15 de Junio, 2005

Tormenta de bounces y una solución: SPF

Anoche me llegaron de golpe 356 correos electrónicos, y todos eran bounces.

Se trata de una notificación emitida por un servidor de correo cuando un mensaje no se puede entregar. Se suele emplear el término en inglés (no he oído a nadie decir que le haya llegado un rebote :D). Una definición más formal sería:

bounce n., hablando de correo electrónico se trata de un mensaje emitido por un servidor de correo indicando que un mensaje no se ha podido entregar. Se dice que el mensaje original ha sido rebotado. También se les llama a estos mensajes correos DSN (Delivery Status Notification).

Es una medida contra el spam el no permitir la entrega de un correo si el dominio del remitente no existe, así que los spammers emplean direcciones existentes para enviar sus correos masivos, en este caso info@ en mi dominio usebox.net.

Eso no quiere decir que se haya enviado el correo con esa cuenta, solo que se ha empleado como remitente (el servidor SMTP que me proporciona mi proveedor necesita autentificación, así que no es posible). Y claro, todos los bounces de ese envío masivo, si control y con cientos de destinos inexistentes, han llegado a mi cuenta :'(.

Incluso habían bounces para decirme que el mensaje que yo enviaba era spam. Hay administradores por ahi que vaya tela... pero mejor no me voy por las ramas :P.

Se vendía un medicamento para la disfunción eréctil masculina. Era muy claro que se trataba de spam y espero que poca gente asocie mi dirección al producto. Esto ya de por sí es malo, pero que además me lleguen los los DSN a mi... es realmente molesto >:(.

¿Qué se puede hacer al respecto? A simple vista poca cosa... dar de baja la cuenta sería una solución, si no fuera porque esa dirección aparece en mis tarjetas de visita, aunque tampoco evitaría que el spammer empleara otras cuentas del dominio (existentes o no).

Sí, SMTP no fue diseñado para una Internet hostil. Eso ya lo sabíamos (¿quién no ha jugado con telnet y el puerto 25?), por eso hay gente que ha tomado cartas en el asunto. Una solución que me parece interesante, y aparentemente con buena acogida (otras opciones tienen rollos de patentes por enmedio), es: SPF, o Sender Policy Framework.

SPF es una propuesta para evitar esto mismo que me ha pasado: la emisión de un correo poniendo una dirección de remitente falsa.

Hasta ahora el protocolo DNS se emplea para saber qué servidor se encarga de recoger del correo para un dominio concreto gracias a las entradas MX, pero no nos permite saber qué servidores se encargan de enviar el correo de ese mismo dominio. El SFP pretende corregir este detalle.

Cuando se envía un correo, digamos la maltrecha cuenta de info@, el receptor comprueba el SPF de usebox.net (el emisor) para ver los servidores SMTP que están autorizados a mandar correos para ese dominio.

Si el servidor donde estamos mandado el correo con una cuenta de usebox.net como remitente aparece en la lista, el correo se acepta, sino... se habría detectado un caso de falsificación y el correo se rechazaría.

Los datos de SPF para un dominio se almacenan en las entradas TXT que permite el protocolo DNS, ya que no hay soporte específico. Es muy fácil obtener la entrada SPF para nuestro dominio, incluso hay un asistente para ello.

Así que SPF implementa algo así como una resolución MX inversa gracias al uso de las entradas TXT. Ingenioso y bastante limpio (no hace falta cambiar el protocolo, algo que sería poco viable).

Lamentablemente para que esto funcione es necesario, no solo que los servidores que recogen correo verifiquen el emisor, sino que los DNS incorporen las entradas SPF para sus dominios. Resulta complicado, y muchos proveedores (como el mío) no permiten gestionar entradas TXT.

Así que toca aguantarse, aunque poco a poco se puede ir corrigiendo este problema, para pasar a ser problema de aquellos que nos inundan el buzón de correo no deseado. Y la clave puede ser SPF.

Anotación por Juan J. Martínez, clasificada en: antispam.

Hay 2 comentarios

Gravatar

Lo malo es eso, todo el mundo tendría que configurar sus servidores para comprobar dichas entradas. Si, como bien dices, hay administradores por ahí que vaya tela, imagínate decirle a toda esta gente que vaya cambiando configuraciones...

La solución existe, lo malo será hacer que sea un standard. Pasará bastante tiempo hasta que la usemos todos, por desgracia :(.

por r0sk, en 2005-06-16 08:43:53

Gravatar

Yo creo que con que los DNS tengan los registros SPF ya sería suficiente. Grandes ISP como AOL están adoptando SPF, y desde Dic 2003 que empezó a implantarse el sistema 'dicen' que ha habido una buena progresión (aunque no he encontrado ningún estudio/documento que lo confirme).

Aunque pudiera poner los registros en el DNS, el SPF es una medida activa, y me pasaría como con el greylisting, que no podría aplicarlo en usebox.net (no constrolo ese servidor SMTP). Pero el hecho de que yo no pueda filtrar no quiere decir que otros no se beneficien de que mis entradas SPF estén ahí.

Así que si tus DNS te permiten hacerlo... ya sabes :)

(he hecho un 'dig gmail.com txt' y también usan SPF; porque usan Sender-ID que es SPF + esteroides + patente)

por Juanjo, en 2005-06-16 10:06:52

Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 30 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.

Algunas anotaciones relacionadas: