¿Es correcto tener varios registros SPF en su dominio? La respuesta podría sorprenderle. Los registros SPF son cruciales para la autenticación del correo electrónico, pero tener más de uno puede perjudicar su capacidad de entrega.
Tener varios registros SPF es uno de los errores SPF más comunes con los que se encuentran los propietarios de dominios. Puede invalidar completamente su SPF y provocar un SPF PermError. Para entender por qué ocurre esto, necesitamos saber cómo funciona SPF y por qué tener más de un registro SPF puede causar problemas en la autenticación.
*Consejo profesional: Realice su comprobación de registros de dominio hoy para encontrar errores en la configuración de su registro SPF.
Cómo funcionan los registros SPF
Marco de directivas del remitente o SPF es un popular protocolo de autenticación de correo electrónico que funciona enumerando todas las fuentes de envío autorizadas que pueden enviar correos electrónicos en nombre de su dominio.
Durante una comprobación SPF, los MTA receptores realizan solicitudes de consulta DNS, o búsquedas DNS, para validar la dirección Return-path de su correo electrónico comparándola con la lista de direcciones IP mencionadas en su registro SPF. Si se encuentra una coincidencia, el correo electrónico pasa SPF, de lo contrario falla SPF.
Por lo tanto, configurar el SPF es simplemente publicar un registro TXT de DNS que comienza con la sintaxis "v=spf1".
El mito de los registros SPF múltiples
Aunque algunos servicios pueden sugerir añadir registros SPF separados, lo cierto es que un dominio sólo puede tener un registro SPF. Esto se debe a que el estándar SPF (RFC 4408) prohíbe terminantemente tener varios.
Durante una comprobación SPF, si se encuentran varios registros se produce un "PermError", que básicamente confunde al servidor receptor.
Cuando un MTA receptor comienza a realizar la autenticación SPF en un correo electrónico, obtiene todos los registros TXT de DNS que comienzan por "v=spf1". En caso de que SPF no esté configurado para el dominio remitente, y no se encuentre ningún registro SPF en el DNS, se devuelve un resultado Ninguno. Por el contrario, si se encuentra que existen varios registros SPF que comienzan por "v=spf1" para el mismo dominio, se devuelve un resultado SPF PermError SPF.
El problema de los registros SPF múltiples
Utilizar el registro SPF multiple include o simplemente tener varios registros SPF para un dominio puede tener graves consecuencias como:
- Correos electrónicos que acaban en carpetas de spam
- Rechazo total de correos electrónicos
Se trata de un problema muy común. Varios informes de análisis de dominios de PowerDMARC revelan que uno de los errores más comunes que cometen los propietarios de dominios es tener más de 1 registro SPF por dominio. Este error contribuye a una de las principales razones para tener configuraciones SPF erróneas.
Ejemplo de varios registros SPF
A continuación se muestra un ejemplo de varios registros SPF independientes publicados para el mismo dominio.
El camino equivocado:
| TIPO DE REGISTRO | NOMBRE DE DOMINIO | VALOR RÉCORD | TTL |
|---|---|---|---|
| TXT | exampledomain.com | v=spf1 include:_spf.zoho.com -all | por defecto |
| TXT | exampledomain.com | v=spf1 include:_spf.google.com -all | por defecto |
En este ejemplo, para el dominio exampledomain.com, se han publicado 2 registros SPF DNS TXT distintos en el DNS del dominio. En este caso, la autenticación SPF falla con un resultado de error permanente devuelto para su dominio. Cada una de estas inclusiones se trata como registros independientes, lo que da como resultado varios registros SPF en el mismo dominio.
El camino correcto:
| TIPO DE REGISTRO | NOMBRE DE DOMINIO | VALOR RÉCORD | TTL |
|---|---|---|---|
| TXT | exampledomain.com | v=spf1 include:_spf.zoho.com include:_spf.google.com -all | por defecto |
En este ejemplo, el dominio exampledomain.com tiene un único registro SPF DNS TXT en lugar de varios registros SPF. Esto se consigue añadiendo los mecanismos de inclusión múltiple SPF en un único registro. El registro es válido y SPF no devolvería un resultado PermError en este caso.
*Consejo profesional: Aprenda a optimizar SPF de forma correcta para evitar errores de registro SPF en el futuro.
¿Cómo solucionar el problema de los registros SPF múltiples?
Solucionar el error de múltiples registros SPF es fácil con PowerDMARC. Siga los pasos que se indican a continuación para configurar correctamente la inclusión múltiple de SPF para su dominio:
Paso 1: Confirmar error de registros múltiples SPF
El primer paso es comprobar si existen registros múltiples SPF. Regístrese en PowerDMARC de forma gratuita y utilice nuestra herramienta generadora de registros SPF para confirmar la presencia de este error.
