SPF

SPF es otra técnica de seguridad para correo electrónico que ayuda a prevenir el correo no deseado (spam) y los ataques de phishing. Es similar a tener una lista de remitentes autorizados que pueden enviar correo electrónico en nombre de su dominio.

Imagine que tiene una fiesta en su casa y solo quiere permitir que sus amigos entren. Para hacer esto, pone una lista de invitados en la puerta y solo permite entrar a aquellos que están en la lista. De manera similar, SPF permite solo correos electrónicos enviados por servidores autorizados en su lista.

Para configurar SPF en su dominio, agregue un registro SPF en su registro DNS que especifique qué servidores están autorizados para enviar correo electrónico en su nombre. Aquí hay un ejemplo de cómo agregar un registro SPF:

example.com. IN TXT "v=spf1 a mx include:_spf.google.com ~all"

En este ejemplo, el registro SPF dice que cualquier servidor que tenga una dirección IP registrada en los registros A o MX del dominio «example.com» o cualquier servidor autorizado por Google (_spf.google.com) está autorizado a enviar correos electrónicos en nombre de «example.com». El último valor «~all» indica que cualquier otro servidor que no esté en la lista debe ser considerado como no autorizado y, por lo tanto, los correos electrónicos de esos servidores deben ser marcados como posible spam.

Problemas con SPF

• Los registros SPF son realmente solo una sugerencia. No hay nada que requiera que un servidor receptor tome alguna acción basada en el registro.
• Los registros SPF solo verifican la Ruta de regreso encabezado, dejando todos los demás encabezados de tipo “de” disponibles para suplantar, como Sobre-desde, Responder a, etc.
• Las comprobaciones de SPF pueden agotar el tiempo dependiendo de cuántas búsquedas de DNS se realicen. Para evitar que SPF se use para realizar un ataque de Denegación de servicio ( DoS ), Las implementaciones de SPF permiten un máximo de diez búsquedas de DNS que se requieren para resolver completamente un registro de SPF —, las búsquedas pueden ser causadas por el uso de “ include ”, “ a ”, “ mx ”, “ ptr ”, y “ existe mecanismos ”, así como el modificador “ redirect ”.

Hay tres formas principales de autenticar un dominio usando SPF: «mx», «a», «include» y «ip4» o «ip6».

• «mx» significa que todos los servidores de correo electrónico registrados en el registro MX del dominio están autorizados a enviar correos electrónicos en nombre de ese dominio.

• «a» significa que todas las direcciones IP registradas en el registro A del dominio están autorizadas a enviar correos electrónicos en nombre de ese dominio.

• «include» permite incluir otro registro SPF de otro dominio en su propio registro SPF. Por ejemplo, si su empresa usa Google Suite para su correo electrónico, puede incluir el registro SPF de Google en su propio registro SPF para autorizar los servidores de Google a enviar correos electrónicos en su nombre.

• «ip4» o «ip6» permite especificar direcciones IP individuales que están autorizadas a enviar correos electrónicos en nombre de su dominio. Por ejemplo, si tiene un servidor de correo electrónico en su propia red, puede agregar su dirección IP a su registro SPF para autorizar ese servidor a enviar correos electrónicos en su nombre.

Cada regla en su registro SPF se separa por un espacio. Por ejemplo, un registro SPF completo podría verse así:

example.com. IN TXT "v=spf1 mx a:mail.example.com ip4:192.168.0.1 include:_spf.google.com ~all"

Este registro SPF permite correos electrónicos enviados por los servidores de correo electrónico registrados en el registro MX de «example.com», la dirección IP registrada como «mail.example.com», la dirección IP «192.168.0.1» y cualquier servidor autorizado por Google (_spf.google.com). Cualquier otro servidor que no esté en esta lista será considerado como no autorizado y, por lo tanto, los correos electrónicos de esos servidores serán marcados como posible spam.

Puedes profundizar aún más aquí: http://www.open-spf.org/SPF_Record_Syntax/