Javier Barber
Senior Sysadmin Freelancer
SPF (SENDER POLICY FRAMEWORK)
Previene falsificación de remitentes en el envío de correo electrónico comprobando la dirección de envío de los remitentes.
Cuando se envía un correo, por ejemplo a “abuse@telefónica.net”, desde nuestros servidores, el servidor de telefónica analiza los datos del correo y los contrasta con la configuración de SPF de nuestro servidor DNS/correo para saber si son legítimos.
Lo mismo sucede cuando se recibe correo en nuestros servidores. Con el openspf instalado en el inbound de correo se comprueba si los correos recibidos son legítimos.
Tipos de direcciones de envío en el email:
The envelope sender address (sometimes also called the return-path) is used during the transport of the message from mail server to mail server, e.g. to return the message to the sender in the case of a delivery failure. It is usually not displayed to the user by mail programs.
The header sender address of an e-mail message is contained in the «From» or «Sender» header and is what is displayed to the user by mail programs. Generally, mail servers do not care about the header sender address when delivering a message.
El SPF permite indicar qué servidores IPs son legítimas para enviar correos en nombre de un dominio.
La configuración del SPF se especifica en la configuración del DNS del dominio.
Por ejemplo, si el dominio prueba.com tiene configurado el siguiente SPF:
v=spf1 a:mail.prueba.com/24 mx -all
Lo que quiere decir es:
v=spf1 – Versión 1 de SPF
mx=Los MX del dominio están autorizados para enviar correos en nombre del dominio (prueba.com)
a=El dominio mail.prueba.com y toda la clase C de la IP que resuelve, tienen permitido el envío de correos en nombre de “s21sec.com”
-all=Todos los demás servidores NO están autorizados a enviar correos en nombre de prueba.com y se rechazarán (se puede cambiar el rechazo por permitir el envío pero marcar el mensaje cambiando el guión medio por el símbolo de la ñ)
Los distintos parámetros de configuración se pueden consultar en:
http://www.openspf.org/SPF_Record_Syntax#redirect
Se puede comprobar el registro SPF de un dominio con:
dig @8.8.8.8 prueba.com TXT
También hay herramientas online para comprobar el funcionamiento de SPF de un dominio: