Seguridad en dominios de correo electrónico

El correo electrónico es ya un sistema mundialmente implementado desde hace 20 años, pero aún así no todo el mundo conoce cómo funciona, debido a la complejidad que detrás arrastra. Por eso, en esta entrada concretamente, vamos a hablar sobre la seguridad en dominios de correo, y de cómo evitar que usen nuestras direcciones para enviar SPAM.

Políticas de seguridad en dominios de correos electrónicos

Para comenzar, deberíais saber que el nombre del remitente se puede modificar antes de enviarse para que, cuando llegue, aparezca cambiado. Dependiendo de qué servidores de envío usemos, permitirán esta configuración.

Para evitar que terceros hagan uso de esta característica y envíen correo a nuestro nombre, podemos utilizar el SPF, el DKIM y el DMARC. Son protocolos de seguridad en dominios de correo electrónico. Estos se basan en la tecnología de resolución de nombres (DNS) para verificar servidores de envío y relacionarlos con los dominios correspondientes.

SPF, ¿qué es?

En este artículo nos centraremos en SPF, que es el primero que debéis configurar. Este protocolo se encarga de dictar qué dominios que llegan desde una dirección concreta son válidos y se tiene que colocar como registro TXT en los DNS del dominio que queramos verificar. Para que sea más claro os pongo un ejemplo:
Correodepruebas.icm.es.            IN          TXT        “v=spf1 MX ip4:192.169.3.45 -all”

Por orden:
Correodepruebas.icm.es. = El dominio a verificar
IN TXT = El tipo de registro

“v=spf1 MX ip4:192.169.3.45 -all” = Registro SPF. Esta es la parte interesante:

• v=spf1” = Versión de SPF a utilizar. (Normalmente solo encontraremos la versión 1.)
• “MX” = El valor “MX” indica en el registro si la dirección desde donde se ha enviado el correo es la misma que hay indicada en el registro MX. Si es así, automáticamente el correo es válido.
• “ip4:192.169.3.45” = La IPv4 ‘192.169.3.45’ queda permitida, así que si los correos del dominio Correodepruebasicm.es llegan desde esa IP, quedarán validados. También se pueden configurar IPv6 cambiando ‘ip4’ por ‘ip6’.
• “-all” = El resto de los correos del dominio que no lleguen desde las direcciones indicadas quedarán instantáneamente descartados y serán marcados como no seguros.

Configuraciones adicionales

Este es tan solo un ejemplo de uso de un registro SPF. Hay más configuraciones (llamadas mecanismos) que podemos aplicar, y que nos permiten afinar los resultados:

ALL – Hace referencia a todos los correos del dominio.
A – Comprueba si el correo proviene de la misma IP que tiene configurada el registro A o AAAA del dominio.
Ip4/Ip6 – Comprueba si la(s) IP(s) introducida(s) encaja(n) con el servidor de donde proviene el correo.
MX – Comprueba si el correo proviene de la misma IP que tiene configurada el registro MX del dominio.
PTR – Comprueba si el correo proviene de la misma IP que tiene configurada el registro PTR del dominio.
EXISTS – Comprueba si el dominio resuelve a cualquier dirección.
INCLUDE – Incluye la política de otro domino y la aplica. Si esta da negativo, el proceso continúa.

Estos mecanismos se pueden configurar con los siguientes símbolos para darles el efecto deseado:

+ – PASS. Si la condición se cumple, el correo es verificado.
? – NEUTRAL. Si la condición se cumple, se considera que el mecanismo no existe.
~ – SOFTAIL. Entre NEUTRAL y FAIL. Normalmente verifica los correos, pero los marca como POSIBLE SPAM.
– – FAIL. Si la condición se cumple, el correo es rechazado.

Con todo esto, podemos realizar diferentes combinaciones, que nos permiten una gran customización del registro SPF. Aquí os dejamos algunos ejemplos :

“v=spf1 MX ip4:192.169.3.45 ip6:2001:4860:4000:4uh5:b2fw:0000:8e5d:6432 -all”
“v=spf1 MX A PTR include:_spf.google.com -ip4:23.45.234.1 ~all”
“v=spf1 -A -PTR +all”

Esperamos haberte aclarado algo más cómo puedes configurar SPF de tu correo. Si te ha parecido interesante, en breve continuaremos con la explicación del DKIM y el DMARC, y la mejora de la seguridad en dominios de correo electrónicos.