Registro SPF

4min

SPF es un protocolo para verificar la autenticidad del remitente de los mensajes de correo electrónico, usado para evitar los ataques de seguridad comúnmente denominados como phishing. En este artículo te explicaremos cómo funciona.

Índice

¿Qué es SPF?

Consiste en un mecanismo de verificación del remitente de mensajes de email, que permite verificar que la persona que lo envía es aquella que dice ser. Para ello se utiliza un registro SPF que se incorpora en el servidor de DNS del dominio y diversas verificaciones de los programas de correo electrónico encaminadas a asegurar que los mensajes vienen de los servidores legítimos y no forman parte de un ataque de phishing.

¿Qué es el phishing?

Es un ataque habitual en el mundo digital que consiste en el envío de un mensaje donde el bandido trata hacerse pasar por otra persona o institución. Es tan habitual que seguramente sabrás de lo que se trata. De hecho cada semana todos recibimos alguno de estos mensajes, aunque afortunadamente lo normal es que acaben entrando en la bandeja de spam.

En el phishing participan muchos factores, como la ingeniería social para conseguir que el mensaje parezca que tiene un contexto fiable, pero también aspectos estéticos para que los correos tengan una imagen similar a los de la entidad que tratan de suplantar.

¿Qué son los registros SPF?

Los registros SPF son simples entradas de texto en las DNS, creadas en un dominio dado. Estos registros indican al receptor del mensaje que éste viene a través de un servidor con una IP autorizada y no de otro servidor cualquiera usado para atacar al usuario.

Los registros SPF son una de las herramientas más importantes en la seguridad del servicio de correo y ofrecen una vía para bloquear email con Phishing, de modo que no llegue ni tan siquiera a entregarse al usuario.

Los registros SPF tienen dos ventajas principales:

  • Evitan que atacantes usen nuestros dominios para enviar correo no deseado
  • Reducen las posibilidades de que nuestros dominios acaben en listas negras de correo

Son fundamentales cuando usamos servidores de terceros para distribuir el correo, como podría ser el caso de Google Suite. Si no tenemos registros SPF creados, los servidores que reciben nuestros mensajes podrán enviarlos fácilmente a la carpeta de spam o alertar a los usuarios de que este mensaje puede ser en realidad un ataque por suplantación de identidad, lo que produce una experiencia poco deseable para los destinatarios de nuestros correos.

¿Cómo se realiza la comprobación de los registros SPF?

La comprobación de la identidad del emisor del mensaje se realiza atendiendo a una serie de pasos, expresados en el siguiente diagrama:

1.- El remitente envía un email

2.- El servidor recibe el email

3.- El servidor consulta en los servidores de DNS del dominio el registro SPF, que puede existir o no.

En caso que no exista la entrada DNS del registro SPF, la verificación no se puede realizar, por lo que no existiría ningún tipo de protección. Pero si el administrador del dominio ha tenido la buena práctica de realizarlo, entonces podrán pasar dos cosas:

a) Si se verifica, entonces el mensaje se entrega, o al menos tendrá menos posibilidades de irse al spam

b) Si no se verifica el remitente, entonces el mensaje se rechaza. Lo general en estos casos es que el mensaje acabe en la bandeja de spam.

Cómo es la forma de un registro SPF

El SPF no es más que una entrada de DNS de tipo TXT. Estas entradas se pueden realizar fácilmente en el panel de control del registrador de tu dominio.

El registro incluye el servidor desde donde se enviarán los mensajes. Por ejemplo si usas Gmail y las herramientas de Google Suite sería más o menos así:

v=spf1 include:_spf.google.com ~all

En esta sintaxis encontramos varias informaciones:

  • V sirve para indicar la versión del registro SPF
  • Include: permite indicar el dominio externo desde el que se permitirán enviar los mensajes.
  • La opción ~all indica que los correos que lleguen de otras fuentes sean declarados como no válidos. Por supuesto, esta opción solamente debería usarse si solamente se enviásen mensajes desde los servidores de Google.

Otras opciones habituales incluyen:

  • a indica que se autorizan a las máquinas declaradas en las entradas A del dominio
  • mx indica que se autorizan a las máquinas declaradas en los registros MX del dominio

Tienes más información sobre el registro de entradas DNS en nuestro Centro de Soporte.

Fernán García de Zúñiga

Productos relacionados: