¿Cómo configurar un registro SPF? - Guía de configuración de SPF

El correo electrónico es una herramienta esencial para las empresas, y la mayoría de nosotros confiamos en él a diario para comunicarnos. Sin embargo, a medida que ha crecido el número de usuarios de correo electrónico, también lo ha hecho el problema del spam, la suplantación de identidad, el phishing y el fraude por correo electrónico. Estos tipos de ataques pueden causar daños importantes, como pérdida de reputación, pérdidas financieras y violación de datos. Para evitarlos, las empresas deben tomar medidas proactivas para proteger sus sistemas de correo electrónico. Una de las formas de hacerlo es configurando un SPF.

Los principales proveedores de correo electrónico, como Yahoo Mail y Google Workspace, recomiendan protocolos de autenticación de correo electrónico como Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) y Domain-based Message Authentication, Reporting, and Conformance (DMARC) para proteger a los destinatarios de posibles fraudes.

SPF en la seguridad del correo electrónico - Explicación 

¿Qué es el FPS?? SPF son las siglas de Sender Policy Framework. Es un protocolo de autenticación de correo electrónico que le permite especificar qué servidores están autorizados a enviar correos electrónicos a su dominio. SPF funciona añadiendo un registro DNS a la configuración DNS de su dominio, que enumera las direcciones IP de sus servidores de correo electrónico. Este registro indica a otros servidores de correo electrónico que cualquier correo enviado desde su dominio que no proceda de direcciones IP autorizadas debe ser rechazado.

Configurar un registro SPF válido es esencial para evitar que usuarios no autorizados envíen correos electrónicos utilizando su nombre de dominio. Por ejemplo, los spammers o atacantes pueden utilizar su nombre de dominio para enviar spam o correos electrónicos de phishinglo que puede dañar su reputación, provocar bloqueos y comprometer la seguridad de sus clientes y empleados.

¡Simplifique la configuración del SPF con PowerDMARC!

Componentes SPF 

Los principales componentes de un registro SPF en DNS son los siguientes:

1. Versión (v=spf1):
   Especifica la versión SPF, siempre empezando por v=spf1.
2. IP4 e IP6 (ip4: / ip6:):
   Enumera las direcciones IPv4 e IPv6 autorizadas para enviar correos electrónicos para el dominio.
3. Mecanismos A y MX (a: / mx:):
   • a: permite correos de servidores cuyas IPs coincidan con el registro A del dominio.
   • mx: permite recibir correos electrónicos de servidores incluidos en los registros MX (Mail Exchange) del dominio.
4. Incluir mecanismo (incluir:):
   Permite que los registros SPF de otros dominios autoricen remitentes, útil cuando servicios de terceros envían correos electrónicos en nombre de su dominio.
5. Todos los mecanismos (todo):
   Establece una regla por defecto al final del registro SPF. Las opciones son:
   • -todos: Hard fail (rechaza IPs no autorizadas).
   • ~all: Fallo suave (marca las IP no autorizadas como sospechosas).
   • todos: Neutral (no se actúa sobre las IP no autorizadas).
   • +todos: Pass (permite todas las IPs, raramente recomendado).
6. Redirigir (redirigir=):
   Apunta al registro SPF de otro dominio si desea utilizarlo en lugar de crear uno propio.
7. Modificadores:
   Reglas opcionales de ajuste, aunque menos comunes.

Ejemplo de SPF

v=spf1 ip4:192.168.1.1 include:_spf.thirdparty.com -all

Este ejemplo permite correos electrónicos de 192.168.1.1 e incluye un registro SPF de terceros, rechazando correos de otras IPs con -all.

Dominar la configuración del SPF

Una configuración SPF se refiere a la configuración del protocolo de autenticación de correo electrónico SPF en el DNS del propietario de un dominio. Una configuración SPF le permite autorizar sus fuentes de envío legítimas, asegurándose de que los servidores receptores puedan demarcar fácilmente entre un remitente de correo electrónico genuino y uno que simplemente está suplantando un nombre de dominio legítimo. Es un paso necesario en la validación del correo electrónico, para ayudar en la protección contra los ciberataques basados en el correo electrónico. 

Cómo configurar y añadir registros SPF

Una configuración SPF no sólo es esencial para sus fuentes activas, sino también para sus dominios no remitentes para garantizar que están a salvo de usos malintencionados. La configuración de un registro SPF es un proceso sencillo que implica los siguientes pasos:

Paso 1: Determine sus servidores de correo electrónico

El primer paso es determinar qué servidores están autorizados a enviar correos electrónicos para tu dominio. Estos servidores pueden incluir su servidor de correo, cualquier proveedor de servicios de correo electrónico de terceros que utilice o cualquier otro servidor que envíe correos electrónicos utilizando su nombre de dominio.

