SPF, DKIM y DMARC coordinan la defensa contra los spammers, el phishing y otros problemas de correo electrónico suplantado.
SPF, DKIM y DMARC
El correo electrónico siempre ha tenido problemas de seguridad y, por desgracia, la simple encriptación de las transferencias de mensajes entre servidores de correo electrónico no basta para detener a los spammers y otros remitentes de correo electrónico no deseado. Las estafas de phishing, el spam y la suplantación de identidad del correo electrónico se basan en técnicas que falsifican los mensajes para que parezcan proceder de un remitente legítimo. La clave para reducir el correo electrónico no deseado y malicioso es utilizar técnicas para validar que un mensaje procede de un remitente autorizado y que el propio mensaje no ha sido modificado en tránsito.
El Protocolo Simple de Transferencia de Correo (SMTP), un protocolo utilizado para transmitir mensajes de correo electrónico, se publicó por primera vez en 1982 sin ninguna preocupación por la seguridad del correo electrónico. Se esperaba que algún otro mecanismo se ocupara de la seguridad. En la actualidad, el tráfico SMTP entre servidores de correo electrónico puede cifrarse y autenticarse mediante el protocolo TLS. Como el correo electrónico sigue siendo el principal vector de amenazas a la ciberseguridad de todo tipo, se han desarrollado tres protocolos principales de autenticación y validación del correo electrónico para luchar contra la avalancha de spam, phishing y suplantación de identidad:
Sender Policy Framework (SPF)
define un proceso para averiguar si un servidor de correo está autorizado a entregar correo electrónico para un dominio remitente en DNS.
DomainKeys Identified Mail (DKIM)
define un proceso para firmar digitalmente y autenticar los mensajes de correo electrónico como procedentes de un servidor de correo electrónico autorizado para enviar correo electrónico para el dominio de origen. Las firmas DKIM permiten a los proveedores de correo electrónico autenticar en nombre de los propietarios del dominio de correo electrónico.
Domain-based Message Authentication, Reporting and Conformance (DMARC)
define un proceso para descubrir la respuesta adecuada a la recepción de un correo electrónico que no se autentifica mediante SPF (servidor de correo electrónico no autorizado) o DKIM (firma digital que no se autentifica).
Implementar un nuevo protocolo para abordar la seguridad en un protocolo como SMTP después de que haya sido ampliamente adoptado no es ni deseable ni práctico. Por ello, las normas de Internet sobre métodos de validación y autenticación del correo electrónico se basan en protocolos ya existentes. En el caso de la autenticación del correo electrónico, esto significa utilizar el DNS para distribuir la información necesaria para validar el correo electrónico de un dominio determinado. Esto se hace en parte porque es más sencillo basarse en los protocolos y la infraestructura existentes y porque puede ayudar a reducir el impacto sobre la entregabilidad del correo electrónico.
Los siguientes protocolos de validación publican su información de autenticación y autorización en DNS:
SPF utiliza DNS para publicar los dominios, subdominios y servidores de correo desde los que se puede enviar correo electrónico autorizado.
DKIM utiliza DNS para anunciar las claves públicas que pueden utilizarse para autenticar mensajes de correo electrónico como legítimamente originados en el dominio.
DMARC utiliza DNS para anunciar las políticas que deben aplicarse al correo electrónico que no se autentifica con SPF, DKIM o ambos.
El uso de SPF, DKIM y DMARC requiere un software de servidor de correo electrónico compatible con los protocolos. La configuración depende del caso de uso, pero los datos SPF, DKIM y DMARC se almacenan en registros DNS TXT. La configuración puede completarse en gran medida creando registros DNS para el dominio o subdominio desde el que se enviará el correo electrónico.
¿Qué es el FPS?
El protocolo SPF se define en RFC 7208, Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1, publicado en 2014. SMTP no restringe a los servidores de correo electrónico el uso de cualquier dominio como origen de los mensajes; SPF pretendía solucionar ese problema. SPF define un proceso para que los propietarios de dominios identifiquen las direcciones IP y los dominios autorizados para ser utilizados como fuente de los mensajes de correo electrónico enviados desde el dominio.
