¿Cómo configurar un registro SPF? - Guía de configuración de SPF

Blog

Configure el registro SPF y añádalo a su dominio. Conozca los errores en la configuración SPF y contrólelos con PowerDMARC para una autenticación y protección sólidas del correo electrónico.

por Ahona Rudra

Tiempo de lectura: 11 min
¿Cómo configurar un registro SPF? - Guía de configuración de SPF
Índice-

El correo electrónico es una herramienta esencial para las empresas, y la mayoría de nosotros confiamos en él a diario para comunicarnos. Sin embargo, a medida que ha crecido el número de usuarios de correo electrónico, también lo ha hecho el problema del spam, la suplantación de identidad, el phishing, el whaling y el fraude por correo electrónico. Estos tipos de ataques pueden causar daños importantes, como pérdida de reputación, pérdidas financieras y violación de datos. Para evitarlos, las empresas deben tomar medidas proactivas para proteger sus sistemas de correo electrónico. Una de las formas de hacerlo es configurando un SPF.

Los principales proveedores de correo electrónico, como Yahoo Mail y Google Workspace, recomiendan protocolos de autenticación de correo electrónico como Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) y Domain-based Message Authentication, Reporting, and Conformance (DMARC) para proteger a los destinatarios de posibles fraudes.

Puntos clave

  1. Los protocolos de autenticación de correo electrónico como SPF son herramientas esenciales para evitar la suplantación de identidad, el phishing y el fraude.
  2. Configurar un registro SPF válido implica especificar todos los servidores de correo electrónico autorizados (incluidos terceros) mediante un único registro DNS TXT por dominio.
  3. La actualización periódica de los registros SPF y el cumplimiento del límite de 10 búsquedas DNS (evitando mecanismos desaconsejados como "ptr") son cruciales para el mantenimiento y la capacidad de entrega.
  4. Probar su registro SPF ayuda a verificar la correcta configuración y funcionalidad.
  5. SPF proporciona una protección básica, pero funciona mejor con DKIM y DMARC para una seguridad y conformidad completas del correo electrónico.

SPF en la seguridad del correo electrónico - Explicación 

¿Qué es el FPS?? SPF son las siglas de Sender Policy Framework. Es un protocolo de autenticación de correo electrónico que le permite especificar qué servidores están autorizados a enviar correos electrónicos a su dominio. SPF funciona añadiendo un registro DNS TXT al archivo de zona DNS de su dominio, que enumera las direcciones IP o nombres de host autorizados para enviar correos electrónicos desde ese nombre de dominio específico. Este registro es consultado por los servidores de correo receptores para verificar la autenticidad de un correo electrónico; indica a otros servidores de correo electrónico que cualquier correo electrónico enviado desde su dominio que no proceda de direcciones IP autorizadas debe ser tratado de acuerdo con su política especificada (por ejemplo, rechazado o marcado como sospechoso).

Configurar un registro SPF válido es esencial para evitar que usuarios no autorizados envíen correos electrónicos utilizando su nombre de dominio. Por ejemplo, los spammers o atacantes pueden utilizar su nombre de dominio para enviar spam o correos electrónicos de phishinglanzar campañas de whaling o cometer otros fraudes, lo que puede dañar la reputación de su marca, hacer que sus correos legítimos sean bloqueados o rechazados por otros servidores y comprometer la seguridad de sus clientes y empleados.

¡Simplifique la configuración del SPF con PowerDMARC!

