X

¿Qué es el registro SPF y cómo se utiliza?

Entre los muchos protocolos de seguridad que existen en Internet hay algunos destinados a ser usados específicamente en el correo electrónico, y entre ellos encontramos al famoso SPF. Este protocolo es uno de los pilares de la seguridad a la hora de enviar o recibir mails, y hoy te vamos a contar todo lo que necesitas saber al respecto.

¿Qué es SPF?

Sender Policy Framework, mejor conocido como por su abreviatura SPF, es uno de los protocolos más utilizados en lo que a seguridad de emails refiere. Se trata de un protocolo de autenticación de correo que está diseñado para prevenir el email spoofing. Al día de hoy más de 140 millones de dominios lo utilizan según Builtwith, y la cifra va en aumento.

Este mecanismo de seguridad permite que el propietario de un dominio especifique cuáles son los servidores que están autorizados a enviar emails en su nombre. De esta forma, el SPF ayuda a protegernos contra ataques de email spoofing y además reduce las posibilidades de que un correo sea marcado como spam.

Hoy en día el registro SPF es considerado un estándar, al punto que muchos servidores directamente rechazan los correos que reciben si el dominio emisor no tiene SPF. Su importancia es tan alta como la de otros protocolos de seguridad de correo como es el caso del registro DKIM.

Cómo funciona el SPF

El funcionamiento del SPF es muy sencillo: básicamente opera mediante un registro TXT que se agrega en los registros DNS del dominio, y en dicho registro se especifica la dirección IP o nombres de servidor que están autorizados a enviar correo en nombre de un dominio.

Cuando un servidor recibe un correo, lo que hace es revisar el registro SPF del dominio remitente, de forma que se compruebe si el servidor que envió el mensaje está entre los autorizados.

Dependiendo del resultado de esta consulta pueden ocurrir varias cosas:

  • Se aprueba el correo: si el servidor emisor está autorizado entonces se aprueba el correo ya que el mismo es legítimo.
  • No se aprueba el correo: si la IP del servidor emisor no está autorizada entonces el correo no es aprobado, esto puede provocar que sea rechazado o que sea marcado como spam.
  • Fallo parcial: este es un caso especial donde la IP del emisor no está autorizada, pero el servidor tiene las instrucciones de igualmente aceptar el correo y marcarlo como sospechoso.
  • Resultado neutral: el registro SPF no permite pero tampoco niega que el servidor emisor esté autorizado, en cuyo caso la decisión de rechazar el correo o no recae sobre el receptor.

Gracias a todo este proceso se ayuda a reducir muchísimo las posibilidades de recibir un ataque de email spoofing, ya que solo los correos que vengan de servidores autorizados tienen permitido alcanzar el recipiente.

Es importante de todas formas dejar en claro que el SPF no es ninguna garantía de alcanzar la bandeja de entrada de un receptor, ya que luego de esta comprobación de SPF entran en juego otras, como pueden ser filtros de spam, filtros basados en lista negra, etc., es decir que incluso si el SPF está correcto no hay garantías de llegar a la bandeja de entrada del destinatario, esta decisión es siempre del receptor en base a sus políticas de filtrado de correo.

Componentes del registro

Como ya explicamos algunos párrafos más arriba, un registro SPF funciona mediante un registro TXT, que es uno de los muchos tipos de registros DNS existentes. El SPF se compone de varios elementos importantes que tienen un rol específico, veamos cuáles son.

Versión (v=spf1): indica la versión de SPF utilizada, suele ser v=spf1.

Mecanismos: estos definen las reglas utilizadas para autorizar un servidor a enviar correo en nombre de un dominio. Los mecanismos más comunes son:

  • a: autoriza la dirección IP del dominio, ya sea un registro A (en el caso de IPv4) o un registro AAAA (si es una IPv6).
  • mx: autoriza la dirección IP del servidor MX (intercambiador de correo) del dominio.
  • ip4/ip6: autoriza una IPv4 o una IPv6 específica.
  • include: permite añadir el SPF de otro dominio para que sus servidores estén autorizados.
  • all: generalmente se coloca al final del registro, y permite definir la autorización de IPs que no estén especificadas.

Calificadores: se utilizan para modificar el comportamiento de los mecanismos, indicando que tan estricta debe ser su aplicación.

  • + (aprobado): es el calificador por defecto si no se aplica ningún otro en específico.
  • – (no aprobado): se deben rechazar los emails de este origen.
  • ~ (fallo parcial): los emails se deben marcar como sospechosos pero igual ser aceptados.
  • ? (neutral): no se define autorización.

Modificadores: son muy pocas las circunstancias en que se utilizan, y lo que hacen es proveer instrucciones adicionales.

  • exp: si un servidor de correo intenta verificar si un email es legítimo y el resultado es negativo, el modificador exp nos permite incluir un mensaje que indique la razón del fallo.
  • redirect: se utiliza para redirigir la verificación SPF a otro dominio, el servidor de correo consultará el registro SPF del dominio especificado en el redirect.

A la hora de configurar un registro SPF es importante comprender cómo funciona cada uno de estos elementos, ya que si lo configuramos de manera incorrecta podemos generar problemas de seguridad e incluso afectar negativamente la reputación de nuestro dominio porque los emails que enviemos pueden ser marcados como spam.

