Integridad del registro del SPF del correo electrónico

0

He estado revisando el registro SPF de mi compañía con varios de nuestros proveedores de SAAS. Un servicio me recomendó usar 'incluir: amazonses.com' en mi registro para permitir que los correos electrónicos sean validados.

Estoy bastante indeciso en permitir que la API de servicio de Amazon se permita en el registro. ¿No se trata de deslegitimar el propósito del SPF o estoy argumentando una tecnología de autenticación que nunca se preparó para los servicios basados en la nube?

Si me dieran companyx.amazonses.com, estaría un poco más interesado en incluir esto.

¿Qué impide que un robot de correo no deseado (menos el factor de costo) utilice estos servicios con el dominio de cualquier compañía, invalidando efectivamente los registros SPF?

    
pregunta wildshane 16.08.2017 - 04:03
fuente

2 respuestas

1
  

... ¿o estoy argumentando una tecnología de autenticación que nunca se preparó para los servicios basados en la nube?

SPF no es realmente una tecnología de autenticación. No autentica quién está enviando el correo, sino solo los límites desde los cuales se pueden enviar las direcciones IP y, por lo tanto, intenta limitar el uso indebido de su dominio como el remitente declarado de spam y phishing.

  

Si me dieran companyx.amazonses.com, estaría un poco más interesado en incluir esto.

No hay ninguna razón para creer que esto sería más seguro solo porque el nombre de la empresa está incluido en el nombre de dominio. La pregunta real es qué direcciones IP están cubiertas por el SPF (es decir, pueden enviar correo para este dominio) y uno podría simplemente establecer que este "registro de la empresa" sea el mismo que el registro global de amazonaws.

Si utiliza la nube para enviar correo, generalmente lo hace para beneficiarse de sus ventajas, es decir, flexibilidad, escalabilidad, tolerancia a fallos, baja latencia debido al enrutamiento geográfico, etc. Sin embargo, para implementar estas ventajas puede ser necesario tener muchas direcciones IP y sea flexible en las tareas asignadas a qué dirección IP.

Esto significa que la dirección IP puede ser un ancla de confianza demasiado amplia cuando se utiliza la infraestructura de nube. En su lugar o además, debe confiar en restricciones específicas de IP en lugar de específicas del sistema. Esto se puede hacer usando DKIM donde el sistema de correo saliente firma el correo y el destinatario puede verificar que realmente haya sido firmado por el Sistema de correo perteneciente al remitente. Tanto DKIM como SPF se pueden combinar con DMARC para una mejor protección contra el uso indebido de su nombre de dominio para spam y phishing.

En resumen: no se queje de que SPF es insuficiente y no está diseñado para la nube. En su lugar, utilice DKIM y DMARC además de SPF.

    
respondido por el Steffen Ullrich 16.08.2017 - 07:29
fuente
0

Estoy de acuerdo contigo. Un registro SPF demasiado amplio es un riesgo mucho mayor que, como usted dice, companyx.amazonses.com

Esta empresa de servicios de correo electrónico parece estar poniendo en riesgo a todos sus clientes al recomendar esto. Buscaría otro proveedor de servicios.

    
respondido por el Sas3 16.08.2017 - 04:38
fuente

Lea otras preguntas en las etiquetas