Prueba de 15 díasAgendar demo

Componentes SPF 

Los principales componentes de un registro SPF en DNS son los siguientes:

  1. Versión (v=spf1):
    Especifica la versión SPF, siempre empezando por v=spf1.
  2. IP4 e IP6 (ip4: / ip6:):
    Enumera las direcciones IPv4 e IPv6 autorizadas para enviar correos electrónicos para el dominio.
  3. Mecanismos A y MX (a: / mx:):
    • a: permite correos electrónicos de servidores cuyas IP coincidan con el registro A del dominio (o un nombre de host específico si se proporciona, por ejemplo, `a:mail.example.com`).
    • mx: permite recibir correos electrónicos de los servidores que figuran en los registros MX (Mail Exchange) del dominio. Debe especificar el dominio (`mx:ejemplo.com`), no un nombre de host de servidor de correo específico.
  4. Incluir mecanismo (incluir:):
    Permite que los registros SPF de otros dominios autoricen remitentes, útil cuando servicios de terceros envían correos electrónicos en nombre de su dominio. Consulte a la organización de terceros para confirmar el valor de dominio correcto para la declaración include.
  5. Mecanismo PTR (ptr:):
    Realiza una búsqueda DNS inversa. Sin embargo, RFC7208 desaconseja el uso del mecanismo 'ptr' debido a problemas de fiabilidad y cargas de rendimiento. Generalmente se recomienda usar mecanismos 'a', 'mx', o 'ip4'/'ip6' en su lugar.
  6. Todos los mecanismos (todo):
    Establece una regla predeterminada para los remitentes que no coincidan con los mecanismos anteriores. Debe colocarse siempre al final del registro SPF. Las opciones son:

    • -todos: Hard fail (rechaza IPs no autorizadas). Recomendado para la aplicación.
    • ~all: Fallo suave (marca las IP no autorizadas como sospechosas). Suele utilizarse durante la configuración inicial o las pruebas.
    • todos: Neutral (no se toman medidas específicas sobre las IP no autorizadas). Ofrece poca protección.
    • +todos: Pass (permite todas las IPs, muy desaconsejado ya que anula el propósito de SPF).
  7. Redirigir (redirigir=):
    Apunta al registro SPF de otro dominio si desea utilizar su política en lugar de definir mecanismos en el registro actual. Sustituye a la necesidad de un mecanismo "todos".
  8. Modificadores:
    Reglas opcionales de ajuste, como `exp=` para explicaciones sobre fallos, aunque menos comunes.

Ejemplo de SPF

v=spf1 ip4:192.168.1.1 include:_spf.thirdparty.com -all

Este ejemplo permite correos electrónicos de 192.168.1.1 e incluye un registro SPF de terceros, rechazando correos de otras IPs con -all.

Dominar la configuración del SPF

Una configuración SPF se refiere a la configuración del protocolo de autenticación de correo electrónico SPF en el DNS del propietario de un dominio. Una configuración SPF le permite autorizar sus fuentes de envío legítimas, asegurándose de que los servidores receptores puedan demarcar fácilmente entre un remitente de correo electrónico genuino y uno que simplemente está suplantando un nombre de dominio legítimo. Es un paso necesario en la validación del correo electrónico, para ayudar en la protección contra los ciberataques basados en el correo electrónico. 

Cómo configurar y añadir registros SPF

La configuración de un SPF no sólo es esencial para sus fuentes activas, sino también para todos los dominios de su propiedad, incluidos los dominios no remitentes o "aparcados", para garantizar que están a salvo de usos malintencionados. La configuración de un registro SPF es un proceso sencillo, e implica los siguientes pasos:

Paso 1: Determine sus servidores de correo electrónico y fuentes de envío

El primer paso es recopilar una lista completa de todos los servidores y servicios autorizados para enviar correos electrónicos para su dominio. Estas fuentes pueden incluir sus propios servidores de correo (por ejemplo, Microsoft Exchange, basado en web como Gmail), cualquier proveedor de servicios de correo electrónico de terceros (ESP) que utilice para correos electrónicos de marketing o transaccionales, y otros servicios como procesadores de pagos, plataformas de comercio electrónico, CRM, servicios de asistencia o sistemas de soporte/ticketing que envíen correos electrónicos en su nombre.

