Guies i Tutorials / Tutorial
· Tutorial ·

Que són els registres SPF, DKIM i DMARC

Els registres SPF, DKIM i DMARC són tres protocols d'autenticació de correu i estan pensats per garantir que els correus electrònics arribin correctament als destinataris evitant així que acabin a la safata de SPAM i que es manin correus suplantant la nostra identitat, una activitat coneguda com a Phising.

A continuació t'indiquem el funcionament de cada registre i alguns exemples del seu ús.

SPF

L'SPF, o Sender Policy Framework, indica qui pot enviar un correu electrònic, des d'un domini determinat amb la finalitat de protegir-se contra la falsificació de remitents.

És habitual que amb l'objectiu de prevenir el frau i el correu no desitjat, els grans proveïdors de serveis de correu electrònic (com Google), requereixin la presència d'aquest registre. En cas contrari, és possible que els correus electrònics dirigits cap a ells siguin rebutjats o classificats com a SPAM.

Paràmetres

Les regles SPF s'avaluen seqüencialment d'esquerra a dreta segons els paràmetres inclosos:

  • v=spf1 - Indica l'inici de la regla i quina versió d'SPF s'utilitzarà.
  • mx - Autoritza els servidors que apareixen als registres MX a enviar correu en nom de "dominiosw.com".
  • a - Autoritza a la IP que apareix al registre A, a enviar correu en nom de "dominiosw.com".
  • ptr - Autoritza qualsevol host que finalitza a "dominiosw.com" a enviar correu.
  • ip4:1.2.3.4 - Autoritza la IP "1.2.3.4" a enviar correu en nom de "dominiosw.com".
  • all - En funció del prefix, indica com tractar els casos en què no hi hagi una coincidència amb qualsevol paràmetre anterior. S'hi inclou al final de la regla SPF.

Prefixos

Amb cadascun dels paràmetres (a excepció del primer) es poden utilitzar els prefixos següents:

  • + Remitent autoritzat. Si no indiques cap prefix s'assumeix aquest per defecte.
  • - Remitent no autoritzat, es rebutja.
  • ~ Remitent no autoritzat, es marcarà amb una capçalera especial, però no es rebutjarà.

Exemples

Un exemple de SPF característic: v=spf1 mx a ~all

  • mx: Els servidors dels registres MX estan autoritzats (en no incloure's prefix, s'assumeix +).
  • a: La IP del registre A, està autoritzada.
  • ~all: Els que no coincideixin amb les regles anteriors no estan autoritzats, però no seran rebutjats, es marcaran amb una capçalera especial.

v=spf1 mx -all

  • mx: Els servidors dels registres MX, estan autoritzats (en no incloure's prefix, s'assumeix +).
  • -all: Els que no coincideixin amb les regles anteriors, no estan autoritzats i seran rebutjats.

v=spf1 -mx a ip4:1.2.3.4 ~all

  • -mx: Els servidors dels registres MX no estan autoritzats, seran rebutjats.
  • a: La IP del registre A, està autoritzada.
  • ip4:1.2.3.4: La IP "1.2.3.4" serà marcada com a neutral.
  • ~all: Els que no coincideixin amb les regles anteriors, no estan autoritzats, però no seran rebutjats, es marcaran amb una capçalera especial.

DKIM

El DKIM o, DomainKeys Identified Mail, inclou una clau que permet al destinatari d'un correu verificar que el remitent és realment qui diu ser. Com els registres SPF i DMARC, el seu objectiu és prevenir el frau i el correu no desitjat.

