¿Qué sucede si de súbito te das cuenta de que un actor malicioso está haciendo uso indebido del nombre de tu dominio para enviar correos fraudulentos? Solo imagina el nivel de daño que puede causar a la reputación de tu empresa con unos cuantos correos que contengan spam y phishing.
Afortunadamente, es posible controlar quién usa tu dominio al momento de enviar correos electrónicos. La solución reside en SPF, o el marco de políticas de envío (Sender Policy Framework en inglés), el cual es un método de autenticación para correos electrónicos que funciona junto al sistema de nombres de dominio (DNS).
En este blog vamos analizar un poco más sobre qué es un registro SPF, cómo funciona, que estructura posee y sus componentes.
¿Qué es un registro SPF?
SPF es la abreviatura para la política conocida como “marco de políticas del remitente”, un registro SPF viene presentado como un archivo TXT que debe ser incluido en tu DNS para enumerar las direcciones IP que tienen permitido el envío de correos electrónicos desde un dominio específico. Un administrador de dominio es el que se encarga de ingresar el registro TXT en el DNS para ayudarte a rastrear y regular los nombres de dominio y las direcciones que manejas en la internet.
Los dueños de negocios deben saber qué es un registro SPF por razones de conveniencia y seguridad para sus infraestructuras de correo electrónico, sobre todo porque este sistema ayuda a evitar el spam y el phishing que pueda producirse a nombre de tu empresa en correos falsificados.
Si tienes varias direcciones IP o servidores para manejar tu flujo de correos, puedes crear un registro SPF que enumere todos. De esa manera, los servidores de tus destinatarios pueden autenticar si tus mensajes provienen de una fuente de envío que está autorizada.
Cualquier IP que no esté registrada y envíe correos usando tu dominio se manejará de acuerdo a los parámetros que hayas programado en tu política DMARC y no serán enviados a la bandeja de entrada de tus destinatarios, razón por la cual debes verificar tus registros SPF con frecuencia para asegurarte de que estén debidamente actualizados y funcionen correctamente.
¿Cómo hacen los servidores de correo electrónico para comprobar los registros SPF?
Ahora que sabes lo que es un marco de políticas del remitente o registro SPF, es aconsejable comprender cómo funciona; al generar un registro SPF, le estas ofreciendo a tus destinatarios una vía para rechazar cualquier correo no autorizado que use el nombre de tu dominio.
Este proceso comienza en con el servidor receptor, donde se lleva cabo el proceso de verificación de la dirección de la ruta de retorno. Luego de que se establece una dirección de ruta de retorno en el encabezado de tus mensajes, puedes definir cómo deben tratarse los mensajes de correo que sean rebotados.
Pero entonces, ¿qué hace exactamente el registro SPF después de verificar la ruta de retorno?
Este registro verifica si la dirección de correo del remitente está incluida debidamente en el registro SPF, si la confirmación se lleva cabo de forma exitosa, el mensaje ira derecho a la “bandeja de entrada”; de lo contrario, este será etiquetado como “correo no deseado”, en ocasiones, el buzón del receptor puede rechazar por completo el acceso del mensaje a sus sistemas.
¿Cuáles son las limitaciones de los registros SPF?
Hemos discutido lo qué es un registro SPF y cómo funciona, pero existen algunas limitaciones que deben ser tomadas en cuenta.
- Una de las mayores limitaciones de un registro SPF es su incapacidad para validar el encabezado «From» de los mensajes que ingresan en los buzones de tus destinatarios. El encabezado «From» muestra generalmente la dirección de correo electrónico del remitente, por lo que en su lugar usa el “From of” para verificar el registro DNS.
- SPF tampoco funciona con los correos reenviados, ya que el remitente que reenvía el mensaje se convierte en el nuevo «remitente por defecto». Lamentablemente, por ahora, no existe una técnica para determinar qué debe hacer el registro SPF con los correos electrónicos reenviados, lo cual es una ventana de apertura para los piratas informáticos para llevar cabo sus estafas.
- SPF no tiene un mecanismo de informes, lo que hace que sea más difícil de hacerle seguimiento.
Si bien SPF es un protocolo de seguridad de correo electrónico útil, como medida de seguridad no es suficiente para proteger tu dominio por completo. Afortunadamente, puedes implementar DMARC, el cual es un estándar de autenticación avanzado que combina SPF y DKIM para una mejor protección con la generación de una serie de informes sobre el comportamiento de tu dominio que funciona de manera mucho más sólida.
Estructura y componentes del registro SPF
Agregar un registro SPF a tu DNS aumenta la confiabilidad de tu dominio y mejora tu reputación en línea, esto es posible debido a que existe una estructura de registros SPF adecuada que te asiste en su manutención de manera sencilla, es necesario recordar que los registros SPF es presentado en formato TXT, el cual recoge el registro es una sola cadena de texto.
Aquí te mostramos un ejemplo de registro SPF: v=SPF1 a mx ip4:69.64.153.131 include:_SPF.google.com ~all
Un registro SPF siempre comienza con el elemento ‘v=’, el cual indica que versión de SPF está siendo utilizada. ‘SPF1’ es la versión más común en los intercambios de correo actuales, a continuación, te presentamos el resto de los términos que indican los mecanismos utilizados para evaluar si un dominio es elegible para el envío de correos electrónicos.
Mecanismos
Estos son los ocho mecanismos que se manejan en la actualidad:
ALL: siempre coincide y se usa para resultados predeterminados como «-all» para direcciones IP que no coinciden, generalmente es utilizado como el último mecanismo ya que define cómo los servidores de tus destinatarios deben manejar los correos electrónicos de las IP del remitente que no coinciden con ningún mecanismo anterior.
R: Si el nombre de dominio consta de un registro con una dirección A o AAAA, este procede a compararlos con el fin de resolver la dirección del remitente.
IP4: la coincidencia es exitosa si el remitente pertenece al rango de direcciones IPv4 ofrecido.
IP6: la coincidencia es exitosa si el remitente pertenece al rango de direcciones IPv6 ofrecido.
MX: la dirección de correo del remitente es validada si el nombre del dominio tiene un registro MX que lo resuelva.
PTR: la coincidencia es exitosa si el registro PTR pertenece a un dominio determinado que se resuelve en la dirección del cliente. Generalmente no se recomienda su uso, ya que puede bloquear todos los correos emitidos por tu dominio de forma legítima.
EXISTS: este mecanismo instruye y consulta que acciones deben realizarse, si el nombre de dominio ofrecido es resulto en cualquier dirección, se ofrece una coincidencia. Este mecanismo SPF funciona independientemente de la dirección que se resuelva.
INCLUDE: se usa para enumerar otros dominios de terceros autorizados para enviar correos electrónicos a tu nombre.
Modificadores
Los modificadores juegan un papel importante determinando cómo funciona tu registro SPF, cada modificador tiene un par de valores separados por el símbolo “=” que comparten detalles complementarios, los cuales van generalmente ubicados al final del registro SPF, ten presente que los registros SPF no toman en cuenta ningún modificador no reconocidos.
El modificador “redireccionar” va dirigido a otros registros SPF, usualmente es implementado cuando tienes varios dominios y deseas aplicar el mismo contenido SPF en todos estos. Este modificador debe usarse si una sola entidad controla todos los dominios, de lo contrario, deberás usar el modificador “include”.
Cuando el modificador “-“ (falla) aparece en un mecanismo coincidente, el modificador “exp” se usa para proporcionar razones.
Clasificadores
Cada mecanismo que hemos discutido se puede combinar con uno de cuatro calificadores:
- ‘+’ para un resultado APROBADO
- ‘?’ para un resultado NEUTRO interpretado como política NONE (ninguno).
- ‘~’ para FALLO SUAVE, es usado cuando los mensajes son devueltos después de fallar la verificación, pero ingresan al buzón de mensajes con una etiqueta.
- ‘-‘ para FAIL, se usa cuando el correo electrónico es rechazado.
Pensamientos finales
A los piratas informáticos no les gustan los dominios protegidos por SPF, ya que es menos probable que los filtros de spam los incluyan en sus listas de bloqueo. Puedes utilizar nuestra herramienta EasySPF para llevar tu gestión de fuentes para envíos de correos a un nivel completamente nuevo y más eficiente.
Los registros SPF permiten a los servidores del destinatario verificar si tu dominio, como fuente de envío está autorizada, por lo cual, en consecuencia, proceden a enviar tu correo electrónico a la carpeta “Bandeja de entrada” o al buzón de “Correo no deseado”.
Si deseas mejorar la entregabilidad de tus correos electrónicos, aumentar la confiabilidad de tu marca y mitigar el phishing, la suplantación de identidad y el spam, debes implementar SPF, junto con DKIM y DMARC, descubre cómo hacerlo de la manera más fácil, ponte en contacto con nuestro equipo en EasyDMARC cuanto antes.