Email Verification & Marketing

Cómo explicar SPF en buen español

minute read

Post Image

El mundo del correo electrónico tiene su cuota de manzanas podridas. 

La cantidad de ataques de phishing (robo de información) y spoofing (suplantación de identidad) se ha disparado en los últimos años. Y, desafortunadamente, los malvados responsables se vuelven cada día más inteligentes y peligrosos. 

Los proveedores de buzones de correo y los proveedores de servicios de Internet han respondido a estas crecientes amenazas exigiendo la implementación de ciertas medidas de autenticación para una entrega de correo exitosa. 

Pero, seamos realistas: la autenticación de correo electrónico puede ser extremadamente técnica y confusa. Hasta los profesionales de seguridad de correo electrónico más avezados necesitan ayuda para transitar este espacio y explicarlo en términos fáciles de asimilar.   

En Validity, la claridad es nuestra prioridad. En este blog explicaremos uno de los protocolos de autenticación de correo electrónico más importantes: Sender Policy Framework (SPF). 

Hablaremos de cómo usar SPF para prevenir el fraude por correo electrónico, proteger la reputación de su marca y potenciar la entregabilidad de su correo electrónico. Y, lo mejor de todo es que lo haremos en un lenguaje sencillo. 

Vulnerabilidades del correo electrónico 

Para la mayoría de las empresas, el correo electrónico es uno de los principales canales de generación de ingresos. Pero, no es perfecto. Antes de dominar SPF, es importante comprender las vulnerabilidades de los mensajes de correo electrónico. 

Dos direcciones «de» 

Los mensajes de correo electrónico contienen dos direcciones «de»: «envelope from» (la ruta de respuesta) y «header from» (el nombre descriptivo). 

La “envelope from” es la dirección de respuesta. Les dice a los servidores de correo dónde devolver o rebotar el mensaje cuando corresponda. Se encuentra en el encabezado oculto del mensaje de correo electrónico, el cual incluye detalles técnicos que los servidores usan para comprender para quién es el mensaje y qué software se usó para crearlo. 

La dirección «header from» es una dirección contenida en el campo «de:» de un correo electrónico, que es visible para todos los usuarios de correo electrónico. 

¿Dónde está el problema? Los ciberdelincuentes pueden usar o falsificar ambas direcciones con relativa facilidad. Ahí es donde entra en juego la autenticación de correo electrónico. 

SPF (Sender Policy Framework) 

¿Qué es?: SPF es un protocolo de autenticación de correo electrónico que permite al propietario de un dominio especificar qué servidores de correo utilizan para enviar correo desde ese dominio. 

¿Cómo funciona?: Las marcas que envían correos electrónicos publican registros SPF en el Sistema de nombres de dominio (Domain Name System o DNS). Estos registros enumeran qué direcciones IP están autorizadas para enviar correo electrónico en nombre de sus dominios.  

Durante una verificación de SPF, los proveedores de correo electrónico verifican el registro SPF buscando el nombre de dominio que figura en la dirección «envelope from» en el DNS. Si la dirección IP que envía el correo electrónico por cuenta del dominio «envelope from» no figura en ese registro SPF, el mensaje falla la autenticación SPF. 

Piense en el registro SPF como la lista de invitados de un evento VIP exclusivo: si su nombre no figura en la lista, no hay posibilidad de que pase más allá de la puerta. De manera similar, si un registro SPF no incluye la dirección IP de un remitente en su lista, el proveedor de correo electrónico bloqueará los correos electrónicos o los marcará como spam. 

¿Por qué es importante el SPF? Un dominio protegido por SPF es mucho menos atractivo para quienes realizan ataques de phishing. Por lo tanto, es menos probable que los filtros de correo no deseado lo incluyan en una lista de bloqueo y esto ayuda a garantizar que los correos electrónicos legítimos de su dominio se entreguen efectivamente. 

Pero SPF tiene algunas desventajas 

Suena muy bien, ¿verdad? Pero, al igual que el correo electrónico, SPF no es perfecto. Los profesionales de marketing y seguridad deben tener cuidado con las siguientes desventajas de SPF que pueden hacer que sus programas sean vulnerables a los ataques cibernéticos.  

1. Los registros SPF deben actualizarse constantemente a medida que las empresas cambian de proveedor de servicios de correo electrónico y agregan flujos de correo.

Pero puede ser difícil mantenerse a la vanguardia de estas actualizaciones cuando los miembros del equipo no tienen visibilidad del registro SPF y de su importancia.   

Para encarar este problema de manera proactiva, asegúrese de que su equipo conozca todas las plataformas y dominios de envío que utiliza su organización. Programe reuniones periódicas con sus departamentos de TI y seguridad para anticiparse a cualquier cambio.

2. El SPF se interrumpe cuando se reenvía un mensaje.

Es normal que SPF se rompa cuando se reenvían los mensajes. Por lo tanto, es importante que los remitentes no se fíen únicamente del SPF para la autenticación de correo electrónico. Lea aquí nuestro artículo sobre DKIM y cómo brinda una protección adicional a su programa de correo electrónico.

3. SPF no hace nada para proteger las marcas contra los delincuentes que falsifican el nombre descriptivo o la dirección «header from» en su mensaje.

Esta es la dirección «de» que se falsifica con más frecuencia, ya que es la más visible para el destinatario del correo electrónico. 

Mire el siguiente ejemplo. La dirección de PayPal falsificada es lo suficientemente similar a la real como para que los suscriptores no noten ningún problema, hasta que es demasiado tarde. 

  

Los protocolos de autenticación, incluido SPF, no evitan este tipo de spoofing. Esto se debe a que el correo se envía desde una dirección de correo electrónico legítima que no está relacionada con los servidores de correo y el dominio de envío de la organización cuya identidad se suplanta.   

Por lo tanto, no se detecta a través de protocolos de autenticación estándar. 

SPF: un componente de un estrategia de autenticación completa 

Es posible que SPF no sea infalible para evitar que los remitentes maliciosos se hagan pasar por su marca y su dominio de envío, pero sin duda es un paso en la dirección correcta. 

Pero SPF es solo un componente clave de una estrategia de autenticación de correo electrónico completa. SPF es más efectivo cuando se lo implementa junto con DKIM y una sólida política de rechazo de DMARC. 

¿Está listo para construir su registro SPF? Descubra cómo hacerlo aquí.