Paso 2: Crear un registro SPF

Una vez que haya identificado todas sus fuentes de envío autorizadas, puede crear un registro SPF utilizando una herramienta generadora de registros SPF o elaborando manualmente la sintaxis. Un registro SPF es un registro TXT (texto) en la configuración DNS de su dominio. Asegúrese de crear sólo un registro SPF por dominio. Una sintaxis sencilla podría ser la siguiente

v=spf1 ip4:<IP address> include:<third-party domain> -all

In this example, “v=spf1” indicates the SPF version, “ip4:<IP address>” lists an authorized IP, “include:<third-party domain>” incorporates a third-party sender’s policy, and “-all” at the end indicates that emails from sources not listed should be rejected. Double-check for typos, as even small errors like ‘inlcude’ instead of ‘include’ can invalidate the record.

Paso 3: Publique su registro SPF

Después de crear su registro SPF, necesita publicarlo en el DNS de su dominio. Los administradores de dominio pueden realizar las actualizaciones de DNS necesarias fácilmente. Puede hacerlo accediendo al sitio web de su proveedor de DNS y añadiendo un nuevo registro TXT con el contenido de su registro SPF. El contenido real debe empezar por `v=spf1` y no debe ir entre comillas dobles dentro de la propia entrada DNS (aunque algunas interfaces DNS pueden mostrarlo entre comillas). También puede pedir a su equipo informático o proveedor de alojamiento que lo haga por usted. Tenga en cuenta que los cambios de DNS pueden tardar algún tiempo (hasta 72 horas, aunque a menudo mucho más rápido) en propagarse por Internet.

Paso 4: Pruebe su registro SPF

Una vez que haya publicado su registro SPF y haya dado tiempo a que se propague, es esencial probarlo para asegurarse de que funciona correctamente y no supera el límite de 10 búsquedas DNS (mecanismos como `include`, `a`, `mx`, `ptr`, `exists` y `redirect` cuentan para este límite, incluidas las búsquedas dentro de declaraciones `include` anidadas). Puede utilizar comprobadores de registros SPFen línea, como el proporcionado por PowerDMARC o MXToolbox, para comprobar su registro SPF. Estas herramientas le dirán si su registro SPF es válido, tiene el formato correcto, está dentro del límite de búsqueda y funciona según lo previsto.

5 conceptos erróneos sobre los registros SPF 

Hay ciertos mitos sobre los registros SPF que circulan por Internet y que pueden llevar a la gente a tomar decisiones incorrectas. Vamos a desmontarlos uno a uno: 

1. El SPF por sí solo puede evitar la suplantación de identidad 

Esto es falso. Configurar SPF por sí solo no puede evitar todos los tipos de suplantación de identidad, especialmente en lo que respecta al encabezado "De" que ven los usuarios. Para ofrecer una mayor protección e indicar a los receptores cómo gestionar los fallos, SPF debe combinarse con DKIM y DMARC (autenticación, notificación y conformidad de mensajes basados en dominios). DMARC permite a los propietarios de dominios especificar una política (como rechazo o cuarentena) para los correos electrónicos que no superen las comprobaciones SPF o DKIM.

2. Puede utilizar +all en su registro SPF

El uso de +all permite a cualquier servidor de Internet enviar correos electrónicos en nombre de su dominio. Esto anula por completo el propósito de seguridad del protocolo SPF. En su lugar, ~all (fallo suave) o preferiblemente -all (fallo duro) son los mecanismos recomendados para utilizar al final de su registro para implementar SPF de manera efectiva.

3. SPF funciona para los correos electrónicos reenviados 

A todos nos gustaría que fuera cierto. Por desgracia, en muchos casos de reenvío de correo, SPF se rompe. Esto ocurre porque la dirección IP del servidor de reenvío a menudo no coincide con las IP autorizadas que figuran en el registro SPF del remitente original, y la información del encabezado puede cambiar. En estos casos, protocolos como DKIM (que normalmente sobrevive al reenvío) o preferiblemente ARC(Authenticated Received Chain) pueden ayudar a mantener los resultados de autenticación a través de los saltos de reenvío.

4. Los registros SPF tienen búsquedas DNS ilimitadas 

La especificación SPF (RFC) impone un límite máximo de 10 búsquedas DNS por comprobación SPF. Mecanismos como `include`, `a`, `mx`, `ptr`, `exists` y `redirect` realizan búsquedas DNS. Si se supera este límite, se produce un SPF PermError (error permanente), que puede hacer que los correos electrónicos legítimos no pasen la autenticación. Es esencial mantener su registro conciso y potencialmente utilizar métodos de optimización SPF como aplanamiento o macros SPF dinámicas para mantenerse dentro del límite, especialmente si utiliza muchos remitentes de terceros.

5. Con SPF puede "¡configurar y olvidarse!" 

No cometa este error SPF Su infraestructura de envío de correo electrónico puede cambiar con el tiempo: puede añadir nuevos servicios de terceros, cambiar de ESP o dar de baja servidores antiguos. Debe actualizar sus registros SPF con regularidad para reflejar estos cambios. Si no los actualiza, es posible que las nuevas fuentes de envío legítimas no estén autorizadas, lo que puede provocar que los servidores receptores bloqueen o marquen como spam sus correos electrónicos.

¿Cómo funciona el registro SPF?

  • El propietario del dominio crea un registro SPF (un registro TXT en DNS) manualmente o mediante una herramienta en línea que especifica las fuentes de envío (direcciones IP, dominios mediante includes, etc.) que tienen permiso para enviar correos electrónicos en nombre del dominio. 
  • Cuando se recibe un correo electrónico, el servidor de correo del destinatario extrae el dominio de la dirección Return-Path (también conocida como remitente del sobre o remitente del correo) del correo electrónico.
  • El servidor receptor realiza una consulta DNS para buscar el registro SPF TXT de ese dominio remitente.
  • El servidor receptor comprueba si la dirección IP del servidor de conexión que envió el correo electrónico coincide con alguna de las fuentes autorizadas que figuran en el registro SPF.
  • Si hay una coincidencia (Pass), el correo electrónico pasa la comprobación SPF. Si no hay coincidencia, el resultado depende del mecanismo 'all' definido en el registro (por ejemplo, -all para Fail, ~all para SoftFail, ?all para Neutral). Este resultado puede influir en si el correo llega a la bandeja de entrada, a la carpeta de spam o es rechazado, especialmente cuando se combina con DMARC.

Consejos para configurar con precisión el FPS

Estos son algunos consejos para crear una configuración de registro SPF sólida y eficaz:

  • Incluya todas las fuentes de envío autorizadas: Asegúrate de enumerar meticulosamente todos los servidores y servicios de terceros autorizados para enviar correos electrónicos para tu dominio. La omisión de una fuente puede provocar problemas de entregabilidad para el correo legítimo.
  • Aplique SPF a todos sus dominios: Proteja incluso los dominios no remitentes (aparcados) publicando un registro SPF como `v=spf1 -all` para indicar explícitamente que ningún correo electrónico debe proceder de ellos.
  • Utilice el mecanismo correcto de `todos`: Utilice `~all` (SoftFail) durante las fases iniciales de prueba o transición. Una vez que esté seguro, utilice "all" (Fail) para una aplicación más estricta, que indique claramente a los servidores receptores que rechacen los mensajes no autorizados. Evite `?all` (Neutral) y no utilice nunca `+all` (Pass).
  • Coloque `all` correctamente: El mecanismo `all` debe ser siempre el último componente de la cadena del registro SPF.
  • Utilizar correctamente el mecanismo "include El mecanismo "include" es esencial para autorizar a terceros remitentes. Asegúrese de utilizar el dominio correcto proporcionado por el tercero para su política SPF.
  • Utilice los mecanismos `mx` y `a` con cuidado: Utilice `mx` para autorizar los servidores que figuran en los registros MX de su dominio (`mx:sudominio.com`). Utilice `a` para autorizar las direcciones IP asociadas al registro A de su dominio (`a`) o un nombre de host específico (`a:mail.sudominio.com`). No utilice `mx` con un nombre de host de servidor de correo específico.
  • Evita los mecanismos desaconsejados: No utilices el mecanismo `ptr` ya que es obsoleto y poco fiable.
  • Mantente dentro del límite de 10 búsquedas DNS: Ten en cuenta los mecanismos (`include`, `a`, `mx`, `exists`, `redirect`) que requieren búsquedas DNS. Las búsquedas anidadas cuentan. Exceder el límite lleva a un PermError.
  • Compruebe si hay errores tipográficos: Revise cuidadosamente su registro SPF en busca de errores de sintaxis o erratas antes de publicarlo.
  • Publique correctamente en DNS: Asegúrese de que el registro se publica como tipo TXT y que el contenido empieza por `v=spf1` sin estar entre comillas en el campo de datos DNS real.
  • Mantenga actualizado su registro SPF: A medida que cambie su infraestructura de correo electrónico o la lista de remitentes de terceros, asegúrese de actualizar su registro SPF con prontitud para reflejar estos cambios. Revise y mantenga su registro con regularidad.

Ventajas de optimizar su configuración SPF con PowerDMARC

El límite de búsquedas DNS es una restricción importante impuesta por la norma SPF. Limita el número de búsquedas DNS que se pueden realizar cuando un servidor receptor verifica el registro SPF de un correo electrónico. Este límite está fijado en 10 búsquedas DNS. Si la evaluación del registro SPF requiere más de 10 búsquedas (incluidas las búsquedas anidadas de los mecanismos `include`), se produce un SPF PermError, lo que puede provocar que los correos electrónicos legítimos no se autentiquen y se enfrenten a problemas de entregabilidad.

Aplanamiento SPF es una técnica utilizada para reducir el número de búsquedas DNS necesarias para verificar el registro SPF de un correo electrónico. Funciona sustituyendo mecanismos como `include` por las direcciones IP reales resueltas a partir de esas búsquedas, consolidándolas directamente en el registro SPF principal. Esto puede reducir significativamente el número de consultas DNS necesarias para autenticar un correo electrónico. PowerDMARC ofrece soluciones automatizadas de SPF flattening o basadas en macros dinámicas para gestionar registros SPF complejos y mantenerse por debajo del límite.

He aquí un ejemplo de cómo puede ayudar el aplanamiento del FPS:

Supongamos que su empresa utiliza varios servicios de terceros para enviar correos electrónicos. Puede tratarse de un software de automatización de marketing (por ejemplo, `include:spf.marketing.com`), un sistema de asistencia (por ejemplo, `include:spf.support.com`) y una herramienta de CRM para pequeñas empresas. herramienta CRM para pequeñas empresas (por ejemplo, `include:spf.crm.com`). Cada una de estas declaraciones `include` requiere una búsqueda DNS, y los registros incluidos pueden contener más búsquedas. Si el recuento total supera 10, su registro SPF se romperá.

Mediante el uso de SPF flattening (o una solución de macros), las direcciones IP autorizadas por estos includes de terceros pueden resolverse y representarse de forma más eficaz, reduciendo a menudo el número total de búsquedas necesarias para mantenerse dentro del límite. Esto garantiza que cuando un servidor de correo electrónico realice una búsqueda DNS para verificar su registro SPF, pueda completar con éxito la evaluación sin alcanzar el umbral PermError.

En resumen 

Una configuración SPF es un paso crucial para asegurar su sistema de correo electrónico y prevenir el fraude por correo electrónico. Al crear un registro SPF preciso, publicarlo correctamente en la configuración DNS de su dominio y mantenerlo a lo largo del tiempo, puede garantizar que los correos electrónicos legítimos enviados desde su dominio sean autenticados y ayudar a evitar que usuarios no autorizados abusen de su nombre de dominio. Siguiendo las mejores prácticas y consejos descritos anteriormente le ayudará a crear un registro SPF fuerte y mejorar su postura general de seguridad de correo electrónico, especialmente cuando se utiliza junto con DKIM y DMARC.

