Vamos a empezar con una serie de artículos para profundizar en el tema de la seguridad en el correo electrónico, y como podemos secularizar nuestro correo, y también como averiguar de forma sencilla si un correo es legítimo.
SPF, DKIM y DMARC
Estos tres acrónimos son fundamentales a la hora de definir la seguridad de nuestro sistema de correo electrónico.
Parece un jeroglífico, pero para los que gestionamos habitualmente sistemas (sobre todo correo electrónico) Esto es la base de todo. ¿Por qué? Vamos a tratar de explicarlo en este artículo
SPF (Sender Policy Framework)
Los registros SPF y la verificación SPF permiten eliminar mucho del SPAM y correos maliciosos que circulan habitualmente.
El SPF es la primera línea de defensa de los servidores de correo electrónico, garantizando la legitimidad de los servidores remitentes de correo.
¿Cómo funciona el SPF?
¿Quién no ha recibido un correo que que parece venir de un colaborador, cliente, proveedor, e incluso de un compañero de trabajo, pero que ninguno de ellos ha enviado?
Como comenta nuestro compañero en el post del otro día no usar los sistemas de seguridad que nos ofrece nuestro proveedor (en caso de tenerlo, ya que hay muchos que no disponen de tales medidas), nos puede ahorrar no sólo disgustos, sino también perder dinero.
Si este es tu caso, hay algo que no cuadra, y como veremos más adelante, realizar esto es muy sencillo, basta con usar algún servicio de correo cualquiera, y si por ejemplo la cuenta de correo es juan@miempresa.com, yo puedo usar un servidor de correo ubicado en cualquier parte del mundo y enviar un correo desde ese servidor usando por ejemplo el correo hans@onecompany.com, pero declarando en el correo que se envía desde juan@miempresa.com.
Es decir, el correo viene de un servidor de correo de onecompany.com, pero en el remitente del correo digo ser juan@miempresa.com.
A nosotros nos aparecerá como juan@miempresa.com. Si nuestro servidor de correo dispone de la comprobación SPF, al recibir el correo ocurrirá lo siguiente:
El servidor de correo buscará un registro SPF en el DNS de miempresa.com (por ejemplo la IP 1.2.3.4)
SI el correo viene de la IP 1.2.3.4, es una IP autorizada a enviar correo, y se deja pasar.
SI por el contrario viene de otra IP (por ejemplo la 5.6.7.8) entonces dependiendo de la configuración del SPF se ejecutarán una serie de acciones. Esto lo veremos en la configuración del SPF.
¿Cómo se configura el SPF?
La configuración del SPF es muy sencilla tan solo hay que añadir un registro a nuestro DNS, señalando los servidores o IP que son los autorizados a enviar correo en nombre de nuestro dominio.
En este artículo vamos a usar dos servidores ficticios de correo
correo.tecnocratica.net con la dirección IP 1.2.3.4
correo.micliente.com con la dirección IP 5.6.7.8
deberemos de crear una entrada en el DNS del estilo:
v=spf1 a mx include: correo.tecnocratica.net -all
Este registro DNS indica que cuando el servidor de correo de micliente.com recibe un mensaje de correo, va a ir a comprobar el registro SPF de nuestro DNS, ahí comprobará que el nombre del servidor de correo de Tecnocrática es el de “correo.tecnocratica.net”, y si coincide, pues entonces el correo viene de un servidor “bueno” y lo dejará pasar.
Para esto es importante que los registros DNS estén correctamente controlados y con buenas prácticas como el DNSSEC que ya comentamos en este otro artículo.
El registro SPF puede contener el nombre del servidor o bien la dirección IP, y como no podía ser de otra forma para esto hay que disponer de RPKI en nuestro direccionamiento de red, a fin de evitar el IP Spoofing o secuestro de direccionamiento IP.
Para nuestros clientes, el panel de control, se encarga automáticamente de configurar este registro
Modificadores del registro SPF
Los registros SPF pueden contener varios modificadores (el -all de nuestro ejemplo) que indican cuan estricta debe ser esta verificación.
Podemos usar -all y ~all. La diferencia entre ambas directivas es que en el caso de la directiva con el signo menos (-all) hace que todo lo que no venga de esa dirección o nombre de servidor del registro SPF de nuestro DNS se rechaza. En el caso de la directiva con el signo vírgula ( ~all) indica que el servidor lo deja pasar pero con advertencia de que puede ser un correo de origen fraudulento.
El servidor de correo de “micliente”, decidirá qué debe hacer con los correos en función de una serie de decisiones que los responsables de los sistemas deciden en función de lo estricto que quieran que sea:
Pass: El registro SPF indica que el servidor que envía el correo está autorizado para ello, con lo cual acepta el correo. (+)
Fail: El registro SPF no coincide con el servidor que envía el correo, por lo cual este correo se rechaza (-)
SoftFail: El registro SPF no coincide, pero se admite y se marca como posible SPAM. (~)
Neutral: El registro SPF especifica explícitamente que no se puede decir nada sobre la validez del mismo y el correo se acepta (¿)
None: No hay registro SPF y por lo tanto no se puede comparar y se acepta el correo.
Conclusiones del uso del SPF
Por lo tanto, podemos ver que se puede eliminar mucho SPAM, malware y evitar otro tipo de problemas, usando la política de configurar de forma correcta nuestros registros SPF.
Es muy recomendable configurar correctamente estos valores, y las correspondientes políticas de cara a evitar sorpresas con correos fraudulentos en nuestra bandeja de entrada.
En próximas entregas os contamos los otros dos sistemas de asegurar el correo electrónico. El DKIM y el DMARC.
Deja una respuesta