¿Qué es una entrada SPF y cómo ayuda a combatir el spam?

Hasta bien entrado el cambio de milenio no existían procedimientos con los que un cliente o servidor de correo pudiera autenticar y verificar sin lugar a dudas al remitente de un mensaje. Para cerrar esta brecha de seguridad y hacer frente al envío creciente de spam se desarrolló inicialmente el Sender Policy Framework (SPF). Sobre este estándar, en un primer momento no oficial, se construyeron otros procedimientos: primero DomainKeys Identified Mail (DKIM) y más tarde la especificación iniciada, entre otros, por Google, Microsoft, Facebook y Paypal Domain-based Message Authenfication, Reporting and Conformance (DMARC). El objetivo declarado de SPF, DKIM y DMARC es, en conjunto, impedir el envío de spam y de correos con remitentes falsificados (spoofing) mediante el control de los servidores de correo emisores.

¿Qué características tiene SPF?

Este procedimiento, al igual que DKIM y DMARC, utiliza métodos similares para reconocer con seguridad a los remitentes de un correo electrónico y excluir falsificaciones y spam. Estos se basan en la comparación de la dirección IP del emisor con una lista almacenada en el registro TXT de servidores de correo autorizados (lista blanca) que pertenecen a un dominio. Entre las ventajas de SPF y de las extensiones que se basan en él, DKIM y DMARC, se incluyen:

• Autenticación y verificación de los remitentes a través del servidor
• Soporte para servidores externos fuera del Domain Name System (DNS)
• Filtrado de clientes autenticados basándose en una lista blanca
• Clasificación de los correos electrónicos según su origen
• Clasificación de mensajes como spam en función de reglas individuales
• Protección para el titular de un dominio frente al uso indebido de su dirección

SPF sentó la base sobre la que DKIM y DMARC desarrollan sus propios procedimientos y amplían las posibilidades para la detección y el tratamiento del spam. Mientras que SPF se desarrolló tras el cambio de milenio como un estándar no oficial que fue adoptado por su elevada funcionalidad, DKIM y DMARC son especificaciones que grandes empresas desarrollaron de forma dirigida para impedir el envío no autorizado de correos —a menudo spam y malware— bajo identidades falsas.

¿Cómo detectan SPF, DKIM y DMARC los correos falsificados y el spam?

Al enviar un correo electrónico, los servidores de correo registran, además de datos como el remitente, el destinatario, la línea de asunto y el contenido, también la dirección IP del servidor que establece la conexión. Esta información se transmite, de modo que en los datos ampliados queda registrado con exactitud el desarrollo de la "ruta de entrega". Para detectar SPAM y correos falsificados, SPF, DKIM y DMARC comparan este recorrido y, en especial, la primera dirección con los servidores de correo registrados oficialmente para ese dominio.

Una comparación sencilla con el registro A —es decir, el servidor web responsable de un dominio— resulta, en este contexto, inadecuada para detectar SPAM, ya que los sitios web de gran tamaño separan su infraestructura entre sí por razones de limitación de carga. Por ello, la información relevante para SPF, DKIM y DMARC se almacena en una entrada adicional en un servidor de nombres. Para este fin, estas especificaciones utilizan el registro TXT del Sistema de Nombres de Dominio (DNS). Un registro TXT correspondiente señala, mediante un prefijo como v=spf1 para SPF, v=dmarc1 para DMARC y v=DKIM1 para DKIM, la variante admitida y su versión. Si un servidor de correo encuentra en su consulta DNS una indicación relacionada con SPAM, evalúa los parámetros siguientes e inicia el procedimiento de comprobación de SPAM y autenticidad.

SPF, DMARC y DKIM toman al remitente original como un parámetro significativo y verifican si ese servidor es un remitente legítimo para un dominio. Si no puede legitimarse mediante el registro TXT, SPF, DMARC y DKIM permiten una respuesta: bien se descarta el mensaje, se marca automáticamente como SPAM o se añade una advertencia indicando que la integridad del remitente, por ejemplo comprobada mediante DKIM, no está garantizada.

Imagen: Gerd Altmann en Pixabay