Artículo de blog

Perfil del/a autor/a

Mejorar la seguridad en la autenticación: por qué SPF no impide la suplantación de identidad

Identificación de correo electrónico en un sobre abierto con un escudo y una marca de verificación

Resumen de la situación de autenticación:

  • Sin DMARC, no existe ningún mecanismo de aplicación ni reporte controlado por el propietario del dominio.
  • Si se supera el límite de 10 consultas, SPF un PermError, lo que hace que los destinatarios rechacen tus correos electrónicos.
  • Un inventario de remitentes actualizado garantiza una autenticación estable a medida que cambian los proveedores.
  • SPF a gran escala pueden indicar SPF , un compromiso de seguridad o un uso no autorizado SPF , y deben dar lugar a una escalación.

Tu SPF está configurado, pero sin DMARC , los atacantes aún pueden suplantar tu dominio. Esa brecha no es hipotética y debilita tu nivel de autenticación más de lo que la mayoría de los equipos de seguridad creen. Estoes lo que ocurre cuando las organizaciones tratan SPF una tarea aislada en lugar de como una capa más dentro de una estructura de autenticación coordinada.

Por qué SPF no supera la auditoría de seguridad

SPF los servidores receptores qué direcciones IP están autorizadas a enviar mensajes en nombre de tu dominio. Un servidor receptor compara el campo «Return-Path» (remitente del sobre) con tu SPF y devuelve un resultado de «pass», «softfail», «fail» o «neutral».

Ese resultado depende del calificativo: +all devuelve un «pass», ~all un «softfail», -all un fracaso, y ?all un valor neutro. Si un registro termina sin un calificador explícito, la RFC 7208 lo trata como un ?all (neutral).

Lo que haga un destinatario con ese resultado, en ausencia de DMARC, depende de la lógica de filtrado propia de dicho destinatario. DMARC es lo que proporciona al propietario del dominio una forma estandarizada de actuar en función del resultado, con la aplicación de políticas y reporte a ello.

Por eso, un atacante que envíe un correo desde un servidor no autenticado utilizando tu dominio en el encabezado «De» no necesita superar SPF absoluto. solo que tu DMARC no exista o esté configurada en p=none, ya que, sin ella, no hay ninguna acción controlada por el propietario del dominio que bloquee el mensaje.

Esto es exactamente lo que los auditores señalan. SPF sin DMARC no constituye una configuración protectora. Los auditores esperan cada vez más que se documenten los controles de autenticación del correo electrónico, y no solo SPF operativo.

Si tu comité de riesgos te pregunta si tu dominio está protegido contra la suplantación de identidad, contar con un SPF no es la respuesta definitiva, ni constituye una prueba de que se disponga de un sistema de autenticación sólido.

SPF en las empresas: un escenario realista

Supongamos que tu empresa gestiona tres dominios principales en dos regiones y utiliza cinco plataformas de envío diferentes.

Cada uno de esos remitentes puede necesitar include mecanismos. SPF un Límite de 10 consultas. Una vez superado ese límite, los receptores devuelven un resultado «PermError». En la práctica, muchos receptores rechazan los mensajes por este motivo, por lo que los mensajes legítimos no se entregarán.

SPF es lo que lleva a la mayoría de las implementaciones empresariales al límite de consultas. Se implementa una nueva herramienta SaaS o el departamento de marketing incorpora un proveedor de correo electrónico externo para una campaña.

Un proveedor implementa una reporte , y es posible que el cambio no llegue a la persona encargada de gestionar el DNS. A lo largo de un periodo de entre seis y doce meses, tu SPF va acumulando mecanismos que ya no reflejan la infraestructura de envío actual o que te hacen superar el límite de consultas. Esto es lo que se conoce como SPF en la práctica, y rara vez se detecta hasta que la capacidad de entrega se ve afectada.

La señal de entregabilidad suele ser lenta. Las tasas de rebote aumentan gradualmente. Algunos flujos regionales empiezan a fallar de forma silenciosa. Una parte de los correos electrónicos transaccionales acaba en la carpeta de spam. Son precisamente estos fallos lentos y silenciosos los que merman la solidez de la autenticación.

SPF comunes de configuración SPF en entornos con múltiples proveedores:

  • Rancio include mecanismos que remiten a proveedores que han cesado su actividad
  • Mecanismos duplicados procedentes de migraciones de plataformas que nunca se han eliminado
  • Falta la autorización para los remitentes regionales añadidos durante una integración tras una fusión o adquisición

Cada una de estas deficiencias debilita la seguridad de la autenticación, incluso cuando el SPF en sí mismo parece correcto a simple vista.

Si no se resuelven, estas deficiencias agravan SPF .

El papel SPFen la pila de autenticación

En una pila de autenticación correctamente diseñada:

  • SPF autoriza la infraestructura de envío
  • DKIM firma el contenido del mensaje
  • DMARC evalúa ambos aspectos, aplica la política y genera informes agregados y forenses

En el caso de los nuevos dominios, configurar estos tres elementos antes del primer envío permite establecer unos controles básicos de autenticación del correo electrónico. Cada capa contribuye a crear un sistema de autenticación sólido que los auditores y los comités de riesgos pueden verificar.

En el caso de los dominios existentes, la secuencia de implementación sigue un orden establecido: auditar el SPF actual, resolver los problemas relacionados con los límites de búsqueda y añadir DKIM falte. A continuación, publicar DMARC p=none, supervisar los informes agregados, resolver las fuentes que fallan y, a continuación, pasar a p=quarantine y p=reject. Seguir este orden forma parte, en sí mismo, del mantenimiento de los controles de autenticación del correo electrónico a lo largo del tiempo.

Puesta en marcha de SPF a gran escala

La configuración técnica es la parte menos importante del problema. El mayor reto consiste en mantener SPF a medida que cambia tu entorno de envío, ya que la configuración por sí sola no garantiza un alto nivel de autenticación.

Establecer un proceso de inventario de remitentes

Cada dominio desde el que tu empresa envía mensajes debe contar con una lista documentada de remitentes autorizados. Esa lista debe estar a cargo de una persona concreta, revisarse con una periodicidad definida y actualizarse cada vez que se añada, modifique o elimine un proveedor.

Sin esto, SPF es inevitable. Este documento es también lo que tu auditor podría solicitarte a la hora de validar los controles de autenticación del correo electrónico. Un inventario actualizado de remitentes es uno de los indicadores más claros de un sistema de autenticación maduro.

El inventario del remitente debe incluir:

  • Nombre de la plataforma de envío y finalidad
  • Dominio(s) desde el que envía los mensajes
  • Rangos de direcciones IP o include mecanismo utilizado
  • Departamento o equipo responsable de ese remitente
  • Fecha de la última revisión

Gestionar el límite de 10 búsquedas

La mayoría de las organizaciones solo SPF una vez que superan el límite de consultas. Si tu SPF actual utiliza siete o más mecanismos de resolución de DNS, estás operando cerca del límite. Revisa cada uno de ellos include en comparación con el inventario actual de remitentes. Elimina todos aquellos que correspondan a proveedores que ya no se utilicen.

Mantener bajo control el número de consultas protege tanto la capacidad de entrega como el nivel de autenticación.

Crear listas de comprobación para el traspaso de funciones

Cuando la responsabilidad de la autenticación del correo electrónico pasa a otras manos, ya sea debido a una reestructuración del equipo, a una transición a un proveedor de servicios gestionados (MSP) o a la adquisición de un dominio, el nuevo administrador necesita un punto de partida claro que proteja la seguridad de la autenticación desde el primer día.

Utiliza esta lista de comprobación como documentación mínima para la transferencia:

  1. Documento de inventario del remitente con los contactos
  2. SPF actual de cada dominio
  3. Resultado más reciente de SPF con el recuento de consultas
  4. Registro de cambios de SPF en los últimos 12 meses
  5. DMARC actual y nivel de aplicación para cada dominio
  6. Destinos activos reporteDMARC y credenciales de acceso
  7. Excepciones conocidas o mecanismos temporales con notas sobre su vencimiento

El documento de traspaso también debe detallar los procedimientos de escalación para el nuevo administrador. La propia lista de comprobación se convierte en prueba de los controles de autenticación del correo electrónico durante una revisión de cumplimiento normativo. Un documento de traspaso completo garantiza el mantenimiento de la seguridad de la autenticación durante la transición. Sin esta documentación, el nuevo administrador empieza a ciegas. El proceso de familiarización lleva semanas y, durante ese intervalo, se producen errores de configuración.

Vías de escalado hacia la seguridad

No todas las señales SPF son una corrección rutinaria del DNS. Hay dos situaciones que deberían dar lugar a una escalación al equipo de seguridad:

  1. Un remitente que antes estaba autorizado empieza a generar SPF de forma masiva, lo que puede indicar un cambio en la infraestructura, el compromiso de la cuenta o el uso de tu dominio por parte de una plataforma no autorizada.
  2. Los informesDMARC muestran fuentes de envío desconocidas o no reconocidas que superan o no superan SPF tu dominio.

Ambos son indicadores que requieren una investigación. El segundo es, concretamente, una señal de suplantación de identidad o de uso no autorizado que debería remitirse al equipo de seguridad para su análisis, solo no solo por cuenta solo añadiendo un include mecanismo.

Cómo Sendmarc refuerza la seguridad de la autenticación

La gestión manual SPF múltiples dominios y proveedores supone una carga operativa que la mayoría de los equipos de seguridad y TI, ya de por sí sobrecargados, no pueden asumir además de sus cargas de trabajo actuales, y las deficiencias en este ámbito afectan directamente al nivel de autenticación.

La plataforma de Sendmarc ofrece una visión global de las tasas SPF , los niveles DMARC y las fuentes de envío que aparecen en los informes agregados.

Cuando aparece un nuevo remitente en tu flujo de correo electrónico, Sendmarc lo identifica en reporte agregados antes de que se convierta en un problema de entregabilidad o en un incidente de seguridad. Cuando se producen SPF , se señalan de inmediato, en lugar de detectarse tras un fallo en la entrega.

Sendmarc ofrece a los equipos de seguridad y de TI una visión global del estado de la autenticación en todos los dominios, departamentos y regiones. La plataforma de Sendmarc también proporciona a tu equipo de cumplimiento normativo controles documentados de autenticación del correo electrónico. El resultado es una supervisión continua del estado de la autenticación.

A medida que cambia tu entorno de envío, Sendmarc mantiene DMARC SPF, DKIM y DMARC en todos los dominios, departamentos y regiones, y proporciona a tu equipo de cumplimiento normativo el registro de auditoría necesario para demostrarlo.