BreakSPF es un nuevo framework de ataque identificado que explota las configuraciones incorrectas en el Sender Policy Framework (SPF), un protocolo de autenticación de correo electrónico ampliamente utilizado.
Una configuración incorrecta común son los rangos de IP demasiado permisivos, donde las entradas SPF permiten a grandes bloques de direcciones IP enviar correos electrónicos en nombre de un dominio. Estos rangos a menudo incluyen infraestructuras compartidas como proveedores de la nube, proxies o Content Delivery Networks (CDN).
BreakSPF aprovecha esto al identificar y abusar de dichas configuraciones, permitiendo que los atacantes eludan las comprobaciones SPF, envíen correos electrónicos falsos que parezcan legítimos y manipulen servicios compartidos para pasar desapercibidos.
Tipos de ataques BreakSPF
BreakSPF utiliza tres formas principales de ataque para aprovechar las vulnerabilidades de SPF, apuntando tanto a servidores HTTP como SMTP. Estas incluyen:
- Ataques con dirección IP fija: En este método, los atacantes obtienen el control a largo plazo de ciertas direcciones IP y las utilizan como agentes de transferencia de correo (MTA) para enviar correos electrónicos falsos. Al utilizar infraestructuras compartidas como servidores en la nube y proxies, eluden las medidas de defensa tradicionales como el Greylisting.
- Ataques con dirección IP dinámica: Aquí, los atacantes evalúan dinámicamente los dominios vulnerables al monitorear las IPs salientes cambiantes y las aprovechan temporalmente. Este método se basa en infraestructuras públicas como funciones serverless o plataformas CI/CD, lo que hace ineficaz la lista negra de IP tradicional. A diferencia de los ataques con direcciones IP fijas, se evita la dependencia de direcciones IP específicas, lo que aumenta la complejidad y dificulta la contención.
- Ataques que cruzan protocolos: En los ataques que cruzan protocolos, los hackers incrustan datos SMTP en paquetes HTTP y utilizan proxies HTTP o nodos de salida CDN para reenviarlos a las víctimas. Al aprovechar infraestructuras compartidas como proxies HTTP abiertos y servicios CDN, estos ataques fusionan actividades maliciosas con tráfico legítimo, lo que los hace particularmente difíciles de detectar y rastrear.
Malentendidos sobre SPF que debilitan la seguridad de tu correo electrónico
Un malentendido común sobre SPF es que autentifica la dirección “De” (“From”) visible en los clientes de correo electrónico. En realidad, verifica la dirección 5321.MailFrom, también conocida como ruta de retorno o dirección de rebote, que solo es visible en los encabezados del correo electrónico.
Este malentendido a menudo lleva a las organizaciones a agregar incorrectamente cada herramienta de envío a sus entradas SPF. La experta en correo electrónico Laura Atkins de Word to the Wise lo explica bien: “Uno de los errores se debe a que mucha gente, incluso muchos expertos en correo electrónico, no siempre saben o no siempre recuerdan que hay dos direcciones ‘De’ separadas pero igualmente importantes en un correo electrónico“.
SPF solo debe contener mecanismos para mensajes que usan el dominio de tu organización en la ruta de retorno. Si se usa una subdominios o un dominio diferente en la ruta de retorno, no es necesario agregarlo a la entrada SPF de tu dominio principal, ya que no se verifica. Agregar mecanismos innecesarios desperdicia espacio valioso de búsqueda SPF.
Protección contra BreakSPF con Red Sift OnDMARC
BreakSPF explota los rangos SPF demasiado permisivos, permitiendo que los atacantes eludan DMARC y envíen correos electrónicos maliciosos que parecen autenticados. Para contrarrestar esto, es esencial verificar no solo las fuentes incorrectas, sino también las correctas que parezcan desconocidas o sospechosas.
La función Dynamic SPF de Red Sift OnDMARC protege tu dominio al analizar continuamente los registros SPF para identificar y corregir los rangos excesivamente permisivos. Este enfoque proactivo ayuda a mejorar tu postura de seguridad y reducir tu superficie de ataque al garantizar que las posibles vulnerabilidades explotadas por BreakSPF se solucionen antes de que causen daño. OnDMARC también detecta y corrige las brechas en la configuración incorrecta de los protocolos, ofreciendo así una protección integral.
Los usuarios de OnDMARC también se benefician de informes forenses optimizados para la supervisión continua en dominios y subdominios, incluida la detección de direcciones IP sospechosas. Además, la función “Dynamic SPF” evita problemas con el límite de 10 búsquedas DNS al agrupar todos los servicios autorizados en una sola instrucción dinámica de inclusión. Esto asegura la validación SPF para todo el tráfico legítimo, independientemente de la cantidad de servicios de envío utilizados.
Aprende también: Seguridad del Correo Electrónico: SPF, DKIM y DMARC para principiantes