Ejemplos de SPF

Veamos a continuación algunos ejemplos prácticos de registros SPF, y por supuesto vamos a explicarlos para que sean fáciles de comprender.

Registro SPF básico

Ejemplo:

v=spf1 mx -all

Este es un registro básico, sencillo y al grano. Permite que solamente el servidor MX del dominio esté autorizado para enviar correo. El servidor MX es el que se define en el registro MX de un dominio. En este ejemplo cualquier servidor que envíe un email en nombre de nuestro dominio sin ser el MX será rechazado.

Registro SPF avanzado

Ejemplo:

v=spf1 ip4:192.168.3.8 include:miotrodominio.com -all

Este registro autoriza los envíos solo desde dos fuentes: una es la IP 192.168.3.8, y la otra es SPF del dominio miotrodominio.com, es decir que los servidores que están autorizados para enviar correos de miotrodominio.com también estarán autorizados para enviar los correos de nuestro dominio.

Usando el mecanismo include

Esto es muy común verlo cuando el correo es enviado mediante una plataforma de marketing o mediante servicios de correo empresarial. En casos como estos generalmente se solicita usar el mecanismo include en el registro SPF.

Ejemplo:

v=spf1 include:spf.serviciodeemail.com -all

En este caso los servidores autorizados serán solo los especificados para spf.serviciodeemail.com

Combinando mecanismos

Es posible combinar varios mecanismos para crear un registro SPF más complejo, por ejemplo:

v=spf1 a mx ip4:192.168.3.8 include:spf.serviciodeemail.com -all

En este caso se está autorizando el envío desde la IP del registro A del dominio, también desde el servidor MX, así como además desde la IP 192.168.3.8 y desde los servidores autorizados para spf.serviciodeemail.com, y el mecanismo -all indica que se rechace el resto de los servidores.

Es extremadamente importante que el registro SPF finalice con -all o con ~all, si esto no se cumple entonces podemos dejar nuestro dominio vulnerable a spoofing, lo cual puede tener graves consecuencias porque pueden suplantar la identidad de nuestro dominio para hacerse pasar por nosotros.

Beneficios y consideraciones al usar SPF

Como hemos podido ver el SPF es genial, pero no todo es color de rosas. Si bien hay muchos beneficios, también debemos tener en cuenta varias cosas a la hora de trabajar con este registro. De ser posible siempre es recomendable configurarlo mediante cPanel, junto a otros registros como DKIM y DMARC.

Beneficios

  • Previene el email spoofing: el email spoofing es básicamente una técnica en la cual un tercero malintencionado trata de enviar un correo como si fuera de nuestro dominio desde un servidor no autorizado. El SPF sirve para neutralizar este tipo de ataque ya que los correos solo deben ser aceptados si vienen de un servidor autorizado.
  • Reduce el spam y el phishing: usando este protocolo reducimos la posibilidad de que nuestro correo llegue a spam, y también reducimos la posibilidad de que un receptor reciba correos de phishing haciéndose pasar por nosotros.
  • Mejora la entrega de correos: el SPF es un estándar actualmente, y muchos servicios de correo directamente rechazan los envíos de un dominio que no tenga SPF, así que es importante contar con uno si deseamos que nuestros email lleguen a destino.
  • Protege la reputación de nuestro dominio: por todo lo ya mencionado, un SPF bien implementado ayudará a proteger la reputación de nuestro dominio, ya que el mismo no podrá ser utilizado para actividades fraudulentas.

Consideraciones

  • Problemas con reenvíos: el SPF puede romper la función de reenvíos, ya que el servidor que estaría realizando el reenvío puede no estar autorizado en el SPF del dominio original. Esto puede provocar que un email legítimo sea rechazado o marcado como spam.
  • Límite de búsqueda DNS: los registros SPF están limitados a 10 búsquedas DNS. Superar este límite puede causar que la verificación SPF falle, lo cual puede impedir que el mensaje llegue al destinatario.
  • Solo se valida el remitente: mediante SPF sólo se comprueba la dirección del remitente (en el campo Return-Path del email), no se valida la dirección «De» (campo From) que ve el destinatario, la cual aún puede ser suplantada.
  • No implica codificación ni revisión del contenido: el SPF no provee una encriptación para el correo, ni tampoco implica una verificación del contenido, sólo se comprueba que el email venga de un servidor autorizado.
  • Complejidad al usar múltiples orígenes: el registro SPF generalmente es sencillo, pero puede volverse complejo si se deben autorizar múltiples servidores y servicios que puedan enviar los correos de un dominio. Es importante revisar el registro las veces que haga falta para asegurar que esté bien configurado.

Conclusión

No quedan dudas de que el registro SPF es uno de los más importantes en lo que a seguridad de correos refiere, ya que su función es la de indicar cuáles servidores están autorizados para enviar emails en nombre de un dominio.

Esto es extremadamente importante no solo para evitar problemas de seguridad como el email spoofing, sino también para reducir las posibilidades de que nuestro correo pueda ser marcado como spam, manteniendo nuestro dominio con buena reputación.

Artículos relacionados