Paso 2: Crear un registro SPF

Una vez identificados los servidores de correo electrónico autorizados, puede crear un registro SPF utilizando una herramienta generadora de registros SPF. Un registro SPF es un registro TXT (texto) en la configuración DNS de su dominio, que es esencial para su configuración SPF. Puede utilizar una sintaxis sencilla para crear su registro SPF, como por ejemplo

v=spf1 ip4:<IP address> -all

In this example, the “v=spf1” indicates that this is an SPF record, and “ip4:<IP address>” indicates the IP address of the authorized email server. The “-all” at the end indicates that any emails that do not come from authorized IP addresses should be rejected.

Paso 3: Publique su registro SPF

Tras crear su registro SPF, deberá publicarlo en las DNS de su dominio. Los administradores de dominio y realizar las actualizaciones de DNS necesarias para activar el protocolo fácilmente. Puede hacerlo accediendo al sitio web de su proveedor de DNS y añadiendo un nuevo registro TXT con su registro SPF. También puede pedir a su equipo informático o proveedor de alojamiento que lo haga por usted.

Paso 4: Pruebe su registro SPF

Una vez que haya publicado su registro SPF, es esencial probarlo para asegurarse de que funciona correctamente. Puede utilizar comprobadores de registros SPFen línea, como el que ofrece MXToolbox, para comprobar su registro SPF. Estas herramientas le dirán si su registro SPF es válido y si está configurado correctamente.

5 conceptos erróneos sobre los registros SPF 

Hay ciertos mitos sobre los registros SPF que circulan por Internet y que pueden llevar a la gente a tomar decisiones incorrectas. Vamos a desmontarlos uno a uno: 

1. El SPF por sí solo puede evitar la suplantación de identidad 

Esto es falso. Configurar SPF por sí solo no puede evitar ciberataques como la suplantación de identidad o el spoofing. Para evitarlos, SPF debe combinarse con DMARC (Domain-based Message Authentication, Reporting, and Conformance), que permite a los propietarios de dominios rechazar correos electrónicos fraudulentos enviados desde su propio dominio. 

2. Puede utilizar +all en su registro SPF

El uso de +all permite a cualquier servidor enviar correos electrónicos en nombre de su dominio. Esto anula el propósito del protocolo SPF. En su lugar, se recomienda utilizar ~all o -all para implementar SPF de forma efectiva para su dominio. 

3. SPF funciona para los correos electrónicos reenviados 

A todos nos gustaría que fuera cierto. Desafortunadamente, en los escenarios de reenvío de correo SPF se rompe, debido a los cambios en la información de cabecera realizados por los servidores intermediarios. En estos casos, protocolos como DKIM o, preferiblemente, ARC pueden resultar útiles para una autenticación eficaz del correo electrónico. 

4. Los registros SPF tienen búsquedas DNS ilimitadas 

La RFC especifica un máximo de 10 búsquedas DNS para registros SPF, sobrepasar este límite conduce a un resultado SPF permerror. Es esencial utilizar métodos de optimización SPF como el aplanamiento, o preferiblemente macros SPF, para asegurarse de que siempre se mantiene dentro de los límites SPF.

5. Con SPF puede "¡configurar y olvidarse!" 

No cometa este error SPF Debe actualizar sus registros SPF de vez en cuando para que su lista de remitentes actualizada pueda enviar correos electrónicos en nombre de su dominio. Este es un paso importante para garantizar que los correos electrónicos legítimos no sean bloqueados por el servidor del destinatario. 

¿Cómo funciona el registro SPF?

• El propietario del dominio crea un registro SPF manualmente o utilizando una herramienta en línea que especifica las fuentes de envío que están autorizadas a enviar correos electrónicos en nombre del dominio. 
• Cuando se envía un correo electrónico, el servidor del destinatario realiza una consulta DNS en el DNS del remitente para buscar el registro SPF y comprobar si hay fuentes autorizadas. 
• Si hay una coincidencia, el correo llega sin problemas a la bandeja de entrada; de lo contrario, el correo puede ser marcado como sospechoso. Esto depende del calificador de acción (~all, -all, ?all) definido por el propietario del dominio en el registro SPF. 

Consejos para configurar con precisión el FPS

Estos son algunos consejos para crear una configuración de registro SPF sólida:

• Incluya todos los servidores de correo electrónico autorizados: Asegúrate de incluir todos los servidores de correo electrónico autorizados para enviar correos electrónicos para tu dominio en tu configuración SPF. Esto puede incluir su servidor de correo, proveedores de servicios de correo electrónico de terceros o cualquier otro servidor que envíe correos electrónicos utilizando su nombre de dominio.
• Utilice el mecanismo "-all": El mecanismo "-all" al final de su registro SPF indica a otros servidores de correo electrónico que rechacen cualquier correo electrónico que no proceda de direcciones IP autorizadas. Este es un paso fundamental para evitar que usuarios no autorizados envíen correos electrónicos utilizando su nombre de dominio.
• Utilice el mecanismo "incluir": El mecanismo "include" te permite incluir registros SPF de otros dominios. Esto puede ser útil si utilizas un proveedor de servicios de correo electrónico externo para enviar correos electrónicos para tu dominio. Puedes incluir su registro SPF en tu configuración SPF para asegurarte de que los correos electrónicos enviados desde sus servidores también están autenticados.
• Utilice el mecanismo "~all" para realizar pruebas: El mecanismo "~all" indica a otros servidores de correo electrónico que marquen cualquier correo electrónico que no provenga de las direcciones IP autorizadas como "fallos suaves." Esto significa que estos correos seguirán entregándose, pero se marcarán como sospechosos. Puede utilizar este mecanismo durante las pruebas para asegurarse de que su registro SPF funciona correctamente sin rechazar inmediatamente los correos electrónicos.
• Mantenga actualizado su registro SPF: A medida que cambie su infraestructura de correo electrónico, asegúrese de actualizar su registro SPF para reflejar estos cambios. Esto puede incluir la adición de nuevos servidores de correo electrónico o la eliminación de los antiguos.

