SPF: Herramienta para evitar la falsificación de correo electrónico de su dominio Internet
El protocolo SMTP, utilizado tanto por servidores como por clientes de correo, no cumple con requisitos de seguridad exigibles.
Uno de los principales problemas, es que si no se toman algunas medidas, cualquier individuo puede falsificar un correo electrónico de cualquier dominio no protegido. Ninguna de las medidas que se pueden tomar son extensiones propias del protocolo SMTP, sino que son agregados, como SPF (Sender Policy Framework), DomainKeys, SenderID, etc. En el caso de SPF se usan registros DNS para identificar las máquinas autorizadas para el envío de correo.
En esta oportunidad, a fin de difundir el uso de esta herramienta, les acercamos una breve descripción que les podrían resultar útil para la implementación de SPF en su dominio internet.
La configuración SPF se almacena en el registro TXT del DNS. En la misma se establecen aquellos servidores que pueden enviar correo electrónico por parte del dominio indicado, a fin de que el servidor que reciba pueda realizar el control correspondiente. Cabe mencionar que si el receptor no tiene implementado este control la configuración de SPF no tiene ningún efecto.
SPF permite al titular de un dominio especificar su política de envió de correo electrónico haciendo público qué servidores de correo se encuentran autorizados para el envío correo:
Por lo tanto, para que la implemetación de SPF de resultado, se requiere:
Al implementar la verificación SPF, podremos comprobar si el correo electrónico entrante a nuestros servidores se encuentra debidamente autorizado.
Un ejemplo:
La configuración SPF se almacena en el registro TXT del dominio a proteger. Dicha configuración responde a una sintaxis definida, y se puede generar fácilmente desde varios sitios web, siempre y cuando poseamos la información de relevamiento necesaria, correspondiente a identificar los servidores de correo que efectivamente están autorizados y bajo nuestro control, para enviar correo por parte del dominio.
Analicemos, entonces, el registro TXT del dominio "arcert.gov.ar", como ejemplo.
Para visualizar el registro, podemos utilizar:
Referencias:
RFC 4408:
http://www.rfc-editor.org/rfc/rfc4408.txt
Openspf:
http://old.openspf.org/wizard.html
Wikipedia:
http://es.wikipedia.org/wiki/SPF
Fuente: ArCERT
Uno de los principales problemas, es que si no se toman algunas medidas, cualquier individuo puede falsificar un correo electrónico de cualquier dominio no protegido. Ninguna de las medidas que se pueden tomar son extensiones propias del protocolo SMTP, sino que son agregados, como SPF (Sender Policy Framework), DomainKeys, SenderID, etc. En el caso de SPF se usan registros DNS para identificar las máquinas autorizadas para el envío de correo.
En esta oportunidad, a fin de difundir el uso de esta herramienta, les acercamos una breve descripción que les podrían resultar útil para la implementación de SPF en su dominio internet.
La configuración SPF se almacena en el registro TXT del DNS. En la misma se establecen aquellos servidores que pueden enviar correo electrónico por parte del dominio indicado, a fin de que el servidor que reciba pueda realizar el control correspondiente. Cabe mencionar que si el receptor no tiene implementado este control la configuración de SPF no tiene ningún efecto.
SPF permite al titular de un dominio especificar su política de envió de correo electrónico haciendo público qué servidores de correo se encuentran autorizados para el envío correo:
Por lo tanto, para que la implemetación de SPF de resultado, se requiere:
- que el titular o dueño del dominio publique dicha información en un registro DNS en la zona del dominio.
- que el servidor que reciba los mensajes de correo electrónico, controle que el servidor que haya enviado el mensaje, este autorizado para el dominio que indica la dirección del remitente.
Al implementar la verificación SPF, podremos comprobar si el correo electrónico entrante a nuestros servidores se encuentra debidamente autorizado.
Un ejemplo:
La configuración SPF se almacena en el registro TXT del dominio a proteger. Dicha configuración responde a una sintaxis definida, y se puede generar fácilmente desde varios sitios web, siempre y cuando poseamos la información de relevamiento necesaria, correspondiente a identificar los servidores de correo que efectivamente están autorizados y bajo nuestro control, para enviar correo por parte del dominio.
Analicemos, entonces, el registro TXT del dominio "arcert.gov.ar", como ejemplo.
Para visualizar el registro, podemos utilizar:
- En plataformas Unix/Cygwin los comandos: dig arcert.gov.ar txt o host –t txt arcert.gov.ar.
- En Windows contamos con el comando nslookup, una vez ejecutado indicar: set type=TXT [enter] arcert.gov.ar [enter]
- También existe una herramienta automática
v=spf1 mx ip4:200.123.99.210 ?include:_netblocks.google.com –allDicho registro TXT contiene los siguientes elementos:
- v=spf1: Indica que es un registro SPF versión 1
- mx: Informa que los servidores indicados por los registros MX del dominio arcert.gov.ar pueden enviar correo como arcert.gov.ar
- ip4:200.123.99.210: Indica la dirección IP autorizada para enviar correo como/desde/por arcert.gov.ar
- ?include:_netblocks.google.com: Indica que el rango de direcciones IP de Google puede enviar correo como arcert.gov.ar (Google para que se pueda usar para enviar correo como una cuenta de mail externa requiere un proceso de validación previo)
- -all: Indica que lo informado en el registro SPF contempla a todos los servidores autorizados a enviar correo como "arcert.gov.ar" y que no olvidamos a ninguno.
Referencias:
RFC 4408:
http://www.rfc-editor.org/rfc/rfc4408.txt
Openspf:
http://old.openspf.org/wizard.html
Wikipedia:
http://es.wikipedia.org/wiki/SPF
Fuente: ArCERT
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!