Marco de política del remitente (SPF): una capa de protección en la infraestructura de correo electrónico

¿Alguna vez alguien (en broma o maliciosamente) tomó su teléfono y envió un mensaje de texto a alguien que se hacía pasar por usted? No se siente muy bien, ¿verdad? Incluso después de aclarar la verdad con el destinatario, es probable que desconfíen de todos tus mensajes de texto en el futuro. Y probablemente será mucho más cuidadoso a quién le presta su teléfono. La confianza se ha roto.

Un escenario similar es posible en el mundo del correo electrónico, y los posibles phishers no necesitan su nombre de usuario y contraseña para hacerse pasar por su empresa. Aterrador, ¿verdad?

Afortunadamente, conocemos un truco simple, no tan secreto, para proteger la reputación de su marca. Se llama Sender Policy Framework (SPF) y es un salvavidas para la reputación del correo electrónico.

Cuando se envía un correo electrónico de un servidor a otro, se utiliza el protocolo de transferencia de correo simple (SMTP) para enviar un mensaje del remitente al destinatario. Como servicio SMTP, Twilio SendGrid facilita este proceso.

Una debilidad de la seguridad en la infraestructura del correo electrónico es la capacidad de cualquier remitente o host para identificarse a sí mismo y a su correo electrónico como cualquier dominio que desee (algo así como la gente ha creado TONELADAS de cuentas de Twitter de Donald Trump). Esto dificulta que los receptores confíen en que un mensaje proviene realmente de quien dice que proviene. También hace que los remitentes se sientan incómodos al saber que alguien puede enviar correo desde su dominio y dañar potencialmente la reputación de su marca.

Los destinatarios pierden la confianza en la autenticidad del correo electrónico y los remitentes son impostores paranoicos que se hacen pasar por su marca, ¡no es bueno para nadie! Parte de la solución es el registro SPF que se almacena en un registro txt en el DNS. En este artículo, vamos a explorar todo lo relacionado con SPF, desde lo que es hasta descubrir errores por su cuenta, lo cubriremos todo.

¿Qué es un registro SPF?

SPF significa Marco de política del remitente. Es un método de autenticación de correo electrónico que ayuda a identificar los servidores de correo que pueden enviar correos electrónicos desde un dominio en particular. Con este protocolo de validación, los ISP pueden determinar cuándo los suplantadores de identidad y los phishers intentan falsificar correos electrónicos de su dominio para enviar correos electrónicos maliciosos a sus usuarios.

Con SPF, los destinatarios pueden estar seguros de que los mensajes de correo electrónico que reciben provienen de quienes están esperando. Y los remitentes pueden estar tranquilos sabiendo que los phishers no están falsificando correos electrónicos ni estafando a su audiencia de su marca.

Más técnicamente, un registro SPF es una línea corta de texto que el administrador de un dominio agrega a su registro txt. El registro txt se almacena en el DNS (sistema de nombres de dominio) junto con sus registros A, PTR y MX. Un registro SPF se parece a esto:

“v=spf1 ip4:12.34.56.78 incluyen:ejemplo.com -todos”

Cómo funciona el SPF

La línea de texto anterior se usa para decirle al servidor SMTP receptor qué hosts pueden enviar correo desde un dominio determinado.

El registro SPF generalmente se verifica muy temprano en la conversación SMTP, mucho antes de que se haya transmitido el cuerpo del mensaje. Cuando se intenta enviar un mensaje, se abre una conexión TCP entre el remitente y el servidor receptor.

Una vez que se establece la conexión, se emite un comando HELO, que esencialmente le dice al servidor receptor qué dominio está tratando de enviarle correo. A esto le sigue un comando MAIL FROM que le dice al servidor receptor de qué dirección de correo electrónico proviene el mensaje. El dominio que se encuentra en el comando MAIL FROM (también conocido como sobre desde y ruta de retorno) es el dominio utilizado para la verificación de registros SPF.

Supongamos que se ha recibido un mensaje y la dirección CORREO DE es [email protected]. El servidor receptor comprobará los registros DNS públicos de ejemplo.com y buscará un registro TXT que comience con v=spf1. Si no hay un registro TXT que comience con v=spf1, la autenticación pasará. Si hay más de un registro TXT que comienza con v=spf1, puede ocurrir un error.

Supongamos que se encuentra uno, y se parece a nuestro ejemplo anterior:

“v=spf1 ip4:12.34.56.78 incluyen:ejemplo.com -todos”

El servidor receptor ahora verificará si la dirección IP del cliente SMTP que intenta enviar el mensaje está incluida en el registro SPF. Si aparece la dirección IP, el mensaje pasará la autenticación SPF.

