¿Qué es el filtrado SPF y cómo implementarlo?

Las personas son víctimas de estafas en Internet, no porque sean excesivamente crédulos, sino porque los esfuerzos de los estafadores son cada vez más creíbles. Ahora, los ciberdelincuentes pueden aprovechar tu reputación ganada con tanto esfuerzo enviando correos electrónicos que parecen provenir de tu empresa.

Las víctimas de este ataque de suplantación de identidad podrían sufrir un daño irrevocable a la reputación o que su dirección IP se incluya en la lista negra, poniendo fin instantáneamente a todas las actividades comerciales en línea.

Puedes proteger a tu empresa de esta grave amenaza usando el filtrado SPF. Para saber cómo implememtarlo, sigue leyendo.

¿Qué es un registro SPF para correo electrónico?

Para proteger tu dominio de correos electrónicos falsos, debes tener un registro SPF.

El marco de políticas del remitente (SPF) es un mecanismo de seguridad que informa a tus clientes potenciales que el mensaje que envió es seguro y que tu eres un remitente confiable. SPF autentica tu dominio y por lo tanto protege la buena reputación de tu dominio.

Un registro SPF es un método de autenticación de correo electrónico para especificar todos los servidores autorizados para enviar correos electrónicos en tu nombre. Cuando se envía un correo electrónico respaldado por un registro SPF, el servidor del destinatario verifica si la dirección IP del remitente está autorizada para enviar correos electrónicos con el nombre de dominio mostrado.

Un registro SPF es un tipo de filtro de spam que le dice a los servidores de correo electrónico que reciben que un correo electrónico es legítimo y no falsificado. Para que tus correos electrónicos tengan los calificadores antispam más precisos, debes combinar su registro SPF con un registro DKIM y DMARC.

¿Qué es el filtrado SPF?

El filtrado de SPF es el proceso de asegurar que todos los correos electrónicos recibidos sean legítimamente del dominio específico que los envía. El filtrado de SPF mitiga la falsificación de la dirección del remitente al evaluar todos los correos electrónicos según su política de SPF.

No todos los servidores de correo electrónico tienen capacidades de filtrado SPF, pero es probable que esta funcionalidad prevalezca en el futuro a medida que la amenaza de suplantación de correo electrónico continúe aumentando.

Las campañas de suplantación de identidad por correo electrónico suelen ser plataformas para ataques de phishing y esta amenaza de ciberseguridad tiene una tendencia ascendente preocupante.

¿Por qué debes configurarlo?

Los registros SPF indican a los buzones de correo qué hosts pueden enviar correo desde un dominio determinado. Puedes agregar registros SPF en tu configuración de DNS para demostrar fácilmente su autenticidad y ayudar a la entrega de tu correo electrónico. Entonces, ¿por qué querrías agregar el registro SPF a tu dominio? Estas son las principales razones:

  • Ser reconocido como remitente válido.
  • Para autenticar tu dominio y proteger tu buena reputación.
  • Para evitar filtros anti-spam.
  • Obtener una alta tasa de apertura y mantener baja la tasa de rebote.
  • Convertir tu tasa de respuesta en una tasa de satisfacción más alta.

¿Cómo se usa un registro SPF?

Para comprender cómo se usa un registro SPF, es importante comprender primero el recorrido de un correo electrónico desde el servidor de envío al servidor de recepción.

Aquí hay un desglose simplificado del proceso:

  1. El servidor de correo remitente envía el correo electrónico.
  2. El servidor de correo de recepción analiza la dirección de correo electrónico de la ruta de retorno dentro del encabezado del correo electrónico. Cuando un servidor receptor experimenta un problema de entrega (como un rebote), utiliza esta dirección de correo electrónico de ruta de retorno para notificar al servidor de envío del problema.
  3. El servidor de correo de recepción identifica el dominio dentro del dominio de la ruta de retorno.
  4. El servidor de correo receptor accede al registro SPF del dominio que se reclama en la comunicación por correo electrónico.
  5. La dirección IP del correo electrónico enviado se compara con la lista de direcciones IP permitidas en el registro SPF del dominio.
  6. El correo enviado pasa o no pasa una verificación de SPF, dependiendo de si su dirección IP aparece en el registro de SPF.

