Una tecnología de seguridad como el SPF (Sender Policy Framework) puede resultar imprescindible en un mundo plagado de ataques online y mensajes de spam.

La ciberseguridad es una gran preocupación para todos, desde los particulares y las empresas hasta las entidades gubernamentales. Los riesgos de seguridad, como la suplantación de identidad en el correo electrónico, los ataques de phishing, el spam y otros esquemas maliciosos, se han convertido en un fenómeno desenfrenado, dirigido a los datos, las aplicaciones, las redes y las personas.

Como resultado, los propietarios de sitios web pueden sufrir en términos de pérdida de datos, dinero, reputación y confianza de los clientes. Y los correos electrónicos son una de las vías de ataque más fáciles.

El SPF es una popular técnica de validación del correo electrónico que puede ayudar a evitar estos ataques, detectando la suplantación del correo electrónico y evitando el spam. El uso de un registro SPF también puede ayudar a evitar que tus correos electrónicos sean marcados como spam por otros servidores antes de llegar a tu público objetivo.

En este artículo, hablaremos de los registros SPF y de por qué es esencial aplicar esta técnica para la seguridad del correo electrónico.

¿Qué Significa SPF?

Antes de llegar a lo que es un registro SPF, vamos a entender primero el SPF.

El Sender Policy Framework (SPF) es un método de autenticación de correos electrónicos diseñado para detectar direcciones de remitentes falsas durante el envío de correos electrónicos.

Se muestran flechas rectas desde el remitente hasta la bandeja de entrada del destinatario para demostrar el funcionamiento del SPF
Procedimiento de funcionamiento del SPF. (Fuente de la imagen: DMRC)

Los atacantes suelen falsificar las direcciones de los remitentes, haciéndolas parecer auténticas, como la dirección de un usuario normal. El SPF puede ayudar a detectar estos mensajes y ponerlos en cuarentena, desbaratando sus ataques.

El SPF permite que el servidor en que se recibe el mensaje compruebe si un correo electrónico que parece proceder de un determinado dominio se origina realmente en una dirección IP autorizada de ese dominio. La lista que contiene todas las direcciones IP y hosts autorizados para un dominio específico puede encontrarse en los registros DNS de ese dominio.

¿Qué Es un Registro SPF?

Un registro SPF es un tipo de registro TXT publicado en un archivo de zona DNS, que contiene una lista de todos los servidores de correo autorizados que pueden enviar correos electrónicos en nombre de tu dominio. Es una implementación de SPF que debe añadirse a tu DNS para ayudar a identificar y mitigar que los spammers envíen correos electrónicos maliciosos con direcciones falsas en nombre de tu dominio.

Mostrando cada significado del registro SPF con cajas cuadradas
Registro SPF. (Fuente de la imagen: Pair)

Los emisores de spam llevan a cabo la suplantación del correo electrónico creando un correo electrónico con direcciones de remitente falsas, ya que la mayoría de los servidores de correo electrónico no realizan la autenticación. A continuación, editan la dirección del remitente de un correo electrónico falsificando las cabeceras del mismo, haciendo que parezca que el correo electrónico se envía desde tu dominio.

Este proceso se denomina spoofing, y permite a los spammers estafar a los usuarios y obtener sus datos privados y causar daños en la reputación.

Hoy en día, casi todos los correos electrónicos maliciosos llevan direcciones falsas. Como resultado, las personas cuyas direcciones de correo electrónico han sido robadas por los atacantes sufren daños en su reputación, pierden tiempo en arreglar los mensajes devueltos, sus direcciones IP entran en la lista negra, etc.

Por lo tanto, es necesario configurar los registros SPF para mejorar seguridad y la entregabilidad del correo electrónico.

Sintaxis del Registro SPF

En general, un registro SPF se define mediante un tipo de registro TXT (que no debe confundirse con el antiguo registro de tipo archivo SPF).

Un registro SPF comienza con una «v», que indica la versión SPF utilizada. Actualmente, esta versión debe ser «spf1», ya que es reconocida por la más amplia gama de servidores de intercambio de correo.

Después de esto, siguen otros términos que definen las reglas para los hosts que envían correos electrónicos desde el dominio dado. Estos términos también pueden proporcionar más información para el procesamiento del registro SPF.

Ejemplo de un Registro SPF

Este es el aspecto de un registro SPF y el significado de cada una de sus partes:

<v="spf1 a include:_spf.google.com -all">
  • v=spf1 es el SPF versión 1, un componente que identifica un registro TXT como un registro SPF.
  • a autoriza al host detectado en el registro A del dominio a enviar los correos electrónicos.
  • include: se utiliza para autorizar los correos electrónicos que el remitente puede enviar en nombre de un dominio (aquí, google.com).
  • -all indica al servidor del receptor que las direcciones que no figuran en este registro SPF no están autorizadas a enviar ningún correo electrónico. También indica a los servidores que rechacen dichas direcciones.

¿Cómo Funciona un Registro SPF?

Cualquier ordenador puede enviar correos electrónicos afirmando que proceden de cualquier dirección permitida por el SMTP. Los atacantes y estafadores se aprovechan de esto utilizando direcciones falsificadas, que son difíciles de rastrear.

Una técnica similar se utiliza en los ataques de phishing, en los que los atacantes engañan a los usuarios para que revelen su información personal o empresarial imitando un sitio o servicio genuino que los usuarios frecuentan.

Para contrarrestar esto, el SPF permite al propietario de un dominio definir qué ordenadores tienen autorización para enviar correos electrónicos desde ese dominio, mediante registros DNS. Además, los receptores pueden rechazar un correo electrónico de una fuente no autorizada tras verificar su dirección a partir de los registros SPF, antes de recibir el cuerpo del correo.

Como hemos visto en el ejemplo anterior, un registro SPF tiene la forma de una entrada TXT que enumera todas las direcciones IP de los servidores de correo electrónico autorizados por ti. Puedes tener una o varias direcciones IP autorizadas para enviar correos electrónicos en una entrada SPF.

Dirigiendo varias flechas de una imagen a otra para argumentar el modelo de funcionamiento del SPF
Modelo de funcionamiento del SPF. (Fuente de la imagen: CyberPunk)

Cuando un usuario autorizado envía un correo electrónico con un registro SPF activado, el servidor de correo del destinatario realiza una búsqueda en el DNS para detectar la entrada TXT y determinar si la dirección IP del remitente está autorizada.

Si no encuentra ningún registro SPF, enviará un mensaje de «fallo grave» (hard fail) o «fallo leve» (soft fail) al remitente.

Si el servidor del receptor rechaza ese dominio, el usuario o cliente no autorizado debe recibir un mensaje de rechazo («hard fail»). Pero si el cliente resulta ser un agente de transferencia de mensajes (MTA), en este caso, se generará un correo electrónico de rebote a la dirección real del sobre («soft fail»).

Componentes de un Registro SPF

Los registros SPF se componen de varias partes diferentes, empezando por el número de versión.

Número de versión

Todos los registros SPF comienzan con un número de versión, que debe ser autorizado por los mecanismos que definen los remitentes válidos. El número de versión SPF, como spf1, va seguido de una cadena que incluye mecanismos, cuantificadores y modificadores.

Mecanismos

Los mecanismos describen los hosts designados como remitentes salientes autorizados para un determinado dominio. Un registro SPF puede tener cero o varios mecanismos. Algunos de los mecanismos habituales en los registros SPF son

  • a: Especifica todas las direcciones IP en un registro DNS A (ejemplo: v=spf1 a:google.com -all). Se utiliza al final y define la regla para tratar una IP de remitente que no coincide con ningún mecanismo anterior.
  • mx: Define todos los registros A hacia el registro MX pertenecientes a cada host. Ejemplo v=spf1 mx mx:google.com -all
  • include:: Define otros dominios autorizados (ejemplo: v=spf1 include:outlook.microsoft.com -all). Si la política de ese dominio en particular se aprueba, entonces este mecanismo también se aprobará. Necesitas la extensión de redirección si quieres conseguir una delegación completa con la política de otro dominio.
  • ptr: Define todos los registros A hacia el registro PTR de cada host (ejemplo: v=spf1 ptr:domain.com -all). Sin embargo, debes evitar este mecanismo, si es posible.
  • all: Coincide con todas las direcciones IP remotas y locales y se utiliza en el extremo del registro SPF (ejemplo: v=spf1 +all).
  • exists: Especifica los dominios firmados como una excepción según la definición SPF. Cuando se ejecuta una consulta sobre un dominio determinado, éste será una coincidencia al obtener un resultado. Se utiliza raramente y ofrece coincidencias más complicadas, como las consultas DNSBL.
  • ip4: Se utiliza para definir una dirección IPv4, por ejemplo, v=spf1 ip4:192.0.0.1 -all.
  • ip6: Se utiliza para definir una dirección IPv6, por ejemplo, v=spf1 ip6:2001:db8::8a2e:370:7334 -all

Definen todas las direcciones IP que están autorizadas a enviar correos electrónicos desde el dominio.

Cuantificadores

Los mecanismos tienen un cuantificador para definir cómo pueden tratar una coincidencia.

Un servidor de correo electrónico compara la dirección IP del remitente con la lista de direcciones IP autorizadas en los mecanismos. Cuando encuentre una coincidencia para la dirección IP en uno de los mecanismos SPF, aplicará la regla para el tratamiento del resultado. Y la regla por defecto para esto es pass o +.

Los cuatro cuantificadores son los siguientes

  • + representa el resultado PASS. Si la dirección pasa la prueba, el mensaje debe ser aceptado (ejemplo: v=spf1 +all). Puedes omitirlo porque, por ejemplo, +mx y mx son lo mismo.
  • - representa HARDFAIL, que indica que la dirección no ha superado la prueba y el correo electrónico debe ser rechazado (ejemplo: v=spf1 -all).
  • ~ representa SOFTFAIL y se pronuncia como una tilde. Significa que la dirección ha fallado la prueba; sin embargo, el resultado no es definitivo. Puedes aceptar y etiquetar un correo electrónico no conforme (ejemplo: v=spf1 ~all).
  • ? significa NEUTRAL, donde la dirección no ha fallado ni superado la prueba y eres libre de aceptarla o rechazarla (ejemplo: v=spf1 ?all).

Cuando no veas ningún cuantificador en un registro SPF, significa que se aplica el cuantificador +all.

Modificadores

Los modificadores te permiten ampliar el framework. Son pares de valores o nombres separados por el signo = y proporcionan más información. Los registros SPF también pueden tener cero, uno o dos modificadores, pero sólo pueden aparecer una vez, hacia el final del registro.

Los dos modificadores más utilizados son:

  • redirect: Se utiliza para enviar una consulta a otros dominios. Este modificador es fácil de entender en comparación con otros mecanismos y modificadores, y se utiliza cuando tienes varios dominios y necesitas utilizar el mismo registro SPF en todas partes.
  • exp: Se utiliza para dar una explicación cuando se incluye un cuantificador FAIL en un mecanismo coincidente. Esta explicación se colocará en el registro SPF.

¿Por qué Necesitas Registros SPF?

Si tu dominio tiene un registro SPF, disminuirá las posibilidades de recibir correos electrónicos maliciosos y falsificados, mejorando la seguridad de tu correo electrónico y protegiéndolo contra ciberatacantes y spammers.

Un registro SPF también aumenta la credibilidad de tu dominio y reduce las posibilidades de que sea eliminado de la lista por los filtros de spam. Esto ayuda a que los correos electrónicos legítimos lleguen a ti más rápidamente.

Además, añadir registros SPF en tu dominio es cada vez más importante para verificar qué remitentes pueden enviar correos electrónicos en nombre de tu dominio. Ofrece muchas ventajas, que exploraremos a continuación.

Mayor Seguridad del Correo Electrónico

Dos portátiles con una nube muestran cómo mejorar la seguridad del correo electrónico
Seguridad del correo electrónico. (Fuente de la imagen: Zero 1 Zero Innovations)

Los registros SPF ayudan a aumentar la seguridad del correo electrónico tanto para los particulares como para las empresas. En la era de la ciberseguridad, en la que usuarios de todo el mundo se ven afectados por ciberdelitos, debes tomar medidas para proteger tu bandeja de entrada.

Añadir registros SPF es una forma de hacerlo. Al dificultar el paso de los atacantes del correo electrónico, es menos probable que los mensajes de spam lleguen a tu bandeja de entrada; por lo tanto, aumenta la seguridad de tu correo electrónico.

Mejora la Capacidad de Entrega del Correo Electrónico

Si un dominio no tiene un registro SPF, sus correos electrónicos pueden rebotar, o los servidores pueden marcarlos como spam. Y si esto ocurre repetidamente, se reduce su capacidad de enviar correos electrónicos con éxito a su audiencia (también conocida como entregabilidad).

Esto se convierte en un obstáculo para las personas y empresas que utilizan estos dominios para llegar a sus clientes, empleados, proveedores y otras personas asociadas.

Mejora de la Reputación del Dominio

Se muestra un buzón de correo electrónico, flechas, una papelera y correos para justificar cómo se puede mejorar la reputación del dominio
Reputación de dominio. (Fuente de la imagen: Rejoiner)

Si tus usuarios reciben constantemente correos electrónicos de atacantes que se hacen pasar por tu empresa, la credibilidad de tu dominio está en peligro. Los delincuentes también pueden perjudicar a tus clientes y empleados exponiendo sus datos personales, lo que dañará aún más tu reputación.

Por eso es esencial proteger tu dominio de estos incidentes con la ayuda de los registros SPF. Al restringir el envío de correos electrónicos sólo a las direcciones IP autorizadas que figuran en los registros, evitarás los mensajes de spam y reducirás la probabilidad de tales ataques.

Cumplimiento de DMARC

El sistema de verificación del correo electrónico DMARC garantiza que sólo los usuarios autorizados envíen correos electrónicos en nombre de tu dominio.

Sus políticas también instruyen a los servidores sobre cómo manejar los correos electrónicos con comprobaciones DKIM y SPF fallidas. El DMARC indica que esos correos electrónicos deben marcarse como rechazados, spam o entregados.

También permite a los administradores de los dominios recibir informes que destacan las actividades del correo electrónico y hacer ajustes en sus políticas en consecuencia.

¿Quién Necesita un Registro SPF?

Necesitas configurar un registro SPF para tu dominio si envías correos electrónicos comerciales y transaccionales a tus clientes, empleados o proveedores. El uso de diferentes soluciones de seguridad para el correo electrónico hace que la entregabilidad y la seguridad de tu correo sean sólidas.

  • Empresas y particulares: Con una técnica de autentificación del correo electrónico como los registros SPF, las empresas y los particulares pueden verificar si un correo electrónico se envía en nombre de su dominio o si alguien lo hace para su beneficio personal y estafa a sus colaboradores. Y puedes reforzarlo aún más utilizando registros SPF con DMARC o DKIM para especificar una política de autenticación completa para todos tus correos electrónicos.
  • ISPs: Los registros SPF son beneficiosos para los ISP. Si no han configurado un registro SPF correctamente, es posible que tengan que volver a realizar el filtrado del correo electrónico. Además, una autentificación fallida les indica que existe la posibilidad de que sus correos electrónicos sean bloqueados o reconocidos como spam por muchos servidores.

Por lo tanto, si quieres que tus correos electrónicos lleguen con éxito al destino previsto, el uso de registros SPF te lo garantizará y proporcionará una mayor seguridad a tus dominios y correos electrónicos. Filtrará los correos electrónicos falsos de los phishers y spammers y protegerá tu reputación.

Cómo Crear, Añadir y Editar Registros SPF

A continuación te explicamos cómo puedes añadir, crear y editar tus registros SPF.

Cómo Crear un Registro SPF

Se muestra un panel de control donde se puede crear un registro SPF
Crea un registro SPF. (Fuente de la imagen: SendPulse)

Antes de empezar a crear un registro SPF, es necesario entender si tu configuración de envío de correo electrónico requiere que lo hagas en primer lugar.

Así que, en primer lugar, hay que entender la Ruta de Retorno (Return Path). SPF gira en torno al dominio utilizado en la ruta de retorno, en lugar del dominio FROM. Por lo tanto, al principio, hay que averiguar la ruta de retorno que se utiliza para el envío de correo.

Además, algunos servicios de envío de correo electrónico (ESPs) como Google pueden utilizar tu nombre de dominio en su Return-Path. Esto requiere que crees un registro SPF propio para tu dominio.

Sin embargo, otros ESPs, como Postmark, pueden utilizar su dominio en la ruta de retorno, por lo que no es necesario que configures un SPF por ti mismo, sino que debe hacerlo tu ESP.

Así que, ahora que sabes por qué necesitas configurar un registro SPF, vamos a entender el proceso paso a paso de cómo hacerlo.

Paso 1: Identificar las Direcciones IP que Envían Correos Electrónicos

Las organizaciones pueden tener varios lugares desde los que envían un correo electrónico. Así que, en el primer paso para crear un registro SPF, debes identificar qué direcciones IP utilizas desde tu dominio para enviar los correos electrónicos. Enumera todas tus direcciones IP y los servidores de correo correspondientes en un documento de texto u hoja de cálculo.

Además, averigua qué vías se utilizan para enviar correos electrónicos en nombre de tu marca. Puede ser un servidor web, un servidor de correo electrónico de la oficina como Microsoft Exchange, el servidor de correo de tu ESP, un servidor de correo perteneciente al proveedor de buzones de tu cliente o un servidor de correo de terceros.

Pero si no estás seguro de tus direcciones IP, puedes ponerte en contacto con tu ESP y obtener la lista completa con todas las direcciones IP relacionadas con tu cuenta. Otra opción podría ser hablarlo con tu Administrador del Sistema. Ellos pueden hacer una lista de todas las direcciones IP que utiliza tu empresa.

Paso 2: Enumerar los Dominios de Envío

Una organización puede tener muchos dominios. De ellos, pueden dedicar algunos de sus dominios al envío de correos electrónicos y otros para fines diferentes.

En el paso número 2, tendrás que crear un registro SPF para cada dominio que poseas, tanto si los dominios se utilizan para enviar correos electrónicos como para cualquier otro fin.

Esto se debe a que los ciberdelincuentes pueden intentar suplantar los otros dominios que no se utilizan para enviar sus correos electrónicos, ya que no estarán protegidos con SPF mientras que otros utilizados para enviar correos electrónicos sí lo están.

Paso 3: Configurar el Registro SPF

El SPF compara la dirección IP del servidor de correo del remitente con una lista que contiene direcciones IP de remitentes autorizados publicada por el remitente en su registro DNS para validar la identidad de un remitente y mantener tus correos electrónicos seguros.

Para crear un registro SPF, debes escribir una etiqueta v=spf1, seguida de las direcciones IP autorizadas para el envío de correos electrónicos. Ejemplo v=spf1 ip4:192.0.0.1 -all

Además, en caso de que utilices una solución de terceros para enviar correos electrónicos en nombre de tu dominio:

  • Añade include en el registro SPF para especificar que el tercero es un remitente legítimo. Por ejemplo, puedes escribir include:google.com
  • Después de añadir todas las direcciones IP autorizadas asociadas a tu dominio, finaliza el registro SPF con una etiqueta: -all o ~all. Aquí, la etiqueta -all significa un FALLO SPF DURO, mientras que la etiqueta ~all significa un FALLO SPF SUAVE. Sin embargo, para los principales proveedores de buzones, tanto -all como ~all darán lugar a un fallo SPF. Pero, en general, se utiliza con frecuencia -all, ya que es más seguro.
  • Crea tus registros SPF de forma que no superen los 255 caracteres y evita añadir más de 10 declaraciones de inclusión, también conocidas como «búsquedas»

Ahora, tu SPF puede tener el siguiente aspecto

v=spf1 ip4:192.0.0.1 include:google.com -all

Esto es para tus dominios que están autorizados a enviar correos electrónicos en tu nombre. Pero para tus otros dominios, debes excluir los modificadores (excepto -all) en el registro SPF.

Este es el aspecto de tu registro SPF para los dominios que no utilizas para enviar correos electrónicos v=spf1 –all

Así es como puedes crear tu registro SPF. Después, simplemente publícalo.

Paso 4: Publicar el Registro SPF

Una vez definido el registro SPF, el siguiente paso es publicarlo en tus DNS. Hay dos métodos para hacerlo:

  1. Trabaja con tu administrador de DNS interno y pídele que publique el registro SPF en tu DNS. Tu proveedor de DNS te proporcionará un panel de control al que podrás acceder y realizar la tarea de publicación fácilmente.
  2. Puedes pedir directamente al proveedor de servicios DNS que publique tu registro SPF en las DNS.

Esto permitirá que los receptores del buzón, como Gmail, Hotmail, Mailbird, etc., soliciten el registro SPF.

Además, si quieres actualizar los registros DNS:

  1. Accede a la cuenta de dominio que has comprado a tu proveedor de alojamiento de dominios
  2. Elige el dominio cuyos registros quieres actualizar
  3. Ve a la página donde se almacenan tus registros DNS, que puede ser un gestor de DNS
  4. Crea un nuevo registro TXT y define el nombre de tu dominio como campo «Host»
  5. Rellena el campo «Valor TXT» con el registro SPF y especifica un Tiempo de Vida (TTL)
  6. Haz clic en «Añadir registro» o «Guardar» para publicar el nuevo registro SPF en tu DNS.

Paso 5: Probar el Registro SPF

Una vez que hayas creado tu registro SPF y lo hayas publicado, puedes utilizar un comprobador de registros SPF para probar el registro SPF. Hay muchas opciones disponibles en el mercado de comprobadores de registros SPF, como Dmarcian, Agari, Mimecast, etc.

Realizar una prueba te ayudará a comprobar la validez de tu registro SPF y a ver la lista que contiene todos los servidores autorizados que pueden enviar correos electrónicos en nombre de tu dominio. Si no ves una dirección IP legítima en la lista, puedes incluir la dirección IP de envío que te queda y actualizar tu registro.

Cómo Añadir un Registro SPF a tu Dominio

Se muestra un panel de control en el que se puede añadir un registro SPF
Añade un registro SPF. (Fuente de la imagen: One)

Debes acceder al panel de control DNS de tu dominio para añadir un registro SPF. Si utilizas un proveedor de servicios de alojamiento web, como Kinsta, el proceso de añadir un registro SPF a tus DNS será más sencillo. Puedes consultar la documentación y seguir los pasos para hacerlo.

En general, los proveedores de servicios de correo electrónico publican registros SPF para poder enviar correos electrónicos desde sus dominios. Pero si no tienes ni idea de ello o tu ISP gestiona tus registros DNS, puedes dirigirte a tu departamento de informática.

Limitaciones de los Registros SPF

Aunque añadir registros SPF te proporcionará beneficios en términos de seguridad del correo electrónico, capacidad de entrega y mucho más, existen ciertas limitaciones en ellos. Vamos a hablar de esas limitaciones.

Registros SPF de DNS

Las versiones anteriores de SPF se utilizaban para comprobar la configuración en los registros TXT de DNS del dominio del remitente, con el fin de facilitar un despliegue y unas pruebas más rápidas. Los registros TXT del DNS se diseñaron como texto de forma libre, sin ninguna semántica asociada a ellos.

Sin embargo, la IANA asignó un registro de recursos de tipo 99 al SPF en 2005. Esto hizo que se redujera el uso del SPF, ya que los usuarios se sentían abrumados por los dos mecanismos, que les resultaban confusos. En 2014 se dejó de utilizar.

Problemas con las Cabeceras

El SPF se diseñó originalmente para evitar que los atacantes suplantaran la dirección de origen de un correo electrónico. Pero ahora muchos sólo lo hacen en el campo «De» de la cabecera del correo, que es visible para los destinatarios en lugar de ser procesado por su MTA. Esto aumenta los riesgos de suplantación.

Aunque puedes utilizar SPF con DMARC para comprobar el campo «De» de la cabecera del correo, es posible que necesites alguna solución avanzada y más fuerte para estar protegido de la suplantación de nombres de usuario en lugar de SPF.

Además, es difícil actualizar los registros SPF si añades flujos de correo electrónico o cambias de ISP. Los registros SPF también pueden romper el reenvío de un mensaje simple, y no garantiza la autentificación del correo electrónico.

Mejores Prácticas de los Registros SPF

Antes de descubrir las mejores prácticas para crear y mantener los registros SPF, primero hablemos de algunas prácticas generales.

  • Tu dirección IP de envío debe contener un registro PTR. Funciona como una guía telefónica invertida que permite buscar una dirección IP y un nombre de host. Sin embargo, los puntos de acceso público a Internet y las direcciones IP domésticas para las conexiones a Internet no suelen tener registros PTR. Se utiliza cuando es necesario verificar las conexiones entrantes.
  • Utiliza sistemas de autenticación de correo electrónico. Puedes utilizar uno o los tres sistemas de autenticación de correo electrónico: SPF, DMARC y DKIM. Los remitentes legítimos que utilizan la autenticación de correo electrónico pueden ser reconocidos fácilmente, en comparación con los que no la utilizan y siguen corriendo un riesgo de seguridad por el envío de spam. Aunque el uso de estos sistemas no garantiza necesariamente que tus correos electrónicos lleguen a las bandejas de entrada, proporciona una mayor protección. Es mejor que no tener ningún mecanismo de seguridad de correo electrónico para controlar y preservar la reputación del remitente.
  • Nunca, jamás, utilices o incluyas un registro con +all. La única forma de utilizar de forma productiva all es en los mecanismos ~all o -all.

Después de estas prácticas generales, hablemos de algunas de las mejores prácticas de los registros SPF.

Utilizar Registros SPF Limitados

El SPF incluye un montón de mecanismos potentes y complejos, pero no es necesario utilizarlos todos en tus registros SPF. Mantén tus registros SPF simples y define sólo el número necesario de registros SPF, no más que eso.

Esto también es válido para el mecanismo include:. Utilízalo en un número limitado y evita los includes anidados si puedes. Así evitarás sobrepasar el límite de 10 búsquedas DNS. También puedes añadir direcciones IP de gran alcance a la vez, en lugar de hacerlo todo individualmente. Esto simplifica el proceso y ahorra tiempo.

Especificar Rangos en Notación CIDR

Añade los rangos en notación CIDR, porque un solo error puede alterar drásticamente el valor. Así que, si un atacante logra comprometer algunos de tus sistemas y uno de ellos tiene la dirección IP perteneciente a este rango, podría ser fatal. Pueden hacer un mal uso de la dirección IP correctamente autentificada para enviar correos electrónicos de spam. Podría dañar tu reputación, provocar la pérdida de datos y hacer que tu dominio sea marcado como spam por los proveedores de correo.

Dado que este riesgo es muy frecuente, los proveedores de correo se han vuelto vigilantes y bloquean los dominios que les parecen sospechosos para evitar que se produzcan. Limitan los rangos de tamaño CIDR permitidos para ser considerados válidos en los registros SPF.

Evitar el Uso de la Declaración +all

Evita utilizar la declaración +all en tus registros SPF. Puede parecer demasiado permisivo, y detectar este tipo de problema de seguridad es difícil porque estos registros SPF son sintácticamente válidos. Incluso las herramientas y soluciones de prueba para comprobar los registros pueden no identificar los registros excesivamente permisivos.

La declaración +all permite que el registro SPF permita literalmente a toda la web enviar correos electrónicos en nombre de tu dominio, incluidos los maliciosos. De hecho, los dominios implicados en la distribución de spam suelen tener registros SPF que terminan con +all. Como resultado, pueden enviar correos electrónicos de spam que contengan malware infectado desde cualquier dirección IP.

Cuidado con los Registros Duplicados

En general, los dominios sólo tienen un registro SPF, lo que significa que sólo puede almacenar un registro TXT que empiece por la declaración v=spf1. Y si intentas añadir varios registros en un dominio, puede dar lugar a errores permanentes.

Esta limitación del SPF se viola con frecuencia. Muchos intentan añadir varios registros porque pueden haber desplegado varios servicios en su dominio, donde cada proveedor de servicios puede exigirles que creen y añadan un registro SPF a su dominio.

Se muestra que dos escritorios con los mismos datos están conectados a la nube
Registros duplicados. (Fuente de la imagen: Data Axle)

Los registros duplicados dañan la capacidad de entrega de tu correo electrónico, invitan a riesgos de seguridad y pueden empañar tu reputación. Los grandes proveedores de servicios de correo electrónico, como Google y Microsoft, tienen técnicas para limitar estos daños y arreglar automáticamente los registros duplicados. Pero los sistemas de correo electrónico más pequeños pueden no hacerlo.

Cuando identifiques registros SPF duplicados, debes abordar inmediatamente el problema, que es bastante fácil de solucionar. Las organizaciones con varios registros SPF pueden fusionarlos en una sola declaración. Combinando dos registros SPF te asegurarás de que v=spf1 permanezca al principio del registro SPF y aparezca sólo una vez, mientras que all se mantenga al final.

Límite de Caracteres

Los registros SPF pueden tener hasta 255 caracteres para una sola cadena, según el RFC. Esta es una limitación para todos los registros TXT de un DNS.

Como ya se ha explicado, cualquier registro SPF que no cumpla con esta directriz puede implicar errores permanentes o temporales en los sistemas de correo de los destinatarios. Aunque tu gestor de DNS puede evitar que superes este límite, puede dar lugar a problemas al almacenar registros más largos.

Aunque puedes mantener los registros con sólo 255 caracteres de longitud en una sola cadena, existe la opción de crear varias cadenas en un registro DNS. Así, cuando un servidor de correo del destinatario comienza a analizar el registro SPF y encuentra varias cadenas en un registro, las combina en un orden específico sin espacios.

Una vez hecho esto, el servidor de correo verificaría el contenido. De nuevo, ten en cuenta que sigue habiendo una limitación en el número total de caracteres de tu registro, aunque puedas añadir varias cadenas. Entender este límite puede ser un reto, pero garantiza que los paquetes DNS no superen los 512 bytes, que es la longitud de paquete UDP recomendada.

Sin embargo, si tu registro SPF supera este límite, crea sub-registros y divide un único registro en varios para evitar problemas de verificación SPF. Al dividir tus registros SPF, incluye cada sub-registro en la parte principal. Ten cuidado, ya que podría crear un número abrumador de solicitudes DNS, lo cual es un problema de seguridad que necesita solución.

Limita las Búsquedas de DNS

Además de mantener 255 caracteres en una cadena, también debes limitar el número de búsquedas DNS. Las especificaciones de la RFC indican que no se realicen más de 10 búsquedas DNS en el registro. Esto ayuda a evitar problemas como los bucles DNS infinitos y los ataques de denegación de servicio distribuidos (DDoS).

Pero, ¿qué ocurre realmente cuando haces más de 10 búsquedas en tu registro?

Se producirá un error permanente durante la autentificación SPF. Los mecanismos SPF – include:, a, PTR, mx, exists, y redirect – darán lugar a una consulta DNS.

Sin embargo, los mecanismos — all, ip4, y ip6 — no cuentan para una consulta DNS.

Además, ten en cuenta las declaraciones de inclusión anidadas, como los subregistros que se utilizan para desintegrar un registro mayor. Esto puede aumentar las consultas DNS generadas por tu registro SPF. Por lo tanto, cuando utilices un servicio de terceros, asegúrate de que no utilizan excesivas consultas DNS en los registros SPF.

Evita las Subredes y Direcciones IP Duplicadas

Se muestra un conflicto de dirección IP al comprobar los detalles de Ethernet
Direcciones IP duplicadas. (Fuente de la imagen: YouTube)

Todas las entradas SPF se resuelven con una subred o dirección IP.

Es fácil que se generen subredes y direcciones IP duplicadas al crear una lista de direcciones IP y sistemas autorizados para enviar correos electrónicos. Normalmente, esto puede ocurrir cuando añades la declaración include: en tu registro SPF, así como en los registros MX del dominio para el proveedor de servicios de correo. Estas IPs pueden ser las mismas, pertenecientes a las subredes incluidas.

La mejor práctica a seguir aquí podría ser utilizar la notación ip4 o ipv6, si la dirección IP del servidor cambia raramente. Esto permitirá a los destinatarios evitar cualquier búsqueda de DNS. Además, puedes especificar un rango de direcciones IP si tienes una lista larga de servidores de correo electrónico saliente, ya que las búsquedas de DNS para cada registro SPF están limitadas a diez.

Aparte de esto, puedes tener en cuenta algunas cosas más:

  • Utiliza un número limitado de mecanismos include:, y evita los includes anidados si puedes.
  • Utiliza los mecanismos ~all o -all, en lugar del mecanismo +all.
  • Evita utilizar el mecanismo exists SPF, porque si no lo utilizas correctamente, los riesgos de seguridad pueden filtrarse a través de los errores cometidos durante el proceso.
  • Intenta no utilizar el mecanismo ‘ptr» y ya que ha sido obviado en el último borrador del RFC SPF.
  • Evita asignar el tipo de registro DNS. Esto ya no se acepta en los registros TXT.
  • Cuando especifiques bloques de direcciones mediante la notación CIDR en los registros SPF, utiliza bloques entre /30 y /16. Los números más altos después de una barra significan bloques de direcciones más pequeños, lo cual es mejor. Tampoco utilices bloques entre /1 y /15, ya que algunos destinatarios pueden ignorarlos o descartarlos.
  • Asegúrate de resolver todos los mecanismos que utilizan un dominio en el registro SPF. A menudo, los administradores de sistemas no eliminan los sistemas heredados, como un servidor Exchange ubicado en las instalaciones, al que los servicios en la nube de Office365 han sustituido. Aunque sea necesario añadir Office365 a los registros SPF actualizados, es posible que al eliminar el sistema heredado no se haya actualizado. En este caso, el dominio en el registro SPF sigue estando presente, pero en realidad ya no existe, lo que provoca un fallo SPF temporal.
  • Utiliza sistemas de autenticación de correo electrónico como DKIM y DMARC con SPF para que sea más eficaz en la protección de tu dominio. Por tanto, si utilizas DKIM y DMARC, es necesario que conozcas también las mejores prácticas para ellos.

Usar DKIM con SPF

El Correo Identificado por Clave de Dominio (DKIM) proporciona una clave de cifrado y una firma digital que verifica que un mensaje de correo electrónico no ha sido falsificado o alterado. Como DKIM utiliza firmas digitales criptográficas, debes seguir algunas buenas prácticas para asegurar tu dominio.

  • Debes cambiar regularmente tus claves criptográficas para evitar que los atacantes las exploten. Muchos remitentes de correo utilizan claves antiguas creadas hace años, que los atacantes pueden explotar más fácilmente; para ellos, debes crear una clave DKIM nueva. También puedes rotar las claves muchas veces en un año, especialmente si envías miles o millones de correos en un mes para asegurar los correos sensibles.
  • Asegúrate de que la longitud de tus claves es de al menos 1.024 bits, ya que las firmas creadas con claves inferiores suelen ser ignoradas. Por ello, cada vez más remitentes están cambiando a claves de 2.048 bits o incluso más largas.
  • Si eres un ESP, no utilices sólo una clave DKIM para todos tus clientes. Asígnales una nueva clave DKIM única para sus correos electrónicos.
  • Si observas algún correo electrónico rebotado, fírmalo con DKIM.

Utilizar DMARC con SPF

La autenticación y conformidad de mensajes basada en el dominio (DMARC) unifica los mecanismos de autenticación SPF y DKIM en un framework común y permite a los propietarios de dominios declarar cómo quieren que se trate un correo electrónico de ese dominio si no supera una prueba de autorización.

El uso de DMARC tiene muchas ventajas. Te proporciona una función de información y te permite indicar a los proveedores de servicios de correo que bloqueen los mensajes que no superen la autenticación y se envíen en nombre de tu dominio. Esto ayuda a identificar y bloquear los mensajes fraudulentos enviados desde tu dominio, lo que ayuda a salvaguardar a tus clientes y mejora la reputación de tu dominio.

Así que, si todavía no utilizas DMARC, empieza a usarlo inmediatamente. Y si lo haces, asegúrate de que tus mensajes incluyen la «alineación del identificador» Esta alineación es esencial para que un correo electrónico pase la verificación de DMARC. Pero si no la incluyes al utilizar DMARC, enviará tus correos electrónicos directamente a la lista de sospechosos.

Cómo Comprobar los Registros SPF

Puedes utilizar algunas herramientas para comprobar los registros SPF. Estas herramientas se conocen como herramientas de comprobación de registros SPF o comprobadores de registros SPF.

Comprobador de Registros SPF

Se muestran diferentes caminos para comprobar si el registro SPF es válido o no
Comprobación del registro SPF. (Fuente de la imagen: John Hanley)

Un comprobador de registros SPF ayuda a garantizar la validez de un registro SPF mediante la comprobación de varios parámetros:

  1. Existencia del registro: Se utiliza para confirmar si un determinado registro SPF existe realmente en un DNS o no.
  2. Múltiples registros: Se permite un único registro SPF en un DNS. Por tanto, un comprobador de registros SPF verifica si existe un solo registro o varios.
  3. Número máximo de búsquedas: El número máximo de búsquedas SPF que se deben realizar está limitado a 10. Por tanto, el comprobador de registros SPF averigua el número total de búsquedas y si supera o no las 10.
  4. Mecanismo PTR: La herramienta verifica el uso de un mecanismo PTR, ya que no se recomienda utilizar este mecanismo.

Algunos ejemplos de comprobadores de registros SPF son Dmarcian, Agari y Mimecast, entre otros.

Resumen

Dado que los riesgos de ciberseguridad están evolucionando y afectando tanto a los individuos como a las empresas, debes asegurarte de implementar tantas capas de seguridad como puedas para permanecer protegido. Puedes utilizar muchas técnicas, herramientas, soluciones y servicios de seguridad para proteger tus datos, red, aplicaciones y sistemas.

Añadir un registro SPF a tu dominio es una de esas técnicas que puede ayudar a salvaguardar los activos y la reputación de tu empresa, impidiendo que los spammers envíen correos electrónicos en nombre de tu dominio.

El uso de un SPF por sí solo puede no ofrecerte una protección completa; por ello, utiliza DKIM y DMARC con tus registros SPF. Esta estrategia es más eficaz a la hora de detectar riesgos de seguridad como la suplantación de identidad del correo electrónico, la inclusión en la lista negra de los servidores y el marcado como spam.

Por tanto, si utilizas estas técnicas, asegúrate de seguir las mejores prácticas indicadas anteriormente para los registros SPF, DKIM y DMARC, y utiliza un comprobador de registros SPF para comprobar la validez de tu registro.