El meollo del asunto: desglose de cada pieza del registro SPF

Un registro SPF se compone de varios mecanismos, que incluyen:

INCLUIR

Siempre seguido de un nombre de dominio. Cuando el servidor receptor encuentra un mecanismo de inclusión, se comprueba el registro SPF para ese dominio. Si la IP de los remitentes aparece en ese registro, el correo se autentica y la verificación de SPF finaliza. Si no se encuentra, la comprobación de SPF pasa al siguiente mecanismo.

A

También seguido de un nombre de dominio. Sin embargo, en este caso, el SPF simplemente verifica las direcciones IP asociadas con ese dominio. Si coincide con la IP del remitente, pasa y la verificación de SPF se detiene. Si no, pasa al siguiente mecanismo.

MX

Similar a "A". Siempre va seguido de un nombre de dominio. Si el dominio enumerado se resuelve en la dirección IP del cliente de envío, la autenticación pasa y se realiza la verificación de SPF. Si no, pasa al siguiente mecanismo.

IP4 e IP6

Siempre seguido de una dirección IP específica o rango CIDR. Si la IP del cliente remitente aparece después de cualquier mecanismo IP4 o IP6, se aprobará la autenticación y se realizará la verificación de SPF. Si no, pasa al siguiente mecanismo.

PTR

Nunca debe incluirse en los registros SPF. Por algunas razones técnicas, son propensos a errores y cuestan mucha memoria y ancho de banda para que los servidores receptores los resuelvan. Algunos servidores fallarán en una autenticación SPF basada en la presencia de un mecanismo PTR.

REDIRECTO

Aunque técnicamente es un modificador, no un mecanismo, esto permite que el administrador de un dominio dirija un dominio al registro SPF de otro dominio. Si se utiliza la función REDIRECT, no se pueden incluir otros mecanismos en el registro SPF, incluido el mecanismo "todos". Ejemplo de registro de redirección: “v=spf1 redirect:example.com”

Todos los mecanismos "INCLUDE", "A", "MX", "PTR", "EXISTS" y "REDIRECT" requieren búsquedas de DNS, por lo que no puede haber más de 10 de estos. Esto parece bastante simple, pero esto también incluye búsquedas de DNS anidadas, lo que significa que un "INCLUIR" que conduce a otro registro SPF que tiene dos mecanismos "INCLUIR" más contaría como tres búsquedas de DNS. ¡Se suman rápido!

¿Qué pasa con los clientes de Twilio SendGrid?

La mayoría de nuestros remitentes han configurado un CNAME que dirige su dominio de envío a sendgrid.net. Esto significa que el servidor receptor ve el CNAME que apunta a sendgrid.net y, en su lugar, comprueba ese registro SPF. Así que no se sorprenda si la mayoría de los registros SPF que consulta son idénticos.

Para obtener más preguntas específicas de Twilio SendGrid, eche un vistazo a nuestra página de documentos del marco de políticas del remitente. Tiene respuestas adicionales a algunas preguntas comunes y escenarios.

¿Cómo verifico mi registro SPF?

No todo el mundo usa la autenticación SPF, pero los receptores que rechazan en función de la falla de SPF rechazarán la entrega. Algunos destinatarios también pueden poner en cuarentena el correo que no cumple con SPF sin bloquearlo.

Cada registro SPF será un poco diferente, pero debe verificar para asegurarse de que lo haya hecho bien. Aquí hay tres herramientas que pueden ayudar a validar sus registros:

• Herramientas de prueba de SPF de Scott Kitterman : verifique si ya existe un registro SPF para su dominio, verifique su validez o pruebe su rendimiento.
• OpenSPF.org : revise una serie de formularios y probadores basados ​​en correo electrónico.
• Comprobación de registros SPF: la comprobación de registros SPF actúa como una búsqueda y validación de registros SPF. Buscará un registro SPF para el nombre de dominio consultado y ejecutará pruebas de diagnóstico contra el registro, destacando los errores que podrían influir en la capacidad de entrega del correo electrónico.
• SPF Wizard : SPF Wizard es una herramienta de generación de registros SPF basada en navegador. Complete el formulario y el sitio generará un registro SPF para usted.

Haga del marco de políticas del remitente una prioridad

En pocas palabras, los mensajes de correo electrónico maliciosos dañan su negocio y degradan el canal de correo electrónico. Cuando los phishers vean su dominio protegido por el marco de políticas del remitente, es más probable que busquen objetivos más fáciles. Si bien SPF no evitará el correo no deseado, puede servir como elemento disuasorio y hacerlo menos vulnerable a los ataques. Y quién no quiere eso, ¿verdad? Por eso animamos a todos los clientes de correo electrónico a crear un registro SPF.

Combinado con Sender ID, DKIM y DMARC, SPF proporciona un nivel adicional de seguridad de correo electrónico que brindará un mejor soporte a sus usuarios al ayudar a los ISP a identificar correctamente su correo electrónico y, a su vez, a los spammers.

Para obtener más información sobre SPF y otros protocolos de autenticación, descargue la Guía de infraestructura de correo electrónico de SendGrid .