Cuando se utiliza SPF, se puede reducir el spam, y los mensajes de phishing de dominios falsificados pueden marcarse y descartarse en función del dominio incluido en la dirección del remitente del correo electrónico.
Un registro SPF es un registro DNS TXT de una línea que contiene las direcciones IP de los servidores de correo electrónico autorizados y el dominio o subdominio para el que dichos servidores están autorizados a enviar correo electrónico. Los servidores de correo compatibles con SPF que reciben mensajes que parecen haber sido enviados desde un dominio que utiliza SPF deben realizar una búsqueda DNS del registro SPF DNS TXT que contiene la lista de fuentes de correo electrónico autorizadas.
A continuación se indican las siete respuestas válidas a una consulta de verificación SPF:
Pass:
significa que el servidor de correo remitente está autorizado a enviar correo para el dominio.
Fail:
significa que el servidor de correo remitente no está autorizado a enviar correo para el dominio. A veces se denomina fallo duro para diferenciarlo del fallo suave.
None:
significa que no se ha encontrado ningún registro SPF para el dominio en cuestión.
Neutral:
se devuelve cuando el propietario del dominio tiene un registro SPF en el sistema DNS que explícitamente no afirma ninguna dirección IP o dominio autorizados. Los destinatarios pueden interpretar este resultado como un aprobado o un suspenso, en función de la configuración DMARC del dominio.
Soft fail:
significa que el host remitente probablemente no está autorizado a enviar correo electrónico para el dominio. Dependiendo de la configuración DMARC y del servidor de correo receptor, este resultado puede tratarse como correcto o incorrecto.
Temporary error:
significa que la consulta falló debido a una condición de error temporal, como un tiempo de espera de DNS. Tras recibir un error temporal, el servidor de correo receptor finaliza el intercambio SMTP con el remitente y se retrasa la entrega del mensaje.
Permanent error:
significa que el registro SPF no se ha podido procesar correctamente y el mensaje no se puede entregar. Este tipo de error puede producirse si hay más de un registro SPF para el dominio remitente o si el registro SPF tiene errores de sintaxis.
No es obligatorio implementar DKIM y DMARC para que SPF funcione, pero funcionan mejor juntos. Por ejemplo, DMARC proporciona la funcionalidad adicional de orientar a los destinatarios sobre si deben rechazar o aceptar mensajes que no superen SPF de alguna manera.
¿Qué es DKIM?
El protocolo DKIM se define en el RFC 6376, DomainKeys Identified Mail (DKIM) Signatures, publicado en 2011. Define un mecanismo para que el remitente de correo electrónico reclame la responsabilidad de los mensajes vinculando su dominio a los mensajes mediante firmas digitales.
Las firmas de mensajes DKIM se incorporan en cabeceras de mensaje personalizadas que se ajustan al estándar de Internet para la sintaxis de mensajes. Esto significa que cualquier implementación de servidor SMTP compatible con DKIM procesa automáticamente los mensajes con firmas DKIM en la cabecera de correo electrónico intentando autenticar la firma.
La autenticación DKIM permite a los propietarios de dominios especificar diferentes claves de firma para su uso por diferentes proveedores de servicios de correo electrónico. Éstas pueden ser internas de la organización remitente (es decir, correo enviado desde sucursales o filiales remotas) o pueden ser utilizadas por proveedores de servicios de correo electrónico comerciales para enviar correo en nombre del propietario del dominio.
Las claves privadas de los pares de claves públicas DKIM son guardadas de forma segura por quien controle los servidores de correo electrónico. Las claves públicas se publican en DNS; cualquiera que reciba correo electrónico del dominio puede encontrarlas fácilmente.
¿Qué es DMARC?
El protocolo DMARC se define en el RFC 7489, Domain-based Message Authentication, Reporting, and Conformance (DMARC), publicado en 2015. Con DMARC, el propietario de un dominio puede especificar las acciones a tomar cuando un servidor receptor no puede autenticar un mensaje.
Los remitentes de correo electrónico que utilizan SPF y DKIM pueden beneficiarse de esos protocolos sin implementar DMARC. El destinatario, sin embargo, debe decidir cómo tratar los mensajes que no procedan de un remitente autorizado o que no puedan autenticar una firma digital.
Cuando se utilizan SPF y DKIM con DMARC, el propietario del dominio puede solicitar información en forma de informes forenses sobre mensajes individuales que no se han autenticado o en informes agregados que resumen todos los mensajes que no han superado SPF, DKIM o ambos.
DMARC permite al propietario del dominio crear una política de seguridad del correo electrónico que ayude a los destinatarios a evitar la suplantación de identidad u otro tipo de correo no autorizado y que ayude al propietario del dominio a detectar cuándo los piratas informáticos están atacando el dominio.
Las políticas DMARC incluyen lo siguiente:
None (Ninguna):
significa que no es necesaria ninguna acción relacionada con el mensaje: puede entregarse como legítimo. Esta política proporciona al propietario del dominio un método para registrar información sobre la frecuencia con la que se ha invocado la política y, por lo general, se utiliza cuando se implementa DMARC por primera vez.
Quarantine (Cuarentena):
significa que el mensaje puede ser sospechoso. Puede entregarse, pero debe enviarse a una carpeta adecuada, por ejemplo, la carpeta de correo no deseado o spam del destinatario.
Reject (Rechazar):
significa que el mensaje definitivamente no está autorizado y no debe entregarse.
Los registros DMARC, almacenados en registros DNS TXT, contienen información adicional sobre cómo deben aplicarse las políticas, además de especificar qué tipo de informes se esperan y dónde deben enviarse.
¿Cómo funcionan juntos SPF, DKIM y DMARC?
SPF es la base de esta norma tripartita para la autenticación del correo electrónico y proporciona un marco para autenticar la propiedad de un dominio. Esto es fundamental para obtener los beneficios de DMARC y DKIM porque los registros SPF permiten a los sistemas de correo electrónico autenticar que el dominio desde el que se envía un mensaje es, efectivamente, un dominio autenticado como propietario y controlador del dominio.
El protocolo SPF define el uso de registros DNS, así como el intercambio de información SPF entre servidores de correo electrónico. Todo ello para autenticar servidores de correo electrónico. El propio SPF no especifica qué hacer con la información que proporciona. Si un mensaje está siendo enviado desde un propietario de dominio autenticado — ni puede detectar si el mensaje es falsificado o no.
Ahí es donde DKIM y DMARC entran en juego.
El correo enviado por servidores que aplican DKIM se firma digitalmente. Estas firmas digitales se autentican mediante claves públicas conectadas al servidor remitente. Estas claves públicas se almacenan en registros DKIM, que se añaden a los registros DNS del propietario del dominio remitente. La firma DKIM permite la autenticación del dominio para validar que el mensaje se envió legítimamente desde el dominio especificado.
El protocolo DMARC depende tanto de SPF como de DKIM para autenticar el correo electrónico. DMARC permite a los propietarios de dominios especificar cómo deben tratar los servidores receptores los mensajes no autorizados o no autenticados. DMARC define otro registro DNS, el registro DMARC, en el que se almacena la clave pública del dominio remitente. Con estos tres registros diferentes, los servidores de correo electrónico receptores pueden hacer lo siguiente:
- Determinar si el remitente está autorizado a enviar correo electrónico desde el dominio de origen utilizando SPF;
- Autenticar un mensaje verificando la firma digital del mensaje, utilizando DKIM; y
- Determinar la acción deseada para mensajes no autenticados utilizando DMARC.
Aunque los administradores de sistemas de correo electrónico pueden querer ser excesivamente cautelosos con el correo no autenticado, con DMARC pueden estar seguros de que el correo sospechoso se trata correctamente.
Aunque DKIM, SPF y DMARC juntos proporcionan una gran herramienta para reducir la amenaza de spam, phishing y otros ataques al correo electrónico, no protegen contra todas las amenazas. Por ejemplo, puede ser difícil defenderse de los ataques que ponen en peligro el correo electrónico de las empresas, pero la formación sobre ataques (business email compromise) puede ayudar a mitigar los riesgos.
¿Quieres saber más?
Te recomendamos leer el siguiente artículo relacionado con las nuevas normas contra el email masivo:
