Qué es un registro SPF y cómo está evitando que suplanten tu identidad
¿Por qué un registro SPF? Cómo funciona un correo electrónico
Si quieres saber cómo funciona un registro SPF, antes de nada debes entender el contexto en el que se aplica. Y para eso tienes que saber cómo funciona una transacción SMTP. Como te comentaba al principio, un correo electrónico funciona de forma parecida a una carta física. En concreto, se parece mucho al envío de un paquete certificado. Y, por obvio que parezca, voy a repasar cómo enviarías un paquete certificado; por ejemplo, cómo enviarías un regalo de cumpleaños por paquetería a un amigo que vive lejos: 1 - Antes de nada pondrías el regalo en un paquete y lo cubrirías con un papel chulo. Y seguramente le pegarías una tarjeta con un mensaje, tipo “¡Felicidades, Paco!” y con la fecha de hoy. 2 - Llevarías el paquete a Correos, donde lo embalarían en un sobre o caja protectora. En dicho “envoltorio” pondrías los datos del destinatario de forma más formal (la calle, código postal, etc.). 3 - Además, en ese “envoltorio” tendrías que poner tus datos de remitente. 4 - Con el paquete ya enviado, solo falta que llegue a su destino. Cuando tu amigo Paco lo reciba verá un “envoltorio” más bien feo que pone que el paquete es para él. Entonces, lo abrirá y dentro encontrará ya tu regalo envuelto con papel de colores y tu tarjeta de felicitación, que efectivamente está dirigida a él. Hasta aquí todo bien. Es un proceso bastante sencillo que casi todos hemos hecho alguna vez. Y como los informáticos somos más bien vagos, cuando se diseñó el protocolo SMTP (el idioma que hablan los servidores de correo) allá por 1982 lo que hicieron sus creadores fue básicamente copiar esta realidad. Cuando envías un correo desde tu gestor de correo (Outlook , Thunderbird o el que uses), aunque tú no lo veas, ese programa “habla” con un servidor para pedirle que haga el envío y, para entenderse con él, tiene que utilizar unas palabras concretas. Este conjunto de palabras es lo que se llama “protocolo SMTP” (Simple Mail Transfer Protocol). Y aquí puedes verlo en todo su esplendor: Algo confuso, ¿no? No voy a explicártelo en profundidad porque no es el objetivo de este artículo, pero sí que voy a analizar algunos puntos concretos y sus similitudes con el envío del paquete que vimos antes:- MAIL FROM:<dani@lucusterra.es>
- RCPT TO:<javi@lucusterra.es>
- DATA
- Podemos decir que un correo electrónico tiene dos partes: el “envoltorio”, que es la información que usa el servidor de correo para mover el mensaje, y el “mensaje”, que es la información que llega al usuario final.
- En líneas generales, al servidor le da igual lo que vaya dentro del “mensaje”, y el destinatario del correo nunca llega a ver la información del “envoltorio”.
¿Qué es un registro SPF?
Vale, ¿y qué pinta el registro SPF en todo esto? Bueno, una de las primeras formas que se descubrieron para suplantar la identidad de otros al enviar correos electrónicos, fue .... mentir. Duh. Si eres mala persona, al enviar un correo nada te impide decir en el “envoltorio” que eres quien no eres. En el ejemplo del paquete postal sería algo equivalente a dar los datos de otro cuando en correos te preguntan quien es el remitente del certificado. El registro SPF (de Sender Policy Framework) es un tipo especial de registro DNS (bueno, en realidad es un registro de tipo TXT con un formato muy concreto) que permite a los dueños de dominios luchar contra la suplantación de identidad. Normalmente tu proveedor de hosting creará un registro SPF adecuado para tu dominio, y tú no tendrás que hacer nada más. Pero de todos modos es importante que sepas cómo funciona por si tuvieras que modificarlo, o si tuvieras que crearlo tú. Mediante el uso de registros SPF los dominios pueden declarar desde qué direcciones IP envían correos. Es decir, el objetivo de un registro SPF es dejar claro a todo aquel que lo consulte desde qué servidores un dominio envía correos, y desde cuáles no.¿Cómo funciona un registro SPF?
Un registro SPF funciona exactamente igual que cualquier registro DNS: cuando se consulta devuelve un resultado. Pero este resultado tiene una estructura muy precisa, indicando desde qué servidores el correo está autorizado a enviar, y desde cuáles no. El funcionamiento de esta medida de seguridad es bastante simple. Cuando un correo electrónico llega a un servidor, dicho servidor compara la dirección IP desde la que ha recibido el envío con las IPs declaradas en el registro SPF del dominio que figura en el remitente del “envoltorio”; si el en el registro está declarada esa IP significa que el dominio la está autorizando a enviar correos en su nombre, y sino no. Es decir:- Un registro SPF no es más que un registro TXT con un formato específico.
- Está diseñado para garantizar que el correo que recibes ha salido de un servidor “autorizado”.
- La comparación de la IP del remitente con el registro SPF del dominio la ha de hacer el servidor que recibe el correo; es decir, es una comprobación que recae en el destinatario del email, no en el origen.
- Existen pautas aconsejadas a seguir cuando una IP “pasa” el test, y pautas aconsejadas para cuando lo “falla”; pero en último término son eso, pautas aconsejadas, y la última palabra sobre qué hacer con los correos según el resultado del registro SPF depende del receptor del correo.
Estructura de un registro SPF
Antes te comentaba que un registro SPF no es más que un registro TXT con una estructura muy específica. Bien, ¿y cuál es esta estructura? Un registro SPF es, como cualquier registro TXT, una simple cadena de caracteres; pero en este caso esos caracteres se dividen en mecanismos, que no son otra cosa que partículas que contienen información contra la que se puede comparar la IP desde la que el servidor ha recibido el correo. Actualmente los mecanismos que se pueden utilizar en un registro SPF son 8:- ip4
- ip6
- a
- mx
- ptr
- exists
- include
- all
- +
- -
- ~
- ?
Ejemplos de registro SPF
Y después de toda esta teoría, la mejor forma de que entiendas cómo funciona un registro SPF es ver algunos ejemplos:- "v=spf1 a mx include:lucusterra.es ~all"
- "v=spf1 mx:lucusterra.es exists:lucusterra.es ?all"
- "v=spf1 -all"
- "v=spf1 +all"
Txemicall Brotha
19/11/2019 a las 12:33Excelente, gran trabajo.
Responder a Txemicall Brotha
Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *