Protección contra emails maliciosos con SPF y DKIM

Durante los últimos años se ha incrementado la cantidad de correos electrónicos fraudulentos que recibimos en nuestras bandejas de entrada. Muchos de estos mensajes intentan robarte datos mediante técnicas como el phishing. Otros mensajes, simplemente te llevan a webs potencialmente peligrosas que pueden poner en peligro la seguridad de tu equipo.

¿Qué es el phishing? Los atacantes replican la web de tu banco o de una de tus aplicaciones favoritas y te hacen llegar un mensaje alarmante para que accedas a esa web falsa y te identifiques con tus credenciales, que quedan en sus manos. Para evitarlo es necesario fijarse siempre en el dominio de la página que visitamos y, en caso de duda, esperar y preguntar.  

Para mejorar la seguridad y reducir las posibilidades de ser atacados mediante correo electrónico es muy importante configurar SPF y DKIM en nuestro dominio, siguiendo las buenas prácticas para el envío de emails.

Antes de empezar…

¿Cómo funciona el correo electrónico?

Cuando se envía un correo electrónico, intervienen varias partes:

  • Cliente de correo del remitente (Cliente Correo A). Puede ser la aplicación de Outlook, Thunderbird, la aplicación del móvil donde miramos el correo o una página web para trabajar con un buzón. Existen muchos clientes de correo diferentes.
  • Servidor de correo del remitente (Servidor Correo A). Los usuarios no lo usan directamente, suele estar integrado en el propio alojamiento o hosting web que se usa para el dominio. También puede estar externalizado en un servicio especializado como Microsoft 365.
  • Servidor de correo del destinatario (Servidor Correo B).
  • Cliente de correo del destinatario (Cliente Correo B).

grosso modo esto es lo que sucede cuando un usuario A le envía un correo a otro usuario B:

  1. El usuario A redacta un mensaje con el Cliente de Correo A y cuando termina pulsa el botón «Enviar mensaje».
  2. El Cliente de Correo A se encarga de comunicarse con el Servidor de Correo A y entregarle ese mensaje que el usuario A quiere mandar al usuario B.
  3. El Servidor de Correo A manda el mensaje al Servidor de Correo B.
  4. El Servidor de Correo B recibe el mensaje, lo analiza, y si todo está bien lo entrega al buzón del correo del Usuario B.
  5. El usuario B verá el nuevo mensaje cuando abra el Cliente de Correo B.

¿Qué sucede si algo va mal en el paso 4? 

  1. Si después de analizar el mensaje el Servidor de Correo B decide que hay algo mal y no puede entregar el mensaje, lo devuelve al Servidor de Correo A con el motivo de rechazo correspondiente.
  2. El usuario A verá el mensaje rebotado cuando abra el Cliente de Correo A.

¿Qué puede causar fallos en el paso 4?

Los motivos más habituales son:

  • El buzón del destinatario está lleno y no caben más mensajes.
  • El buzón del destinatario no existe (el remitente lo ha escrito mal o se ha eliminado ese buzón).
  • El servidor de correo rechaza el mensaje si detecta problemas de seguridad.
  • Problemas de configuración en alguno de los servidores de correo, que impiden la comunicación entre ellos.

Qué son las DNS

Los nombres SPF y DKIM vienen de Sender Policy FrameworkDomain Keys Identified Mail respectivamente, y se configuran mediante registros DNS (Domain Name System).

Para poder entender SPF y DKIM es importante tener una visión general sobre qué son las DNS. A modo de resumen, los servidores DNS dan información sobre los dominios web. Cuando damos de alta un dominio, los técnicos tienen que indicar qué servidores DNS se usan y configurar varios registros (entre otros, los registros para SPF y DKIM).

Cuando navegamos por internet o enviamos correos electrónicos, hay mecanismos que no vemos que permiten todo este flujo de información y para poder funcionar correctamente consultan a menudo los registros DNS de los dominios para obtener información de los mismos. Por ejemplo, cuando mandamos un email, los servidores de correo consultan las DNS de los dominios para saber dónde enviar el mensaje.

SPF

El registro DNS SPF permite indicar, para un dominio concreto, desde dónde puede enviar correo electrónico dicho dominio. En otras palabras, qué servidores de correo están autorizados a mandar emails con ese dominio.

Cuando un servidor de correo recibe un mensaje, una de las comprobaciones que hace es si el mensaje del remitente pasa o no la verificación SPF. Lo hace de un modo similar a este:

  1. El Servidor de Correo B recibe un mensaje del remitente hola@dominioA.com desde el Servidor de Correo A.
  2. El Servidor de Correo B comprueba (mirando las DNS) si el Servidor de Correo A está autorizado para mandar emails desde el dominio dominioA.com

Las buenas prácticas indican que los mensajes que no pasen esta verificación deben rechazarse. De este modo evitamos que alguien use fraudulentamente nuestro dominio para enviar correos haciéndose pasar por nosotros.

DKIM

Es un mecanismo adicional que permite verificar la autenticidad de los mensajes de correo electrónico añadiendo una firma digital en el mismo. Funciona del siguiente modo:

  1. El Servidor de Correo A envía un mensaje del remitente hola@dominioA.com al Servidor de Correo B, pero antes añade una firma digital en el mensaje, para que sea verificada posteriormente.
  2. El Servidor de Correo B recibe un mensaje del remitente hola@dominioA.com desde el Servidor de Correo A.
  3. El Servidor de Correo B compara la firma digital que lleva el mensaje con el registro DKIM (mirando las DNS) del dominioA.com.

La comparación que se hace en el paso 3 consiste en realizar ciertas operaciones matemáticas relacionadas con la criptografía. Resumiendo, el registro DKIM es una «llave» que permite descifrar la firma digital del mensaje.

Cuando esta comprobación no es satisfactoria, los mensajes deben marcarse para ser entregados en la bandeja de spam o no deseados.

 

¿Es difícil configurar los registros SPF y DKIM?

¡Para nada! Cualquier técnico que te gestione el dominio podrá añadir estos registros de forma rápida.

¿Qué hago si mis mensajes no llegan a los destinatarios?

Contacta con la persona o empresa que se encargue de gestionar tu dominio en internet, facilítale alguno de los correos rebotados que hayas recibido, ya que es el modo más rápido de ver por qué falla la comunicación.

¿Qué hago si un remitente no puede escribirme?

El remitente tiene que contactar con sus técnicos y facilitarle alguno de los mensajes rebotados que ha recibido. Los técnicos van a poder ver el motivo del rechazo del mensaje y tomar cartas en el asunto. Si esa opción no es posible, siempre puedes comentarle que trasladen la incidencia a ENDEOS y estaremos encantados de ayudar.