Alternativamente, puede buscar manualmente su registro en su DNS. Si está utilizando un proveedor de alojamiento DNS como Cloudflare, CloudDNS, DNS Made Easy, Namecheap u otros, el proceso no será el mismo para cada proveedor. Sin embargo, los pasos generales habituales son entrar en tu consola de gestión de DNS, acceder a tu editor de zona DNS y hacer clic en Gestionar dominios. Podrá encontrar sus registros DNS para SPF en la zona DNS de su dominio.
Paso 2: Eliminar varios registros SPF de un mismo dominio
Si su dominio contiene varios registros para SPF, es el momento de editar los registros DNS y eliminar todos los registros excepto uno. Asegúrate de que te queda un único registro SPF por dominio.
Paso 3: Combinar registros SPF
Por último, edite el registro SPF único restante para combinar varias inclusiones. Esta es una forma sencilla de corregir el error y de incluir varios registros SPF en un único registro.
- Acceda a su consola de gestión DNS
- Haga clic en Editar su registro SPF
- En la sintaxis, utilice el mecanismo "include" de SPF para incluir varios dominios que desee autorizar. A continuación se muestra un ejemplo de combinación de registros SPF en 1:
Puede seguir añadiendo más "includes" al mismo registro SPF para autorizar todos sus servicios de terceros. Una vez hecho esto, asegúrese de guardar el registro en el DNS.
Nota: En lugar de la política de aplicación (-all) puede configurar (~all) para un enfoque más indulgente y flexible durante el fallo de SPF.
Pasos para añadir varios registros SPF
Si utiliza varios proveedores de correo electrónico para un mismo dominio, configurar varios registros SPF por separado es la forma incorrecta de configurar SPF para ellos. En su lugar, esto es lo que debe hacer:
1. PowerDMARC puede ayudarle a añadir fácilmente múltiples registros SPF para su dominio. Utilice nuestra herramienta generadora de registros SPF para crear un registro gratuito.
2. En el campo "Autorizar dominios o servicios de terceros que envían correos electrónicos en nombre de este dominio", introduzca todos los proveedores de terceros que desea autorizar. Este es un paso importante para fusionar registros SPF.
3. Copie y pegue el registro SPF único generado que contiene múltiples registros SPF para sus remitentes autorizados en su DNS. Guarde el registro.
El problema de un registro SPF con varios Includes
Tener SPF incluido varias veces no siempre es el enfoque correcto. Aunque combinar registros SPF de esta forma le ayuda a deshacerse del error de múltiples registros SPF, puede conducir a otros errores. Cada proveedor de servicios de correo electrónico añade una búsqueda DNS durante la autenticación SPF. Tener varios includes en su registro SPF equivale a otras tantas búsquedas. Sin embargo, RFC especifica que el límite máximo de búsquedas para SPF es de 10.
Exceder el límite de búsqueda del SPF 10 también puede devolver SPF PermError y romper el SPF.
Para mantenerse por debajo del límite de 10 búsquedas DNS para SPF:
- Puede aplanar manualmente su registro SPF. Sin embargo, el aplanamiento manual para extraer todas las direcciones IP detrás de su mecanismo de inclusión puede conducir a un registro largo que puede exceder el límite de cadena de caracteres para SPF.
- O bien, puede elegir Macros SPF. Las macros le ayudan a respetar los límites de búsqueda y longitud de caracteres.
Para evitar múltiples registros SPF y otros errores comunes, utilice la solución SPF alojada de PowerDMARC. Integramos macros en su registro SPF para que disfrute de un SPF sin errores, optimizado y actualizado.
Además, puede configurar nuestro Analizador DMARC para configurar DMARC para sus dominios. DMARC le ayuda a protegerse contra ataques de phishing, spoofing y abuso de dominio.
Palabras finales
Tener un único registro SPF bien configurado es esencial para una óptima entregabilidad del correo electrónico. En este blog explicamos cómo puede combinar registros SPF en uno para una configuración SPF sin errores. Aunque SPF es un gran primer paso, considere explorar otros métodos de autenticación de correo electrónico como DKIM y DMARC para una protección aún mejor.
Para conocer más soluciones de seguridad de dominios que simplifiquen la seguridad de sus correos electrónicos - póngase en contacto hoy mismo.
- Aumentan las estafas fiscales y los ataques de suplantación de identidad de IRS por correo electrónico durante la temporada de impuestos - 2 de mayo de 2024
- Seguridad del correo electrónico 101 para combatir las criptoestafas - 30 de abril de 2024
- ¿Cómo encontrar el mejor proveedor de soluciones DMARC para su empresa? - 25 de abril de 2024