Preguntas frecuentes sobre la creación de un registro SPF

¿Puedo tener varios registros SPF para un mismo dominio?

No. Un dominio debe tener exactamente un registro SPF. Publicar varios registros SPF para el mismo dominio es un error común que hará que la validación SPF falle o devuelva resultados impredecibles (a menudo None o PermError). Si necesita autorizar varias fuentes de envío, todas deben incluirse en una única cadena de registro SPF TXT.

¿Puedo dividir un registro SPF grande?

Dividir una política SPF lógicamente grande en varios registros TXT para el mismo dominio no está permitido debido a la regla de un solo registro. Además, los registros TXT de DNS individuales tienen límites de cadenas de caracteres (aunque los sistemas DNS modernos suelen admitir varias cadenas dentro de un mismo registro para superar los antiguos límites de 255 caracteres). Si su registro se vuelve demasiado complejo o supera el límite de 10 búsquedas DNS, no puede simplemente dividirlo. En su lugar, pruebe estas tácticas: 

  1. Simplifique su registro: Elimine las entradas redundantes o innecesarias. Consolide los rangos de IP utilizando la notación CIDR siempre que sea posible.
  2. Minimizar los mecanismos de búsqueda: Reducir el número de mecanismos `include`, `a`, `mx`, `exists` y `redirect`.
  3. Utilice soluciones de gestión de SPF: Emplee servicios de terceros que ofrezcan soluciones de SPF aplanado o SPF dinámico (basado en macros) para gestionar registros complejos y mantenerse dentro de los límites.

¿Por qué se utiliza el registro SPF?

Un registro SPF se utiliza para evitar la suplantación de identidad en el correo electrónico, ya que permite a los propietarios de dominios declarar públicamente qué servidores de correo están autorizados a enviar correo electrónico en nombre de su dominio. Los servidores receptores comprueban este registro para verificar la legitimidad del servidor remitente, lo que reduce las posibilidades de que el phishing, el spam y otros correos fraudulentos enviados utilizando el nombre del dominio lleguen a las bandejas de entrada de los destinatarios.

¿Cuándo se necesita un FPS?

Necesita SPF para cualquier dominio que posea, especialmente los utilizados para enviar correo electrónico. Se trata de un protocolo de autenticación de correo electrónico fundamental necesario para mejorar la entregabilidad del correo electrónico, proteger la reputación de su marca, verificar la autenticidad y cumplir las políticas de los servidores receptores y las prácticas recomendadas del sector, incluidas las exigencias recientes de los principales proveedores como Google y Yahoo. Más información sobre la importancia de la configuración de SPF. Incluso los dominios que no envían correo electrónico deben tener un registro SPF restrictivo (por ejemplo, `v=spf1 -all`) para evitar abusos.

¿Cómo optimizar el registro SPF?

Puede optimizar su registro SPF manualmente revisando y consolidando cuidadosamente los remitentes autorizados, eliminando las fuentes no utilizadas, utilizando una notación de rango IP eficiente (CIDR) y minimizando los mecanismos que provocan búsquedas DNS. Sin embargo, para situaciones complejas o para garantizar que se mantiene por debajo del límite de 10 consultas, una opción más sencilla es utilizar servicios de optimización SPF de terceros que ofrezcan soluciones automatizadas de aplanamiento o macros SPF dinámicas para la gestión continua del registro.

¿Cómo sé si mi registro SPF está configurado correctamente?

Puede comprobar su registro SPF mediante una herramienta en línea herramienta de búsqueda de registros SPF. Estas herramientas validan la sintaxis, comprueban si el registro existe en su DNS, verifican si está dentro del límite de 10 búsquedas DNS y confirman si en general está configurado correctamente.


"`

Últimas publicaciones de Ahona Rudra (ver todas)
Registro BIMI: 5 pasos para crear y publicar un registro BIMIpublicar bimi recordSuplantación de identidad por correo electrónico como servicioFalsificación de correo electrónico como servicio