Blog | ne Digital: Managed Services for Cybersecurity, Microsoft 365 and Azure

¿Qué es el certificado SPF y por qué es importante para su mensajería?

Escrito por Nicolas Echavarria | 13-nov-2023 15:33:08

El certificado SPF es un método que fue desarrollado para contrarrestar las amenazas de los ciberdelincuentes que utilizan la mensajería electrónica para enviar correos maliciosos, spam o phishing, en una época cuando las comunicaciones en línea son un componente crucial de la vida empresarial.

El Sender Policy Framework, es un sistema de autenticación de correo electrónico que permite a los servidores verificar si el remitente está autorizado a enviar mensajes en nombre del dominio del remitente. 

En otras palabras, el certificado SPF ayuda a prevenir el uso no autorizado de direcciones de correo electrónico y reduce la cantidad de spam que llega a la bandeja de entrada del destinatario.

¿Para qué sirve el registro SPF?

El registro SPF señala cuáles son los servidores de correo electrónico que están autorizados para enviar mensajes en nombre de un determinado dominio.

Al publicar un registro SPF en el DNS (Domain Name System), el propietario del dominio está diciendo a los servidores de correo electrónico que verifiquen que la correspondencia que reciben desde ese dominio realmente provienen de servidores autorizados.

Si un correo electrónico llega a un servidor que comprueba el registro SPF y encuentra que el servidor que envía el mail no está autorizado, el sistema puede marcar el correo como spam o rechazarlo por completo. 

Esto significa que el mensaje no llegará a la bandeja de entrada del destinatario, lo que reduce el riesgo de que el usuario haga clic en un enlace malicioso o descargue un archivo peligroso.

Las cadenas de caracteres, que son del tipo TXT, se utilizan para identificar la ubicación de una dirección IP utilizada para enviar correos electrónicos. Para indicarnos toda la información que necesitamos, existen los siguientes mecanismos:

  • IP4. Permite la especificación de una dirección IPv4.
  • IP6. Es el tipo de registro para direcciones IPv6.
  • A. Para mostrar la dirección IP de un dominio específico.
  • MX. Fija la IP del registro MX.
  • PTR. Asegura que la IP del remitente está configurada correctamente.
  • EXISTS. Se debe especificar el dominio al que se debe resolver la dirección IP.
  • INCLUDE. Para incorporar un registro SPF de dominio externo.
  • ALL. Decide qué hacer con el correo electrónico que se envió desde una IP que no se mencionó en los otros registros.

Estos mecanismos se modifican por medio de 4 elementos llamados calificativos:

  • El símbolo «+» se traduce como «pass» y es el calificativo por defecto. Por lo tanto, si al agregar un registro SPF no le asigna ningún calificativo, se presupone que es este. Las IP que declaran el mecanismo que lleva este calificativo quedan autorizadas para enviar e-mails del dominio y sus mensajes son aceptados.
  • El símbolo «-» representa el «fail» y toda IP declarada en un mecanismo con este calificativo no está autorizado a enviar mensajes desde el dominio y sus e-mails se rechazan.
  • El símbolo «~» significa «softfail», lo que indica que las IP que llevan este calificativo no tienen autorización para enviar mensajes desde el dominio, pero tal vez lo estarán en un futuro.
  • El símbolo «?», indica «neutral». El registro SPF no ofrece información sobre las IP declaradas con este calificativo, por lo cual no se sabe si están o no autorizadas. Es recomendable aceptar los mensajes para evitar los rechazos no deseados.

¿Qué es SPF en DNS?

El registro SPF es una entrada en el DNS que especifica qué servidores de correo electrónico están autorizados para enviar correspondencia en nombre de un dominio en particular. 

Para crear un registro SPF, el propietario del dominio debe especificar una lista de direcciones IP que corresponden a los servidores que están autorizados para enviar correos electrónicos en nombre de ese dominio.

Por ejemplo, si una empresa tiene un dominio llamado «ejemplo.com» y utiliza un servidor de correo electrónico llamado «correo.ejemplo.com» para enviar correspondencia en su nombre, el propietario del dominio debe agregar una entrada SPF en el DNS que indique que dicho servidor está autorizado para enviar e-mails en nombre de «ejemplo.com».

¿Cómo validar el registro SPF?

Los servidores de correo electrónico verifican el registro SPF de un dominio utilizando el DNS. Cuando un servidor recibe un mensaje de un remitente, realiza una búsqueda en el DNS para encontrar el registro SPF del dominio del remitente. 

Si se encuentra un registro SPF, el servidor de correo electrónico verifica que la dirección IP del servidor que envió el correo está incluida en la lista de direcciones IP autorizadas en el registro SPF.

Si la dirección IP está autorizada, el servidor continúa procesando el correo electrónico y lo entrega a la bandeja de entrada del destinatario. Por el contrario, si la IP no está acreditada, el servidor marca el e-mail como spam o lo rechaza por completo.

¿Cómo configurar SPF en Office 365?

Si utiliza Office 365 para enviar e-mails en nombre de su dominio, debe configurar el registro SPF en el DNS para garantizar que los servidores de correo electrónico verifiquen que los mensajes que envía en su nombre son legítimos. 

A continuación, se presentan los pasos para configurar el registro SPF en Office 365:

  • Con una herramienta para generar registros SPF cree uno nuevo de Microsoft Office 365.
  • Copie el registro SPF que acaba de generar.
  • Actualice su registro DNS .TXT para insertar el registro SPF con su proveedor de dominio.
  • Haga clic en «Guardar».

No cree varios registros SPF .TXT para Office 365 en el mismo dominio, ya que al hacerlo se enviarán mensajes SPF PermError.

Después de configurar el registro SPF en Office 365, puede verificar que esté configurado correctamente utilizando herramientas de verificación de SPF en línea, como Kitterman SPF Record Testing o SPF Record Checker.

Lleguemos a una conclusión

El certificado SPF es una solución importante para mejorar la seguridad de la mensajería electrónica al prevenir el uso no autorizado de direcciones de correo electrónico y reducir la cantidad de spam y mails maliciosos que llegan a la bandeja de entrada del destinatario. 

Al configurar el registro SPF en el DNS de su dominio y validar el registro SPF, puede garantizar que los servidores de correo electrónico verifiquen que los mensajes que envía en su nombre son legítimos y evitar problemas de entrega de la correspondencia.

Si requiere más información sobre los servicios expertos y conocer la oferta de ne Digital en temas de Ciberseguridad, explore nuestro portafolio de servicios.