Registro SPF: entender y aplicar SPF

Imagínate que recibes un correo electrónico de un remitente en el que confías y que parece auténtico, pero hay algo que no encaja. ¿Es posible que hayan falsificado la dirección del remitente? Todos sabemos que hay estafadores que, por ejemplo, envían archivos infectados con troyanos en el nombre de empresas conocidas para aprovecharse de la confianza del receptor. Este engaño fraudulento se denomina spoofing.

Como receptor, ¿cómo puedes averiguar si el correo en cuestión realmente proviene del remitente indicado? Una de las soluciones más comunes es el convenio SPF o Sender Policy Framework, que los servidores de correo usan para verificar la autenticidad de las direcciones de los emisores. Mediante el SPF Check puedes comprobarlo. ¿Cómo se hace?

En teoría, la comprobación de los correos electrónicos entrantes es muy sencilla, dado que el servidor de correo receptor conoce el dominio del remitente. Ejemplo: si entra un correo electrónico de maria.gonzalez@gmx.com, el receptor puede averiguar la dirección IP en gmx.com. La dirección es 213.165.64.8 y aparece en el encabezado del correo, al igual que la dirección IP del remitente.

No obstante, las empresas grandes no usan un solo servidor de correo. El proveedor de servicios de correo electrónico gmx.com, por ejemplo, usa más de media docena de servidores diferentes. A esto hay que añadir que muchos proveedores grandes hacen uso de servidores de filtrado de correo especializados (p. ej., mailchannels.com) para evitar que su sistema se use para enviar correos de spam. En este caso, al receptor le aparece la dirección IP del servidor de filtrado y no la del remitente auténtico.

SPF son las siglas de Sender Policy Framework. Con este método, los servidores de correo electrónico pueden comprobar si un correo recibido realmente proviene del servidor host indicado. Este SPF Check se realiza íntegramente en un segundo plano; tú, como usuario final, no tienes constancia del proceso.

Dicho de forma más general, el SPF determina qué servidores de correo electrónico pueden enviar correos para el dominio. En este proceso, los servidores de correo electrónico se identifican por su nombre o su dirección IP.

Ejemplo: un correo electrónico del remitente maria.gonzalez@gmx.com solo se debe enviar a través de una de las siguientes direcciones IP: 213.165.64.0, 74.208.5.64, 74.208.122.0, 212.227.126.128, 212.227.15.0, 212.227.17.0, 74.208.4.192, 82.165.159.0, 217.72.207.0. Es decir, en el registro SPF del dominio gmx.com aparecen estas direcciones IP registradas. Ahora, el servidor de correo electrónico receptor puede comprobar si la dirección IP del encabezado del correo está en esta lista o no.

La lista de servidores de correo autorizados se almacena en el servidor de nombres (DNS) del dominio emisor, en nuestro ejemplo gmx.com, y cualquier servidor de correo receptor puede acceder a ella.

El llamado SPF Record se registra como DNS Record en la zona de dominio del DNS (servidor de nombres) responsable del dominio como TXT Record. El registro contiene una lista de direcciones IP desde las que se puede enviar correos electrónicos de ese dominio. A este se añaden otros registros, p. ej., para los servidores de filtrado de correo que mencionamos antes y por los que tiene que pasar un correo antes de llegar al receptor. Este tipo de “estaciones intermedias” a menudo se registran con la indicación include. A continuación, te explicamos los parámetros más comunes del SPF Record.

Por norma general, no hace falta que copies o escribas a mano el registro SPF. Los mejores proveedores de hosting de correo electrónico ofrecen herramientas justo para esta tarea. Descubre en nuestro Centro de Ayuda cómo crear un registro SPF en IONOS.

La manera más sencilla para que compruebes si tu correo electrónico se ha verificado con un registro SPF es la herramienta de mxtoolbox:

1. Envía un correo electrónico a ping.tools.mxtoolbox.com.
2. En breve, recibirás un correo de respuesta de abuse@mxtoolbox.com.
3. Este correo ya aporta las primeras conclusiones e incluye un enlace a los resultados detallados.

Ten en cuenta que pueden transcurrir hasta 24 horas hasta que se active un registro SPF. Si el SPF Record Check indica un error, repite la prueba al día siguiente.

También puedes comprobar el registro SPF en el correo electrónico enviado:

1. Envíate un correo electrónico a tu propia dirección de correo.
2. Abre el correo electrónico y revisa el encabezado del correo o el código fuente. En función del proveedor de servicios de correo electrónico, este proceso se realiza a través del menú “Vista” o el menú contextual (botón derecho del ratón).
3. El registro SPF aparece marcado con la indicación “Received”.

Cada vez más proveedores de servicios de internet exigen el registro SPF por motivos de seguridad. Esto significa que el servidor de correo receptor no entrega los correos al usuario final sin la autorización correspondiente o solo lo hace con la advertencia (“no seguro”).

La mayor ventaja del registro SPF es su sencilla aplicación: basta con un simple registro TXT. En la mayoría de los casos, el proveedor de servicios puede generar este registro de forma automática.

Pero, aunque el registro SPF es muy importante, no conviene sobrevalorar su efecto protector.

• El SPF no sirve como protección ante el spoofing. Un estafador puede usar un nombre de remitente falso a pesar de SPF.
• SPF no mejora la reputación del remitente. Los usuarios que envían mensajes de spam con frecuencia también pueden usar SPF.
• SPF no sirve como protección ante un emisor no autorizado de correo electrónico. Si alguien envía correos sin autorización a través de tu servidor, SPF no actúa.

Normalmente, el registro SPF se usa en combinación con otros mecanismos de seguridad, sobre todo, con DKIM y DMARC.