Cómo crear un registro SPF

Un registro SPF es un registro TXT de una línea que se agrega a tu DNS o al Sistema de nombres de dominio.

Antes de crear un registro SPF, debes verificar si ya tienes uno. Utiliza la herramienta en línea de Proofpoint para ver qué servidores de correo electrónico están autorizados actualmente para enviar correos electrónicos en nombre de tu dominio.

Aquí tienes un par de ejemplos de registros SPF:

  • TXT @ v = spf1 ip4: 1.4.3.5 ip4: 1.3.6.9 incluyen: third_party_example.com -todos
  • TXT @ «v = spf1 a include: _spf.google.com ~ all»

Para crear un registro SPF, debes comprender cómo interpretar la sintaxis del registro SPF.

  • TXT: esto especifica el tipo de registro DNS como un registro TXT
  • v-spf1: identifica el registro TXT como un registro SPF. El número al final indica la versión del registro SPF. Es decir, «SPF versión 1»
  • @: Este símbolo representa el dominio actual
  • a: se refiere a todos los dominios enumerados en su registro DNS A autorizado para enviar correos electrónicos en su nombre
  • mx: el registro MX enumera todos los servidores autorizados para enviar correos electrónicos. El servidor de correo electrónico de recepción comprueba los registros MX en orden de prioridad establecido.
  • Dirección IP: la lista de direcciones IPV4 a las que se permite enviar correos electrónicos en nombre del propietario del dominio. Puede ser un rango de direcciones IPV4 o IPv6.
  • Incluir: especifica los dominios de envío autorizados para enviar correos electrónicos. El primer ejemplo de registro SPF anterior especifica el nombre del dominio de terceros que se utiliza para enviar correos electrónicos en nombre de la empresa. En el segundo ejemplo, todas las direcciones de correo electrónico con el dominio «google.com» están autorizadas a enviar correos electrónicos en nombre de la empresa.
  • todos: los registros SPF están vinculados con una declaración «todos». El prefijo «~» denota un ‘fallo suave’. Esto significa que si el correo electrónico que recibe no pasa la prueba, aún se acepta pero se etiqueta como no conforme. Un prefijo «-» indica un error grave que rechaza todo el correo entrante que no cumple con las condiciones especificadas.

Si estás utilizando un tercero para enviar correos electrónicos, debes proporcionarle tu documentación de registro SPF única. Aquí hay un ejemplo de las instrucciones de registro SPF especificadas por Simple Email Service (SES) de Amazon:

«v = spf1 incluye: amazonses.com ~ todos»

Si tu cliente de correo electrónico no ha proporcionado la documentación de registro SPF, aquí hay un proceso para especificar condiciones de filtrado SPF simples.

Paso 1: enumera todas las direcciones IP permitidas

Comienza especificando la versión de SPF a la que se refiere. La mayoría de los registros SPF TXT son de la versión 1:

v = spf1

Si tienes una lista de direcciones IP autorizadas, deben seguir directamente esta entidad de versión SPF.

Puedes especificar cada dirección IPV4 (32 bits) o IPv6 (128 bits) o un rango:

Por ejemplo:

v = spf1 ip4: 1.2.3.4 ip4: 2.3.4.5 (direcciones IP individuales especificadas).

v = spf1ip6: 3FFE: 0000: 0000: 0001: 0200: F8FF: FE75: 50DF (rango de direcciones IP especificado).

Paso 2: especifica el nombre de dominio del servicio de correo electrónico de terceros

Si estás utilizando un proveedor de correo electrónico externo, debes especificarlo después de tu lista de IP autorizada con un prefijo ‘incluir:’.

Por ejemplo:

v = spf1 ip4: 1.4.3.5 ip4: 1.3.6.9 incluyen: third_party_example.com

Puedes especificar un nombre de dominio autorizado sin enumerar direcciones IP específicas.

Por ejemplo:

v = spf1 incluyen: _spf.google.com

Paso 3: especifica una etiqueta «todos»

Para completar su registro SPF, debes especificar una etiqueta «todos». La función específica de la etiqueta ‘todos’ depende de su prefijo. Para mayor seguridad, debes especificar un error duro con un prefijo ‘-‘.

