estas tecnologías, ayuda a aumentar la tasa de entregas exitosas de tus correos al crear vínculos de confianza entre el domino y sus servidores legítimos.
Mientras que como receptor de emails, implementar estas tecnologías, reduce el riesgo de ser víctima de spoffing o phishing al tener opción a rechazar correos que no cumplen con la autenticación exitosa dentro de este marco.
Tabla de Contenidos
Son las siglas en inglés de Sender Policy Framework o su traducción Marco de Políticas del Remitente.
Se utiliza para autenticar al remitente de un correo electrónico y está definido por la IETF en RFC 7208.
Sender Policy Framework junto con DKIM (DomainKeys Identified Mail) son las tecnologías de autenticación y seguridad de email en las que se basa DMARC (Domain-based Message Authentication, Reporting, and Conformance)
SPF se ha vuelto extremadamente importante para ayudar a verificar qué infraestructura puede enviar correo electrónico en nombre de un dominio y afecta directamente la capacidad de entrega.
Consultando vía DNS un registro SPF, los proveedores de servicios de correo electrónico pueden verificar que un servidor de correo esté autorizado para enviar correos electrónicos para un dominio específico.
El Registro SPF es un registro DNS tipo TXT cuyo valor contiene una lista de las direcciones IP o nombres de los servidores que son los únicos autorizados para enviar correos electrónicos en nombre de un domino en específico.
El registro SPF TXT es válido solo para el dominio o subdominio en el que se encuentra definido, es decir no es heredable del dominio principal como lo es en DMARC.
Para determinar el dominio del remitente, se utiliza el dominio especificado en la dirección SMTP “mail from” que usualmente se encuentra en el encabezado “Return-Path”
Cuando un remitente intenta entregar un correo electrónico a un servidor de “recepción” de correo electrónico para su entrega, el servidor verifica si el remitente está en la lista de remitentes permitidos del dominio.
Esto lo realiza consultando al DNS de dicho dominio el listado de servidores autorizados que está disponible en el único registro SPF TXT.
Si el email es legítimo (proveniente de un servidor autorizado), se establece un vínculo de confianza entre el mensaje de correo electrónico y el dominio de correo electrónico.
Si es ilegítimo (proveniente de un servidor NO autorizado), aún no es una condición determinante por lo que el servidor que recibe el email continúa evaluándolo como de costumbre sin esta relación de confianza, porque podrían estar sucediendo varias situaciones:
Como puedes observar, hay demasiados resultados posibles que dificultan atribuir significado a la ausencia del vínculo que SPF puede proporcionar.
SPF es solo uno de los medios para autenticar el correo electrónico. DKIM llena el vacío en el marco técnico de DMARC como una forma adicional de intentar vincular un correo electrónico a un dominio.
La validación de SPF requiere que especifique direcciones IP individuales o rangos que están autorizados para enviar correos electrónicos en su nombre. Un solo dominio solo puede tener un registro SPF; múltiples registros asociados con un solo dominio es un error.
Por sí mismo, SPF puede asociar un correo electrónico con un dominio. Sin DMARC, SPF solo da una señal al servidor receptor y no les dice a los receptores qué hacer con el correo electrónico de remitentes no autorizados.
A lo sumo, la señal proporcionada por SPF con respecto a un remitente no autorizado aumenta la puntuación de spam de un correo electrónico. Esta señal no brinda suficiente protección si el correo electrónico es un ataque de fraude.
Con los registros DNS apropiados en su lugar, DMARC vincula los resultados de SPF, específicamente al dominio que se encuentra en la dirección SMTP “Mail From” del encabezado Return-Path, al contenido del correo electrónico. La dirección SMTP “Mail From” NO es visible para el destinatario en el encabezado “De:” de un correo electrónico.
Para que SPF funcione correctamente en el contexto de DMARC, la dirección SMTP “Mail From” debe ser relevante para el dominio que se encuentra en el encabezado “From:”. Cuando estos dos dominios coinciden, están alineados, un requisito para que se apruebe DMARC.
Tener un registro SPF válido, preciso y alineado conducirá a una mejor cobertura de autenticación y capacidad de entrega; además, ayudará a promover el nivel deseado de seguridad para sus dominios.
Tanto DMARC y sus aliados SPF y DKIM son tecnologías que deben ser ampliamente implementadas para lograr una mayor seguridad dentro del correo electrónico que es uno de los eslabones más susceptibles en la ciberseguridad.
Principal Solutions Engineer en ICT International MSP
Especialista en Ciberseguridad ZeroTrust | Content Marketer | Experto SEO |
Esta entrada ha sido publicada el 18 de julio de 2022
Trabajemos Juntos, Hagamos una PoC Gratis a través de un MSP
Esta web usa cookies.
Leer más...