SPF No es suficiente
Hoy hemos recibido un correo del Ministerio del Interior, relativo a una multa impagada.
La primera impresión es que se trataba de un correo fraudulento, pero al mirar el remitente, me ha parecido legítimo. Lo envía:
Ministerio del Interior<multas@interior.gob.es>
He revisado las cabeceras del mensaje, y me ha mosqueado bastante que el Ministerio del Interior utilice un servidor ruso para enviarme una notificación de una multa:
Received: from 194-58-108-196.ovz.vps.regruhosting.ru (194-58-108-196.ovz.vps.regruhosting.ru [194.58.108.196])
He consultado el registro SPF del subdominio interior.gob.es, y me he encontrado esto:
El Ministerio del Interior, sí tiene publicado un registro SPF en el que informa que los correos legítimos los envía desde los servidores autorizados para recibir correos (MX).
He revisado cuáles son estos servidores:
Y resulta que no tienen publicado ningún servidor de correo entrante para este subdominio (interior.gob.es). O sea, que aunque contestes a multas@interior.gob.es, ese correo será devuelto porque no hay dado de alta ningún servidor de correo para ese subdominio.
Por tanto, tal y como suponía, el servidor ruso que me ha enviado el correo con la multa, NO está autorizado por la política SPF del subdominio interior.gob.es
Y sin embargo, extrañamente, mi servidor de correo entrante no ha rechazado el correo.
Intrigado, he analizado todas las cabeceras del mensaje con la ayuda del servicio de MXToolbox
He ahí mi sorpresa: Puesto que el subdominio interior.gob.es no tiene activado DMARC, el SPF que consulta no es el del dominio interior.gob.es, sino el del servidor ruso que ha enviado el mensaje.
Esto me ha confirmado que tener publicado el registro SPF, si no tienes activado DMARC no sirve de nada. Cualquier hacker de medio pelo puede enviar correos haciéndose pasar por un usuario de ese dominio, y los servidores de correo no lo filtrarán.