University of Valencia logo Logo ICT Service [SIUV] Logo del portal

A raíz del tremendo ataque al que nos sometió un spammer chino (aquellos famosos mensajes de "curriculum" que todos recibimos, hasta en 10 o 15 ejemplares), se decidió activar el 8 de mayo de 2014 un nuevo filtro anti-spam: el SPF (Sender Policy Framework).

El SPF comprueba que el IP de la máquina remitente está autorizado a enviar mensajes con el dominio indicado en el From:. Si no el IP no está autorizado, el mensaje es RECHAZADO sin más. Si el IP "es probable" que no esté autorizado, el mensaje se marca como SPAM y es entregado en el buzón SPAM.

Cómo funciona

Para publicar qué IPs están autorizadas, el gestor del dominio especifica en un registro TXT del DNS qué máquinas pueden enviar.

P.e., en el caso de @ific.uv.es: ific.uv.es. 600 IN TXT "v=spf1 a:hal.ific.uv.es a:ifmx.ific.uv.es -all"

sólo están autorizados a enviar correo con remite @ific.uv.es las máquinas hal.ific.uv.es e ifmx.ific.uv.es.

Obviamente, esto impide que una máquina de un dominio "retransmita" los mensajes de otro dominio; pero las "estafetas intermedias" están hoy en día en total desuso. Y para las "redirecciones" de los usuarios hay una solución: el SRS (ver más abajo).

La gran mayoría de los dominios tienen actualmente definidos registros SPF, aunque no todos bien ni todos son "imperativos".

Se espera que el filtro resulte bastante eficaz; en concreto rechaza los mensajes de "curriculum" porque vienen con remites xxxxx@uv.es y sólo postin.uv.es puede enviar correo con este dominio.

Posibles problemas causados por el filtro

Actualmente el filtro está activo sólo en nuestro MX de entrada. No debe afectar pues a ningún programa de correo que utilize post.uv.es como SMTP (los programas de usuario).

Los únicos que pueden encontrarse con dificultades serían los usuarios que estuvieran utilizando un servidor SMTP distinto de post.uv.es y estuvieran enviando correo con remite @uv.es, @alumni.uv.es, @valencia.edu, @ext.uv.es. Esto está desde hoy prohibido (sería rechazado por la UV). De todos modos, nuestro registro SPF tiene ya muchos años y si hubiera usuarios en esta situación ya habrían tenido problemas con GMail y cualquier otro que compruebe los SPF.

Tampoco debe haber problemas con los dominios que tengan registros SPF imperativos. Pero hay algunos (los menos) que tienen registros "sólo indicativos". En estos casos, nuestro filtro añade la cabecera "X-Spam-Level: xxxxxx"; ello que hará que el filtro por contenido del servidor de correo lo envíe a la carpeta SPAM. Si alguien echa en falta correos, debe mirar en esa carpeta.

Sí que pueden tener problemas los MTA que redirigan correo a nuestos servidores (MTAs que tengan usuarios que redirigen su correo a la UV). Esto no funcionará a menos que los MTA en cuestión tengan implementado el SRS (Sender Rewriting Schema). Esto es necesario en general si se quieren soportar las redirecciones en un entorno en el que se comprueban los registros SFP.

Utilidades

Se ha creado un CGI para poder consultar los registros SPF de un dominio, ubicado en dogo