Por ejemplo:

v = spf1 ip4: 1.4.3.5 ip4: 1.3.6.9 incluyen: third_party_example.com -todos

O

v = spf1 incluyen: _spf.google.com -todos

Si tu dominio no envía ningún correo electrónico, puedes evitar que todos los servidores de correo entrantes acepten correos electrónicos de tu dominio con el siguiente registro SPF:

v = spf1 -todos

Es importante tener en cuenta las siguientes limitaciones de creación de registros SPF:

  • Está limitado a solo 10 búsquedas
  • Una búsqueda es una verificación de autorización. Las entidades «a», «mx» e «incluyen» constituyen una búsqueda. Por lo tanto, debes asegurarte de que el total de entradas en cada una de estas entidades no exceda 10. Exceder este umbral puede resultar en que su correo electrónico termine en la carpeta de correo no deseado del destinatario.
  • Está limitado a solo 255 caracteres. Todo tu registro SPF TXT no puede superar los 255 caracteres. Esto incluye cualquier dirección IP especificada.

Cómo evitar que los spammers de correo electrónico usen tu dominio

Para proteger mejor tu dominio contra la suplantación de correo electrónico, no puedes confiar únicamente en un único método de autenticación de correo electrónico.

Además de un registro SPF, también debes establecer los siguientes métodos de validación:

  • DKIM
  • DMARC

Estas capas de autenticación trabajan junto con tu registro SPF para crear poderosas condiciones de filtrado de spam. Esta fusión garantizará que tus correos electrónicos de marketing tengan las mayores posibilidades de no terminar en la carpeta de correo no deseado.

¿Qué es DKIM?

DKIM o correo de identificación de clave de dominio, incorpora una firma de autenticación oculta en todo el correo enviado. Una firma DKIM confirma a los servidores receptores que el correo electrónico es auténtico y que ninguno de sus componentes ha sido modificado.

La configuración de DKIM mejorará drásticamente la calidad de todo tu correo enviado.

¿Qué es DMARC?

DMAC, o Informes y conformidad de autenticación de mensajes basados ​​en dominio, es un protocolo que hace cumplir tanto el registro SPF como la autenticación DKIM.

Al hacer cumplir este proceso de autenticación de dos capas, un registro DMARC asegurará que tu correo electrónico enviado sea de la más alta calidad, lo que le dará las mejores posibilidades de no terminar en la carpeta de correo no deseado.

Cómo configurar el registro DMARC

Un registro DMARC no solo aplica la autenticación SPF y DKIM. Con este registro, puedes especificar la acción deseada cuando un correo electrónico falla en la autenticación SPF y DKIM. Puedes configurar los servidores de recepción para rechazar correos electrónicos fallidos y activar el envío automático de informes de actividad para realizar un seguimiento de todas las actividades de mensajes de correo electrónico sospechosos.

Sigue estos pasos para configurar un registro DMARC común para tu DNS.

Comprueba si tienes un registro DMARC

Carga la herramienta de búsqueda de registros DMARC de Easy DMARC. Escribe tu dominio en el campo de búsqueda y haz clic en «Búsqueda de DMARC». Si tu dominio tiene un registro DMARC, se mostrará en el resultado de la búsqueda. Si tu sitio web no tiene un registro DMARC, verás un estado DMARC negativo.

Genera un registro DMARC

Carga el generador de registros DMARC de Easy DMARC.

Aplicar la siguiente configuración:

  • Establece el tipo de política en «Rechazar»: esto rechazará todos los correos electrónicos que no cumplan con tu registro SPF especificado y los requisitos de registro DKIM.
  • Ingresa el correo electrónico al que deseas que se envíen los informes por correo electrónico en el campo Informe agregado. Puedes enumerar varias direcciones de correo electrónico separadas por una coma
  • El «tipo de política de subdominio» suele ser el mismo que el tipo de política especificado
  • Alineación del identificador DKIM: relajado
  • Alineación del identificador SPF: relajado
  • Porcentaje aplicado a: 100
  • Intervalo de notificación: 86400
  • Estado de informe de fallas: 1: esto te enviará un informe cuando un correo electrónico no pase la autenticación DKIM o SPF.

Cuando se apliquen estas configuraciones, haz clic en «Generar registro DMARC».

Inserta el registro DMARC en el DNS de tu dominio.

Copia el registro DMARC generado e insértalo como un registro TXT en tu dominio DNS. El proceso de insertar un registro DMARC en tu DNS es el mismo que para insertar un registro SPF.