La base fundamental del marco SPF es el registro SPF de cada dominio. Él es quien informa la lista de servidores de email que están autorizados para enviar correo electrónico de un dominio o subdominio específico.
En este artículo te muestro como generar un registro SPF exitoso así como las mejores prácticas que te llevaran a ii incrementando el nivel de protección de tus correos electrónicos.
A continuación los pasos para crear Registros SPF exitosos:
Para crear Registros SPF, lo primero que hay que hacer es consolidar la lista de todos los dominios asociados con tu marca o empresa. No importa si el dominio envía o no correos electrónicos.
De hecho, es muy importante asegurar los dominios que no usas, porque justamente esos dominios olvidados son los más susceptibles a ser blanco de ataques.
Identificar cualquier fuente propia y de terceros que envíe correo electrónico en nombre de su dominio.
Esto incluye:
Para agregar un registro SPF, necesitarás acceso al panel de control de DNS de tu dominio. Esto lo puedes hacer directamente en tu hosting o a través del proveedor de servicios de TI que dispongas
Agregua cualquier dirección IP explícita conocida para enviar correo electrónico en tu dominio
Añade cualquier proveedor externo utilizando la declaración include. El mecanismo include hace referencia al registro SPF del dominio y permite que un dominio autorice una lista de IP mantenida por otra organización.
La declaración include es uno de los pocos mecanismos que requiere una consulta de DNS. SPF tiene un límite incorporado de 10 mecanismos de consulta de DNS que designan a los remitentes. Las direcciones IP identificadas explícitamente en un registro SPF no cuentan para el límite de búsqueda de 10 DNS.
Todo registro SPF comienza con v=spfv1 que es el especificador de la única versión vigente al momento
Luego del especificador de versión, vienen las directivas, identificando servidores que tienen (o no) permiso para enviar para un dominio.
Una directiva consta de un mecanismo que define al remitente y de un calificador que indica la acción a tomar
Los más utilizados son a e include, sin embargo acá te dejo todos
| Mecanismo | Objetivo | Ejemplo |
| ipv4 | Dirección IPv4 explícita/bloque de red | ip4:10.20.15.85 o en notación CIDR ip4:10.20.15.0/16 |
| ip6 | Dirección IPv6 explícita/bloque de red | ip6:1080::8:800:200C:417A/96 |
| a | Una dirección en el dominio | a o a:ejemplo.org |
| mx | Busque MX para el dominio, luego su dirección | mx o mx:genuimentor.com |
| ptr (obsoleto) | Busque PTR para la dirección IP de conexión, luego A para cada resultado, luego haga coincidir las IP devueltas con la IP de conexión | prt |
| all | Significa “Coincide con todo” y es el último mecanismo a escribir | all |
| include | Autorizar servidores de diferentes dominios | include:_spf.google.com |
| exists | Coincide si existe un registro para el dominio | exists:{ir}.genuimentor.com |
Se agregan calificadores al comienzo de los mecanismos para decirles a los receptores qué deben hacer si hay una coincidencia. Los calificadores son opcionales. Si no se usa explícitamente un calificador, se asume que pasa (o +).
| Calificador | Significado |
| + | Pass (Aprobado): la fuente coincidente está autorizada. Este es el valor por Defecto |
| – | Fail (Falla): la fuente coincidente realmente no está autorizada |
| ? | Neutral: la fuente coincidente es ambigua |
| ~ | SoftFail (Falla suave): la fuente coincidente no está autorizada |
El punto de mayor cuidado es que realmente se contemplen todas las fuentes de correo existentes para evitar rechazo a correos legítimos.
Lo ideal es comenzar con una política +all y supervisar durante un tiempo todas las fuentes que se presenten.
Para ello hay herramientas como DMARCLY que reciben los reportes DMARC y te presentan los resultados donde podrás ver todas las fuentes de email en los dominios que especifiques.
Una vez que ya hayas hecho legítimas todas las fuentes modificando tu registro SPF para incluirlas a todas, puedes incrementar la polítcas e ir aumentando hasta llegar a ~all, seguir monitereando y luego subir a -all
A continuación te presento ejemplos de registros SPF para diferentes plataformas, he considerado como ejemplo el mecanismo final como +all.
Es responsabilidad tuya validar la exactitud de los mecanismos a usar en tu caso, si requieres ayuda, puedes contactarme
v=spfv1 include _spf.google.com +all
v=spfv1 include:8004593.spf05.hubspotemail.net +all
Este valor depende de cada tenant de Hubspot
v=spfv1 include:servers.mcsv.net +all
Puedes mezclar y unir de acuerdo al caso
v=spfv1 include _spf.google.com include:8004593.spf05.hubspotemail.net include:servers.mcsv.net +all
Elaborar un registro SPF es algo que parece muy sencillo y de hecho lo es, el punto es ser lo suficientemente paciente y detallista para lograr obtener un listado de servidores autorizados exacto y preciso.
Esto se logra a través de un monitoreo lo suficientemente amplio para ir incorporando servidores y optimizando tu registro.
Principal Solutions Engineer en ICT International MSP
Especialista en Ciberseguridad ZeroTrust | Content Marketer | Experto SEO |
Esta entrada ha sido publicada el 18 de julio de 2022
Trabajemos Juntos, Hagamos una PoC Gratis a través de un MSP
Esta web usa cookies.
Leer más...