Ventajas de optimizar su configuración SPF con PowerDMARC

El límite de búsquedas DNS es una restricción impuesta por los servidores de correo electrónico. Limita el número de búsquedas DNS que se pueden realizar al verificar el registro SPF de un correo electrónico. Este límite se establece normalmente en 10 búsquedas DNS, y si el servidor de correo electrónico supera este límite, SPF puede romperse y causar problemas de entregabilidad de correo electrónico.

Aplanamiento SPF es una técnica utilizada para reducir el número de búsquedas DNS necesarias para verificar el registro SPF de un correo electrónico. Funciona combinando varios registros SPF en un único registro, lo que puede reducir el número de búsquedas DNS necesarias para autenticar un correo electrónico.

He aquí un ejemplo de cómo puede ayudar el aplanamiento del FPS:

Supongamos que su empresa utiliza varios servicios de terceros para enviar correos electrónicos. Esto puede incluir software de automatización de marketing, un sistema de asistencia y una herramienta de CRM para pequeñas empresas. herramienta CRM para pequeñas empresas. Cada uno de estos servicios se añadirá a la lista de direcciones IP en su registro SPF de DNS o registros SPF individuales para cada uno de estos servicios, y si los incluyera todos en el registro SPF de su dominio, superaría el límite de 10 búsquedas de DNS.

Al utilizar el aplanamiento SPF, puede combinar todas estas IP redundantes en una única inclusión. Esto significa que cuando un servidor de correo electrónico realiza una búsqueda DNS para verificar su registro SPF, solo necesita realizar una o varias búsquedas, en lugar de múltiples búsquedas para cada uno de los registros SPF y direcciones IP individuales.

En resumen 

Una configuración SPF es un paso crucial para asegurar su sistema de correo electrónico y prevenir el fraude por correo electrónico. Al crear un registro SPF y publicarlo en la configuración DNS de su dominio, puede asegurarse de que los correos electrónicos enviados desde su dominio estén autenticados y evitar que usuarios no autorizados envíen correos electrónicos utilizando su nombre de dominio. Siguiendo los consejos descritos anteriormente, puede crear un registro SPF sólido y proteger su sistema de correo electrónico.

Preguntas frecuentes sobre la creación de un registro SPF

¿Puedo dividir un FPS grande?

Dividir un registro SPF grande en otros más pequeños no es recomendable debido a los límites de caracteres SPF y a las restricciones añadidas contra la publicación de más de un registro SPF para el mismo dominio. En su lugar, prueba estas tácticas: 

1. Haga que su registro SPF sea sencillo y conciso 
2. Utilizar menos includes y combinar rangos de IP 
3. Utilizar soluciones de gestión de SPF y servicios de terceros

¿Por qué se utiliza el registro SPF?

Un registro SPF se utiliza para garantizar que sólo las fuentes autorizadas pueden enviar correos electrónicos en nombre de su dominio, limitando la exposición externa y los intentos de suplantación. 

¿Cuándo se necesita un FPS?

Como protocolo de autenticación de correo electrónico, SPF es necesario para garantizar que se pueda verificar la autenticidad de las comunicaciones por correo electrónico y cumplir con las últimas normativas del sector. Más información sobre la importancia de la configuración de SPF.

¿Cómo optimizar el registro SPF?

Puede optimizar su registro SPF manualmente accediendo a su DNS y realizando los cambios necesarios. Sin embargo, una opción más sencilla y sin complicaciones es implementar servicios de optimización SPF de terceros que ofrezcan aplanamiento u optimización de macros para la gestión de registros SPF. 

¿Cómo sé si mi registro SPF está configurado?

Puede comprobar su registro SPF mediante una herramienta en línea herramienta de búsqueda de registros SPF para confirmar si su registro SPF está configurado correctamente.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• Microsoft refuerza las reglas de remitentes de correo electrónico: Actualizaciones clave que no debe perderse - 3 de abril de 2025
• Configuración de DKIM: Guía paso a paso para configurar DKIM para la seguridad del correo electrónico (2025) - 31 de marzo de 2025
• PowerDMARC reconocido como líder de red para DMARC en G2 Spring Reports 2025 - 26 de marzo de 2025