El protocolo SMTP, utilizado tanto por servidores como por clientes de correo, no cumple con requisitos de seguridad exigibles.
Uno de los principales problemas, es que si no se toman algunas medidas, cualquier individuo puede falsificar un correo electrónico de cualquier dominio no protegido. Ninguna de las medidas que se pueden tomar son extensiones propias del protocolo SMTP, sino que son agregados, como SPF (Sender Policy Framework), DomainKeys, SenderID, etc. En el caso de SPF se usan registros DNS para identificar las máquinas autorizadas para el envío de correo.
El protocolo SMTP, utilizado tanto por servidores como por clientes de correo, no cumple con requisitos de seguridad exigibles.
Uno de los principales problemas, es que si no se toman algunas medidas, cualquier individuo puede falsificar un correo electrónico de cualquier dominio no protegido. Ninguna de las medidas que se pueden tomar son extensiones propias del protocolo SMTP, sino que son agregados, como SPF (Sender Policy Framework), DomainKeys, SenderID, etc. En el caso de SPF se usan registros DNS para identificar las máquinas autorizadas para el envío de correo. En esta oportunidad, a fin de difundir el uso de esta herramienta, les acercamos una breve descripción que les podrían resultar útil para la implementación de SPF en su dominio internet. La configuración SPF se almacena en el registro TXT del DNS. En la misma se establecen aquellos servidores que pueden enviar correo electrónico por parte del dominio indicado, a fin de que el servidor que reciba pueda realizar el control correspondiente. Cabe mencionar que si el receptor no tiene implementado este control la configuración de SPF no tiene ningún efecto. SPF permite al titular de un dominio especificar su política de envió de correo electrónico haciendo público qué servidores de correo se encuentran autorizados para el envío correo: Por lo tanto, para que la implemetación de SPF de resultado, se requiere:
A tal efecto, el administrador de un servidor de correo debe entender que hay dos partes al proceso: identificación de servidores de correo, y armado de las reglas. Al implementar la verificación SPF, podremos comprobar si el correo electrónico entrante a nuestros servidores se encuentra debidamente autorizado. |
Un ejemplo: |
La configuración SPF se almacena en el registro TXT del dominio a proteger. Dicha configuración responde a una sintaxis definida, y se puede generar fácilmente desde varios sitios web, siempre y cuando poseamos la información de relevamiento necesaria, correspondiente a identificar los servidores de correo que efectivamente están autorizados y bajo nuestro control, para enviar correo por parte del dominio.
Analicemos, entonces, el registro TXT del dominio “arcert.gov.ar”, como ejemplo.
Para el caso de “arcert.gov.ar” veremos lo siguiente: “v=spf1 mx ip4:200.123.99.210 ?include:_netblocks.google.com –all” Dicho registro TXT contiene los siguientes elementos:
Asimismo, existen otros elementos (parámetros) que se pueden utilizar en la construcción de este registro, por ejemplo mx:OTRO_DOMINIO nos permite incluir a los servidores de correo de otro dominio, práctica muy común cuando se comparten recursos por motivos de alta disponibilidad, acuerdos de cooperación, etc. |
Referencias:
RFC 4408:
http://www.rfc-editor.org/rfc/rfc4408.txt
Openspf:
http://old.openspf.org/wizard.html
Nota: el sitio OpenSPF no existe más desde Febrero del 2019. De hecho fuimos notificados al respecto hoy 14.05.19 por Chris Brooks que tuvo la gentileza de indicarnos que el link de openspf no estaba más operativo y que ellos habían publicado recientemente un artículo al respecto.
Copiamos la información que recibimos:
“…We recently published an article that explores what happened to the site, and more importantly, where developers and admins can go to get SPF-related tools, news and community…”
https://www.getmailbird.com/what-spf-resources-are-available-now-that-openspf-org-is-gone/
Deja un comentario