Crear estos registros DNS específicos ayuda a proteger los dominios que no envían correos electrónicos para que no sean utilizados en ataques de suplantación de dominio.
Después de leer este artículo podrás:
Copiar el enlace del artículo
Los dominios que no envían correos electrónicos se pueden seguir usando en ataques de suplantación de correo electrónico o de phishing, pero hay tipos específicos de registros de texto (TXT) de DNS que pueden utilizarse para suprimir a los atacantes. Cada uno de estos registros establece reglas sobre cómo deben tratar los servidores de correo los correos electrónicos no autorizados, dificultando que los atacantes se aprovechen de estos dominios.
Un registro TXT de DNS permite que los administradores de dominios introduzcan texto en el Sistema de nombres de dominio (DNS). Los registros TXT de DNS se utilizan para procesos como la autenticación de correos electrónicos, porque pueden almacenar información importante que los servidores pueden utilizar para confirmar si un dominio ha autorizado o no a un remitente de correo electrónico a enviar mensajes en su nombre.
Ejemplos de dominios que no envían correos electrónicos son los adquiridos para proteger una marca o un futuro negocio. Los dominios desaparecidos y heredados tampoco tienen motivos para enviar correos electrónicos y podrían beneficiarse de este tipo de registros.
Hay tres tipos principales de registros TXT de DNS que se utilizan para la autentificación de correos electrónicos. Cada uno de ellos difiere ligeramente en su funcionamiento:
Ya que todos estos registros DNS funcionan de forma ligeramente diferente, cada uno de sus componentes es único.
SPF
Los registros SPF se puede formatear para proteger los dominios contra los intentos de ataques de phishing al rechazar cualquier correo electrónico enviado desde el dominio. Para ello, un registro SPF debe usar el siguiente formato.
v=spf1 -all
*Nota, los registros SPF se establecen directamente en el propio dominio, lo cual significa que no requieren un subdominio especial.
A continuación, el significado de los componentes individuales de este registro:
v=spf1
permite que el servidor sepa que el registro contiene una política SPF. Todos los registros SPF deben empezar con este componente. -all
indica al servidor qué hacer con los correos electrónicos no conformes o con cualquier remitente que no figure explícitamente en el registro SPF. Con este tipo de registro SPF, no se permiten direcciones IP ni dominios, así que -all
indica que se rechazarán todos los correos electrónicos no conformes. Para este tipo de registro, todos los correos electrónicos se consideran no conformes, porque no hay direcciones IP ni dominios aceptados. DKIM
Los registros DKIM protegen los dominios al garantizar que los correos electrónicos fueron realmente autorizados por el remitente mediante una clave pública y una clave privada. Los registros DKIM almacenan la clave pública que el servidor de correo electrónico utiliza para autenticar que la firma del correo electrónico fue autorizada por el remitente. En el caso de los dominios que no envían correos electrónicos, el registro DKIM debe configurarse sin una clave pública asociada. A continuación, un ejemplo:
nombre | Escriba | Contenido |
---|---|---|
*._domainkey.example.com |
TXT |
v=DKIM1; p= |
*._domainkey.example.com
es el nombre especializado del registro DKIM (en el "example.com" se debe sustituir por tu dominio). En este ejemplo, el asterisco (denominado comodín) se utiliza como selector, que es un valor especializado que el proveedor de servicios de correo electrónico genera y utiliza para el dominio. El selector forma parte de la cabecera DKIM y el servidor de correo electrónico lo utiliza para realizar la búsqueda DKIM en el DNS. El comodín cubre todos los valores posibles para el selector. TXT
indica el tipo de registro DNS.v=DKIM1 establece
el número de versión e indica al servidor que este registro hace referencia a una política DKIM. p
ayuda a autenticar los correos electrónicos al vincular una firma a su clave pública. En este registro DKIM, el valor p
debe estar vacío porque no hay firma/clave pública a la que vincularse. DMARC
Las políticas DMARC también pueden ayudar a proteger los dominios que no envían correos electrónicos al rechazar todos los correos que no pasen los controles de SPF y DKIM. En este caso, todos los correos electrónicos enviados desde un dominio que no esté configurado para enviar correos electrónicos no superarían los controles de SPF y DKIM. A continuación, un ejemplo de cómo formatear una política de esta manera:
nombre | Escriba | Contenido |
---|---|---|
_dmarc.example.com |
TXT |
v=DMARC1;p=reject;sp=reject;adkim=s;aspf=s |
_dmarc.example.com
, que es necesario para las políticas DMARC.TXT
indica el tipo de registro DNS.v=DMARC1
indica al servidor que este registro DNS contiene una política DMARC. p=reject
indica que los servidores de correo electrónico deben rechazar los correos que no pasen los controles de DKIM y SPF. adkim=s
representa lo que se conoce como modo de alineación. En este caso, el modo de alineación se establece en "s" para estricto. El modo de alineación estricto implica que el servidor del dominio del correo electrónico que contiene el registro DMARC debe coincidir exactamente con el dominio en la cabecera De
del correo electrónico. Si no lo hace, no se supera el control de DKIM. aspf=s
tiene el mismo propósito que adkim=s
, pero para la alineación de SPF. El Asistente de DNS de seguridad en correo electrónico de Cloudflare facilita la configuración de registros TXT de DNS correctos y evita que los spammers usen un dominio. Más información sobre el Asistente aquí.