Cómo se equivocan los proveedores de correos electrónicos a la hora de adoptar SPF | EasyDMARC

Cómo se equivocan los proveedores de correos electrónicos a la hora de adoptar SPF

8 min de lectura
.

El esquema de políticas del remitente (Sender Policy Framework o SPF) es uno de los estándares de seguridad para la autenticación de correos electrónicos en el que se basa el sistema DMARC junto con las políticas DKIM.

SPF es un mecanismo que asiste cualquier flujo de correos saliente para que este cumpla con las políticas DMARC. Un dominio puede tener un solo registro SPF en su DNS, el cual contiene la lista de todas las direcciones IP que pueden enviar correos a nombre de dicho dominio.

Antes de profundizar con más detalles, es necesario saber que hay dos direcciones de destinatario en cualquier mensaje de correo electrónico.

  • Dirección de ruta de retorno: esta también es conocida como dirección de devolución, funciona de forma similar al remitente de un sobre que indica el origen de este y se utiliza con fines de devolución. Cuando un correo electrónico no llega a su destino previsto, la ruta de retorno indica a dónde se envían los reportes que notifica el fallo de entrega (o mensajes devueltos).
  • Dirección “from:” esta es la dirección visible que indica de dónde se origina el mensaje que recibes. Dicha dirección es usualmente visible como el remitente en la mayoría de los servicios de correo electrónico.

La alineación de SPF es aquella que hace que la dirección de tu dominio coincida con el dominio de la ruta de retorno. Por ejemplo, si la dirección “from:” es “[email protected]” y la ruta de retorno es “[email protected]”, se logra la alineación SPF. Si la dirección IP está en la lista autorizada, el correo electrónico pasa a ser compatible con DMARC.

En el siguiente ejemplo, podemos ver que el dominio “from:” es «easydmarc.com» y el dominio con la ruta de retorno (o mailed-by como puede verse en la captura de pantalla) es «notifications.easydmarc.com». La alineación SPF se logra de forma predeterminada ya que la directriz ASPF está configurada en el modo «relaxed». Puedes leer más sobre las etiquetas de alineación haciendo clic aquí.

También podemos analizar los encabezados de los mensajes de correos para verificar las direcciones de ruta de retorno y “from:”. En la captura que puedes ver a continuación, ambos se alinean, cómo es posible apreciar en las areas remarcadas con verde. También podemos ver que la dirección IP está incluida en la lista de direcciones autorizadas, lo que hace que esta dirección de correo se alinee con SPF, por lo cual queda verificado como un correo compatible con DMARC.

Caso 1: Alineación fallida

En ocasiones los proveedores de servicios de correos o ESP se equivocan en la configuración del SPF y solicitan a sus usuarios que agreguen o actualicen su registro SPF con sus direcciones IP de origen en la lista de direcciones autorizadas, lo cual no permite la alineación con sus dominios o subdominios.

Recuerda, al agregar un servidor de origen en tu registro SPF, simplemente estás agregando fuentes IP a la lista de direcciones autorizadas sin que se consume la alineación.

Por ejemplo, Constant Contact es una solución de marketing por correo electrónico muy conocida.

Una simple búsqueda en Google de «Constant Contact SPF» te redirige a su sitio web, como puedes ver en la captura de pantalla a continuación:

Cuando actualizas el registro SPF con el permiso de inclusión, Constant Contact pasará la autenticación SPF sin alinearse con tu dominio.

Echemos un vistazo de cerca a esta desalineación usando los informes de agregaduría DMARC:

  • El recuadro azul es tu dominio.
  • El recuadro verde es el dominio DKIM, firmado y alineado con el recuadro azul (que coincide con tu dominio).
  • El recuadro rojo es el registro SPF que pasa la autenticación. Sin embargo, la dirección de retorno (in.constantcontact.com) no se alinea con el dominio (easydmarc.com), lo cual es primordial para lograr la alineación de SPF y, a su vez, el cumplimiento de la política DMARC.

Algunos ESPs tienen la opción de alinear la dirección de ruta de retorno valiéndose del registro SPF al tener un punto de control después de agregar dicho registro con la etiqueta «include» desde tu portal. Otros servicios de correos proporcionan un registro «CNAME» que simplifica el proceso de alineación, ya sea a nivel de dominio o subdominio.

En algunos casos, proveedores ESP como MailChimp, Sendinblue, Constant Contact y muchos más, no tienen información actualizada que te ofrezcan la guía necesaria para la debida implementación del protocolo. Estos ESPs generalmente buscan que incluyas tu dominio en la lista de dominios autorizados por tu SPF, mientras mantienes tu propio dominio como la dirección de retorno para manejar sus rebotes, lo cual desperdicia espacios de búsqueda en el registro SPF.

Caso 2: aprobación de alineación en un nivel de subdominio

Con algunos ESP como Mandrill, puedes lograr la alineación de SPF con tan solo agregar un subdominio que incluya un registro «CNAME» que redirija tu dominio mandrillapp.com. Agregar este subdominio en tu portal te permite cambiar la dirección de ruta de retorno desde la configuración, lo que permite una alineación de SPF exitosa, como puedes ver en la captura de pantalla a continuación:

En casos similares, no es necesario incluir la lista de direcciones autorizadas, ni agregar el servidor de Mandrill al registro SPF de tu dominio de raíz, solo necesitas agregar el registro SPF en el subdominio específico que has creado dentro del dominio que actúa como ruta de retorno del portal de Mandrill (en este caso, mandrillsub.easydmarc.me).

Caso 3: inclusión de dominios originales/raíz presente en registro SPF

En algunos casos, los ESP solicitan al usuario que incluyan en su lista de autorizados los dominios que contienen hosts o direcciones IP de origen irrelevante fuera del ámbito de su servidor, por ejemplo, Bluehost y Hostgator le piden a sus usuarios que agreguen el comando «include:websitewelcome.com» en el registro SPF, en esta ubicación también podemos ver Google Workspace (include:_spf.google.com) y Microsoft 365 (include:spf.protection .outlook.com) cuyas direcciones IP también están en la lista de autorizados.

Técnicamente, la inclusión en la lista de autorizados del comando «websitewelcome.com», también incluye las listas de Google y Microsoft (incluso si son servicios de correo que no usas) ya que estas usando la infraestructura de correos de Bluehost o Hostgator. Lo que está pasando es que se está desperdiciando una gran cantidad de búsquedas SPF con la inclusión de múltiples fuentes en la lista de autorizados que no se usan para enviar correos.

Análisis de archivos XML H para ayudarte a entender cómo funcionan 

Después de implementar DMARC, empezarás a recibir informes de agregaduría en formato XML, que pueden ser analizados para comprender mejor las fuentes y estados de SPF, DMARC y DKIM.

En el siguiente ejemplo, podemos ver que la dirección “from:” es «easydmarc.com», mientras que la ruta de retorno o remitente es «bnc3.mailjet.com». Con este tipo de configuración, cualquier mensaje de correo no podrá alinearse con SPF.

Conclusiones:

  1. Algunos ESP manejan el proceso de rebote usando el nombre de tu dominio (Mailchimp, Sendinblue, etc.). Para estos casos, no es necesario incluir tus servidores en la lista autorizada del registro SPF de tu dominio.
  2. Algunos servicios ESP te permiten lograr la alineación configurando el dominio de ruta de retorno a nivel de subdominio (AmazonSES, Sendgrid, Mailgun, Mandrill, etc.). Bajo este esquema, no necesitas incluir tus servidores en una lista de dominios autorizados en tu registro SPF principal, solo tienes que implementar tu registro SPF en tu subdominio.
  3. Ten cuidado al incluir otros dominios en tu registro SPF, puedes incluir en la lista de dominios autorizados fuentes que no utilizas dentro de tu organización.
  4. Utiliza el comprobante de registros SPF de EasyDMARC para verificar cualquier registro SPF en busca de una fuente de terceros antes de intentar agregarlo en el SPF de tu propio dominio.
  5. Verifica las fechas de información oficial antes de actualizar o cambiar el registro SPF de tu dominio, las secciones obsoletas deben ser ignoradas.
  6. Comprueba lo que le dicen los informes de agregaduría de DMARC con respecto a los datos de procesos de autenticación y alineación, ya que esos son los datos más precisos que puedes obtener para optimizar tu registro SPF.

Ponte en contacto con el equipo de soporte de EasyDMARC si tiene problemas con tus fuentes, ten presente que el paquete de asistencia de nuestros planes premium y empresarial están diseñados para ayudarte a superar estos problemas y guiarte a través del proceso de implementación y aplicación de las políticas DMARC.
[email protected]

En este artículo

Compartir
Más en Liderazgo Intelectual
Seguridad en línea durante conflictos armados: como la guerra cibernética impacta más fuertemente que las bombas
8 min de lectura

Escáner de dominios

Verifique vulnerabilidades de phishing y posibles problemas con registros DMARC, SPF, DKIM y BIMI