Noticias y Alertas
Header

SPF, Herramienta para evitar la falsificacion de correo electronico de su dominio Internet

diciembre 23rd, 2010 | Posted by kwelladm in Noticias

El protocolo SMTP, utilizado tanto por servidores como por clientes de correo, no cumple con requisitos de seguridad exigibles.

Uno de los principales problemas, es que si no se toman algunas medidas, cualquier individuo puede falsificar un correo electrónico de cualquier dominio no protegido. Ninguna de las medidas que se pueden tomar son extensiones propias del protocolo SMTP, sino que son agregados, como SPF (Sender Policy Framework), DomainKeys, SenderID, etc. En el caso de SPF se usan registros DNS para identificar las máquinas autorizadas para el envío de correo.

El protocolo SMTP, utilizado tanto por servidores como por clientes de correo, no cumple con requisitos de seguridad exigibles.

Uno de los principales problemas, es que si no se toman algunas medidas, cualquier individuo puede falsificar un correo electrónico de cualquier dominio no protegido. Ninguna de las medidas que se pueden tomar son extensiones propias del protocolo SMTP, sino que son agregados, como SPF (Sender Policy Framework), DomainKeys, SenderID, etc. En el caso de SPF se usan registros DNS para identificar las máquinas autorizadas para el envío de correo.

En esta oportunidad, a fin de difundir el uso de esta herramienta, les acercamos una breve descripción que les podrían resultar útil para la implementación de SPF en su dominio internet.

La configuración SPF se almacena en el registro TXT del DNS. En la misma se establecen aquellos servidores que pueden enviar correo electrónico por parte del dominio indicado, a fin de que el servidor que reciba pueda realizar el control correspondiente. Cabe mencionar que si el receptor no tiene implementado este control la configuración de SPF no tiene ningún efecto.

SPF permite al titular de un dominio especificar su política de envió de correo electrónico haciendo público qué servidores de correo se encuentran autorizados para el envío correo:

Por lo tanto, para que la implemetación de SPF de resultado, se requiere:

  1. que el titular o dueño del dominio publique dicha información en un registro DNS en la zona del dominio.
  2. que el servidor que reciba los mensajes de correo electrónico, controle que el servidor que haya enviado el mensaje, este autorizado para el dominio que indica la dirección del remitente.

A tal efecto, el administrador de un servidor de correo debe entender que hay dos partes al proceso: identificación de servidores de correo, y armado de las reglas.

Al implementar la verificación SPF, podremos comprobar si el correo electrónico entrante a nuestros servidores se encuentra debidamente autorizado.

Un ejemplo:
La configuración SPF se almacena en el registro TXT del dominio a proteger. Dicha configuración responde a una sintaxis definida, y se puede generar fácilmente desde varios sitios web, siempre y cuando poseamos la información de relevamiento necesaria, correspondiente a identificar los servidores de correo que efectivamente están autorizados y bajo nuestro control, para enviar correo por parte del dominio.

Analicemos, entonces, el registro TXT del dominio “arcert.gov.ar”, como ejemplo.
Para visualizar el registro, podemos utilizar:

  • En plataformas Unix/Cygwin los comandos: dig arcert.gov.ar txt o host –t  txt arcert.gov.ar.
  • En Windows contamos con el comando nslookup, una vez ejecutado indicar: set <ENTER> arcert.gov.ar <ENTER>

Para el caso de “arcert.gov.ar” veremos lo siguiente:

“v=spf1 mx ip4:200.123.99.210 ?include:_netblocks.google.com –all”

Dicho registro TXT contiene los siguientes elementos:

  • v=spf1: Indica que es un registro SPF versión 1
  • mx:  Informa que los servidores indicados por los registros MX del dominio arcert.gov.ar pueden enviar correo como arcert.gov.ar
  • ip4:200.123.99.210: Indica la dirección IP autorizada para enviar correo como/desde/por arcert.gov.ar
  • ?include:_netblocks.google.com: Indica que el rango de direcciones IP de Google puede enviar correo como arcert.gov.ar (Google para que se pueda usar para enviar correo como una cuenta de mail externa requiere un proceso de validación previo)
  • -all: Indica que lo informado en el registro SPF contempla a todos los servidores autorizados a enviar correo como “arcert.gov.ar” y que no olvidamos a ninguno.

Asimismo, existen otros elementos (parámetros) que se pueden utilizar en la construcción de este registro, por ejemplo mx:OTRO_DOMINIO nos permite incluir a los servidores de correo de otro dominio, práctica muy común cuando se comparten recursos por motivos de alta disponibilidad, acuerdos de cooperación, etc.

Referencias:

RFC 4408:
http://www.rfc-editor.org/rfc/rfc4408.txt

Openspf:
http://old.openspf.org/wizard.html

Nota: el sitio OpenSPF no existe más desde Febrero del 2019. De hecho fuimos notificados al respecto hoy 14.05.19 por Chris Brooks que tuvo la gentileza de indicarnos que el link de openspf no estaba más operativo y que ellos habían publicado recientemente un artículo al respecto.

Copiamos la información que recibimos:

“…We recently published an article that explores what happened to the site, and more importantly, where developers and admins can go to get SPF-related tools, news and community…”

https://www.getmailbird.com/what-spf-resources-are-available-now-that-openspf-org-is-gone/

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Deja un comentario