Filtrado SPF

El filtrado SPF, Sender Policy FrameWork, es basicamente que el administrador del dominio, a nivel de DNS, publica un registro en el cual indica que servidores están autorizados a enviar mensajes con origen del mismo.

No es un filtro que evite el spam de terceros, pero si limita el uso falseado de un dominio para enviar mensajes, aunque claro siempre que el servidor de destino haya implementado esta política de filtrado, en caso contrario no vale para nada. De nuevo los amigos de Google, van por libre, aunque se especifique que se rechacen los mensajes que no provengan de fuente autorizada, Gmail acepta el mensaje y lo deposita en el buzón del usuario de Gmail, lo marca, pero NO lo rechaza.

Utiliza una sintaxis en la que se definen que servidores son estos:

  • mx
  • ptr
  • ipv4;
  • ipv6:
  • include:

Asi un registro SPF, definido como un registro TXT en la resolución de DNS de un dominio, tendría esta estructura:

v=spf1 mx ptr ip4:213.194.159.0/24 ip4:89.140.186.0/24 ip4:5.56.160.0/21 -all

  • spf1 define la versión de implentación
  • mx Autoriza todas las IP que sean registros MX del dominio
  • ptr Autoriza todas las IP bajo el dominio
  • ip4: Autoriza las IPv4, estas pueden estar definidas como IPs únicas o bien como Rango, en el ejemplo son los rangos
  • -all Especifica la política ha aplicar, en este caso rechazar todos los mensajes que provengan de IPs no definidas en el registro

La definición del registro tiene que ser correcta, solo UN registro SPF, no se puede tener dos registros TXT con SPF.
Si tenemos múltiples Ips, estas tienen que ser añadidas con la sintaxis correcta:
v=spf1 1.1.1.1 no es valido, y si es correcto v=spf1  ip4:1.1.1.1 ip4:3.3.3.3
(Esto es una dedicatoria, os quiero)

El uso de esta técnica  limita el uso fraudulento del dominio como remitente, y así mismo evita los típicos mensajes que uno mismo recibe, y que obviamente no ha enviado. Como contrapartida cualquier cambio de los servidores usados para enviar, requiere la actualización del registro.
NO SIRVE para saltarse la posibilidad de estar listado en una Lista Negra (RBL), si estas, tendrás que des-listar,  o enviar por otro servidor con una IP mas limpia.
Si usas una ADSL puede que este TODO el rango listado, no te quedara otro remedio que contratar un servicio de Relay

También hay formas de como saltárselo que describiremos en otra ocasión.

 

No comments yet.

Leave a Reply

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies