Crónicas de un informático

Crónicas de un informático es un blog enfocado a configurar nuevos servicios informáticos, informar de su utilidad y centrado en la Educación y la FP.

Seguridad en DNS mediante SPF

Introducción

A través de la siguiente entrada se quiere trasmitir la necesidad de garantizar que los correos enviados por una organización, sea legítimos y, para ello, podemos emplear SPF “convenio de remitentes”. A tal efecto, aprenderemos los aspectos más importantes de SPF y como configurar nuestros servidores DNS para emplearlo.

Contextualización

Los servidores de correo tienen el puerto 25 a la escucha para la recepción de correos enviados por otros servidores.

Dado que es imposible establecer una autenticación para todos los servidores de correo, cualquier puede identificarse como origen de un dominio suplantando la identidad del correo.

Esta técnica es empleada por usuarios mal intencionados para hacerse pasar por direcciones familiares y conseguir la entrega de un correo electrónico al destinatario.

Posibles soluciones

Primera solución: listas negras.

¿Puntos a favor?
Podemos bloquear direcciones IP de usuarios mal intencionados.

¿Puntos en contra?
Las direcciones IP se reutilizan. Falsos positivos, IP no incluida en las listas, configuraciones manuales…

SPF

El objetivo de SPF radica en identificar las máquinas autorizadas para enviar correo electrónicos. Mediante nuestros servidores DNS podemos usar los registros DNS para identificar las máquinas autorizadas para el envío de correo. Por lo cual, el propietario del dominio, configura sus registros DNS con las direcciones IP de las máquinas que se pueden emplear para enviar correos generando un registro SPF del siguiente estilo:

aramendi.eu IN TXT “v=spf1 mx ptr ~all”

Nota: V: versión del spf, mx autoriza a las siguientes IPs para el envío de correos electrónicos

Mecanismos que nos permite SPF

  • Pass => no me importa o no tiene sentido.
  • Fail => host que pueden enviar correos prohibir el resto.
    ~ SoftFail => hosts que pueden enviar correo pero en transición. En un futuro se cambiará
    ? Neutral => por defecto, no hay nada establecido al respecto.

Analicemos el siguiente ejemplo:

v=spf1 ip4:192.168.0.1/16 –all

Este ejemplo nos permite a cualquier IP que está en este rango enviar correos.

Herramientas de verificación

mxtoolbox.com es una herramienta alternativa al comando DIG que nos puede ayudar a encontrar los registros SPF configurados para un determinado dominio.

Herramienta MXtoolbox que nos ayuda a encontrar registros spf

Posible ejercicio a realizar con el alumnado

  • Individualmente, buscad con la herramienta MXTOOLBOX varios dominios tratando de encontrar sus registros SPF.
  • Tratad de buscar varios tipos distintos de registros SPFs tratando de encontrar la mayoría de los casos explicados en clase
  • Compartir los resultados con la clase

Conclusiones

SPF nos permite añadir un extra de seguridad a nuestro servidor de correo. Adicionalmente, también disponemos de otras técnicas como DKIM y DMARC que podremos utilizar en conjunción con SPF.

,

Posted by:

Iñigo Aramendi Inchauspe

post recientes

Acerca de

Me llamo Iñigo Aramendi actualmente soy docente de formación profesional. Apasionado del mundo de las nuevas tecnologías, informática, ciberseguridad y la docencia. Siempre con ganas de seguir formándome y mejorando mis capacidades técnicas. Colegiado en el Colegio Oficial de Ingenieros en Informática.

suscríbete

Anuncios
A %d blogueros les gusta esto: