Los spammers aprovechan mejor SPF, DKIM y DMARC

 (toad.social)
14 puntos por GN⁺ 2025-03-26 | 2 comentarios | Compartir por WhatsApp
  • Los métodos de autenticación de correo como DMARC, SPF y DKIM se usan como herramientas para reducir el spam, pero en la práctica quienes mejor los aprovechan son los spammers.
  • Estos métodos de autenticación no ofrecen grandes beneficios para la mayoría de los remitentes, y rechazar correos basándose en fallas de autenticación incluso puede ser perjudicial.
  • Los spammers saben muy bien cómo comprar dominios baratos y hacer que pasen la autenticación.

Reenvío de correo y problemas con Gmail

  • Gmail exige autenticación como DMARC, y esto puede causar problemas durante el reenvío de correos.
  • Durante el reenvío, SPF puede romperse, mientras que DKIM se conserva siempre que no se modifiquen el cuerpo o los encabezados.
  • La función de recolección POP3 de Gmail es difícil de activar manualmente y sus intervalos automáticos suelen ser largos.

Límites de la autenticación de correo

  • La autenticación de correo evita la suplantación de ciertos dominios, pero no impide el spam que usa dominios parecidos o errores tipográficos.
  • La autenticación es útil para verificar la identidad del remitente, pero es algo distinto de la autorización.
  • Los spammers pueden configurar políticas de autenticación, y eso puede desempeñar cierto papel en el control del spam.

Prevención del spam y seguridad del correo

  • Se usan diversos métodos para prevenir el spam, pero no existe una solución perfecta.
  • Servicios como Spamhaus son útiles para bloquear spam, pero pueden producir falsos positivos.
  • La seguridad del correo requiere gestión y actualizaciones continuas.

Lecturas relacionadas

2 comentarios

 
GN⁺ 2025-03-26
Opiniones de Hacker News

  • Como alguien que opera su propio servidor de correo, noto intentos constantes de direcciones IP rusas de enviar correos usando mi nombre de dominio

    • La gente cuyo negocio es enviar correos sabe cómo configurar bien el correo electrónico
    • Sorprende que muchos administradores de sistemas no logren hacer bien la configuración básica
    • Si recibiera un correo de DMARC diciendo que se rechazan correos de Sendgrid por una firma SPF incorrecta, tendría que preguntar si marketing lo está usando legítimamente
    • Las firmas automáticas tienen un valor limitado, pero rara vez es un error rechazar con base en SPF y DKIM
    • En organizaciones grandes la situación puede ser peor, pero en servidores de correo pequeños, el rechazo técnico suele ser la decisión correcta
    • Las listas de correo son una excepción, pero quienes las usan pueden averiguar cómo agregar excepciones

  • Incluso con SPF, DKIM y DMARC bien configurados, y con un dominio con puntaje de spam 0, sigo teniendo el problema de que los correos terminan en la carpeta de spam

    • Para que Gmail acepte un correo, se necesita "reputación"
    • Si el correo va directo a spam, es confuso cómo se supone que se construye esa reputación
    • Los correos de Linkedin no son spam, y sus dark patterns no se bloquean aunque te agreguen a listas de correo

  • SPF y DKIM están relacionados con la reputación del servidor de correo

    • Benefician sobre todo a servidores grandes como Google, Microsoft y Yahoo
    • Los intentos anti-spam de los grandes proveedores perjudican a los proveedores pequeños
    • No debería ser necesario rastrear la reputación del servidor de correo; debería rastrearse la reputación del remitente
    • Debería poder tratarse de forma distinta un correo anónimo y un correo de alguien que realmente conoces
    • Por ahora, no hay una forma segura de que un remitente de correo conocido presente a un remitente desconocido

  • SPF y DKIM no detienen por completo el spam, pero DMARC probablemente no sirve de mucho

    • Como los spammers también pueden leer estos estándares, SPF y DKIM no pueden detener por completo el spam
    • Antes de que se adoptaran SPF y DKIM, solía recibir muchos correos de phishing desde direcciones como "support@paypal.com"
    • Paypal puede indicar claramente las direcciones IP permitidas con SPF, y sus correos pueden verificarse con DKIM
    • Spamassassin reduce bastante el puntaje de spam de correos con DKIM correcto y provenientes de paypal.com

  • El propósito de SPF, DKIM y DMARC es vincular el correo electrónico a un dominio para evitar la suplantación

    • Esperar que solo la autenticación reduzca el spam es ingenuo

  • Google es torpe con SPF y DKIM

    • Hace unos meses intenté responder por correo a un mensaje del bug tracker de Chromium, pero falló
    • El correo no se procesó porque la verificación de SPF/DKIM falló
    • Mi SPF y mi DKIM no tenían ningún problema
    • La herramienta que Google dice que hay que usar al configurar Google Workspace no ha funcionado bien desde hace mucho tiempo
    • El enlace de feedback tampoco funciona correctamente

  • Opero un servidor de correo personal, y la mayoría del spam no logra pasar SPF/DKIM

    • En los últimos años ha aumentado la proporción de spam que sí los pasa
    • Entre el 90 y el 95% del correo que espero recibe validación SPF/DKIM
    • Estoy aplicando reglas estrictas para remitentes
    • He publicado mi dirección de correo en un sitio, pero casi no recibo spam

  • Manejo un filtro de spam simple basado en heurísticas

    • Reviso el correo saliente, y no marco como spam los correos que incluyen una dirección o asunto que yo haya enviado
    • El spam desde direcciones nuevas aparece como no leído
    • Casos como la confirmación de suscripción quedan en la parte superior de la carpeta de spam

  • Me cambié a Proton, y el proceso de agregar registros DNS y verificarlos fue muy fácil

    • Al principio me daba miedo este paso, pero se resolvió fácilmente

  • Pensaba que el valor de SPF, DKIM y DMARC era mover la reputación de un modelo basado en IP a uno basado en dominio

    • Esperaba que, si mantenía bien la reputación del dominio y configuraba correctamente SPF, DKIM y DMARC, podría alojar un servidor SMTP en cualquier IP
    • Me pregunto por qué no funciona así