Un exemple de DKIM seria:

DKIM: swmanuales
Clave  DKIM: v=DKIM1; g=*; k=rsa; p=MIGfMA0GCGGGGGb3DQEBAQUAA4G000BiQKBgQD0000VKvGjmSb4FkI70000e1KqV01eQ70n0000D5bpRfo8ZGcab0000+3+O0mPI7wYblklU0000T0A3LVJk+QTwX00007VA7EiL0utBMW0000iZLJ8Exyzoajql0000RRJmyhngY/0000t0yq21pdlYLrJa0000CfaniL/8gKQGQID0000

DMARC:

El DMARC o, Domain-based Message Authentication, Reporting and Conformance, és un complement dels mètodes anteriors (SPF i DKIM) destinat a la prevenció del frau i correu no desitjat. Permet establir:

  • Política d'actuació davant de correus sospitosos que no han passat els dos sistemes de validació SPF i DKIM.
  • Generació d'informes agregats amb estadístiques sobre fallades de validació SPF, DKIM, entre d'altres.
  • Generació d'informes forenses amb detalls sobre els correus que fallen en els processos de validació.

Paràmetres

Els paràmetres de les regles DMARC permeten configurar-ne el comportament, aquests són els més bàsics:

  • v=DMARC1; - Indica l'inici de la regla.
  • p=none; - Política de monitorització i enviament d'informes. El correu electrònic es lliurarà de manera normal, però els servidors receptors monitoritzaran el comportament i generaran informes. S'utilitza per verificar el funcionament i comprovar si estàs intentant suplantar el teu domini com a remitent de correu.
  • p=quarantine; - El receptor marcarà com a SPAM o posarà en quarantena els correus que no passin els dos sistemes de validació (DKIM/SPF).
  • p=reject; - El receptor rebutjarà els correus que no passin els dos sistemes de validació (DKIM/SPF).
  • sp=none;/sp=quarantine;/sp=reject; - [Opcional] Política diferent per a subdominis. Si aquest paràmetre no és present, l'anterior paràmetre ("p=none;/quarantine;/reject;") farà efecte sobre el domini i els subdominis.
  • rua=mailto:[email protected]; - [Opcional] Adreça de correu a la qual enviar els informes agregats.
  • ruf=mailto:[email protected]; - [Opcional] Adreça de correu a la qual enviar els informes forenses.
  • aspf=s; - [Opcional] Validació estricta de SPF. El domini ha de ser idèntic al que apareix a la regla SPF, no s'accepten subdominis.
  • adkim=s; - [Opcional] Validació estricta de DKIM. El domini ha de ser idèntic al que apareix a la regla SPF, no s'accepten subdominis.

Exemples

Un exemple bàsic de DKIM seria: v=DMARC1; p=none;

  • p=none; - Política de monitorització i enviament d'informes. La regla no inclou una adreça de correu per a la recepció d'informes, per la qual cosa no es generaran. El correu electrònic es lliurarà de forma normal, no es fa res davant dels correus que no passin els sistemes de validació.

v=DMARC1; p=none; sp=reject; rua=mailto:[email protected];

  • p=none; - Política de monitorització i enviament d'informes. El correu electrònic es lliurarà de forma normal, no es fa res davant dels correus que no passin els sistemes de validació.
  • sp=reject; - Els correus que provinguin de subdominis (exemple: "correo.dominiosw.com") seran rebutjats si no passen els dos sistemes de validació (DKIM/SPF).
  • rua=mailto:informes@swmanuales; - S'enviaran informes afegits a l'adreça de correu indicada.

Important: Abans de crear un registre DMARC, hauràs de tenir creats i funcionant els registres SPF i DKIM.

Pots utilitzar els següents serveis per generar regles DMARC: https://dmarcian.com/dmarc-record-wizard/ https://mxtoolbox.com/DMARCRecordGenerator.aspx

Crear automàticament registres DNS avançats SPF - DKIM - DMARC

Pots crear una clau DKIM des de l'SWPanel, hauràs d'accedir al dashboard del teu servei: enter image description here A continuació, accedeix a l'apartat Gestions sobre el servei > Gestió de DNS (menú esquerre):

  • Crear automàticament registres DNS avançats SPF - DKIM - DMARC: Això crearà automàticament els registres SPF - DKIM - DMARC

Aquests són els registres que es creen automàticament des de l'SWPanel:

i