• Explicación del límite de consultas DNS de SPF 10 (y cómo solucionarlo)

Explicación del límite de consultas DNS de SPF 10 (y cómo solucionarlo)

Blog

Descubre las limitaciones de los registros SPF, incluido el límite de 10 consultas DNS, qué se tiene en cuenta para calcularlo, por qué se produce el error «PermError» y cómo solucionar los límites de SPF mediante el «flattening» o el SPF alojado.

por Ahona Rudra

Última actualización:
15 15 minutos de lectura
Explicación del límite de consultas DNS de SPF 10 (y cómo solucionarlo)
Índice-

Puntos clave

  • Si tu registro SPF genera más de 10 consultas DNS, los servidores de correo de destino devuelven el siguiente mensaje: «SPF PermError: demasiadas consultas DNS», 
  • En SPF, un número excesivo de consultas DNS se considera un error grave. Tus correos electrónicos pueden ser rechazados, desviados a la carpeta de spam o descartados sin previo aviso, incluso cuando sean totalmente legítimos. 
  • Los mecanismos como «ip4» e «ip6» no cuentan para el límite, mientras que «include» y «mx» pueden consumir múltiples búsquedas cada uno, especialmente con referencias anidadas.
  • Para mantenerse dentro del límite, elimine los servicios que no utilice, evite «ptr» y «mx» siempre que sea posible, sustituya los mecanismos que requieren muchas búsquedas por referencias IP directas y considere la posibilidad de aplanar automáticamente los registros SPF.

Para comprender las limitaciones de los registros SPF, hay que empezar por el límite de 10 consultas DNS. Si tu registro SPF genera más de 10 consultas DNS, los servidores de correo receptores devuelven el mensaje «SPF PermError: demasiadas consultas DNS», y DMARC lo interpreta como un fallo grave. Esto hace que los correos electrónicos legítimos sean rechazados o enviados a la carpeta de spam sin previo aviso.

Este límite se deriva del RFC 7208, que restringe la evaluación del SPF a un máximo de 10 mecanismos de consulta DNS por comprobación. El problema es que la mayoría de los dominios superan este límite sin darse cuenta, a menudo debido a inclusiones anidadas y a servicios obsoletos.

En esta guía, descubrirás qué elementos cuentan para el límite, por qué los registros SPF fallan sin avisar y cómo solucionar y evitar de forma permanente los errores de búsqueda.

Verificador de SPF: comprueba tu número actual de consultas con nuestro verificador de SPF gratuito

¿Qué es el límite de búsqueda DNS SPF 10?

La especificación SPF, definida en el RFC 7208, limita cada comprobación SPF a un máximo de 10 mecanismos de consulta DNS.

En pocas palabras, cada vez que un servidor de correo receptor evalúa tu registro SPF y tiene que realizar una consulta DNS adicional, eso cuenta para este límite.

Estas consultas se activan mediante mecanismos como:

  • incluye
  • a
  • mx
  • ptr
  • existe
  • redirigir

En cuanto se requiere la undécima consulta, la evaluación SPF se detiene inmediatamente y devuelve:

SPF PermError: demasiadas consultas DNS

Cada consulta DNS consume tiempo y recursos —como CPU, ancho de banda y memoria— en el servidor receptor. Sin un límite, un agente malintencionado podría crear un registro SPF con inclusiones muy anidadas, lo que obligaría a los servidores a realizar cientos de consultas DNS.

Esto convertiría, en la práctica, la evaluación del SPF en un vector de denegación de servicio (DoS).

Al imponer un límite estricto de 10 consultas, la especificación SPF garantiza:

  • tiempos de tramitación de los correos electrónicos previsibles
  • protección contra el uso indebido del DNS
  • rendimiento estable en todos los sistemas de correo electrónico 

¿Qué se tiene en cuenta para el límite de consultas DNS de SPF 10? 

No todos los mecanismos del registro SPF activan una consulta DNS. Saber qué cuenta y qué no es la forma más rápida de reducir el número de consultas.

Mecanismos de protección solar que son eficaces frente a los que no lo son

Mecanismo / Modificador¿Cuenta para el límite?¿Por qué?
incluyen:Inicia una consulta del registro SPF del dominio al que se hace referencia, además de cualquier consulta anidada
aResuelve los registros A/AAAA del dominio
mxResuelve los registros MX y, a continuación, los registros A/AAAA para cada servidor de correo
ptrRealiza búsquedas DNS inversas; poco fiable y consume muchos recursos
existeRealiza una consulta DNS para comprobar si un dominio se resuelve
redirect=Inicia una consulta del registro SPF de otro dominio
ip4:NoDirección IP directa; no es necesario realizar una consulta DNS
ip6:NoDirección IPv6 directa; no es necesario realizar una consulta DNS
todoNoMecanismo genérico; no es necesario realizar ninguna búsqueda
v=spf1NoEtiqueta de versión; no es un mecanismo de búsqueda
Consulta inicial del registro TXT de SPFNoEl mero hecho de consultar el registro SPF no cuenta

Por eso incluye: y los mecanismos son los que más contribuyen a los fallos de SPF, especialmente cuando contienen búsquedas anidadas.

Sustituir los mecanismos que requieren muchas consultas por ip4: o ip6: (siempre que sea posible) es una de las formas más eficaces de mantenerse dentro del límite.

Situación habitual: proveedores de servicios gestionados (MSP) que administran varios registros SPF de clientes

Los proveedores de servicios gestionados suelen tener problemas con los límites de SPF cuando sus clientes utilizan varias plataformas de correo electrónico. Un cliente típico de un MSP puede utilizar Office 365, Mailchimp, Salesforce y HubSpot, y cada una de ellas requiere declaraciones «include» que pueden alcanzar rápidamente el límite de 10 consultas.

Por qué probablemente estés llegando al límite de SPF (inclusiones anidadas)

Es posible que tu historial solo incluya tres o cuatro incluir: líneas, pero aún así estás alcanzando el límite. Te explicamos por qué.

v=spf1 include:sendgrid.net include:_spf.google.com include:salesforce.com ~all

A primera vista, parece que se trata de tres consultas DNS, pero la evaluación del SPF no se detiene ahí. Sigue cada inclusión de forma recursiva.

Esto es lo que ocurre en realidad:

  1. incluir:sendgrid.net → El registro SPF de SendGrid contiene 2 include: → 3 búsquedas en total
  2. incluir:_spf.google.com → El registro SPF de Google contiene 3 mecanismos adicionales → 4 consultas en total
  3. incluir:salesforce.com → El registro SPF de Salesforce contiene 3 mecanismos adicionales → 4 consultas en total

Total: 11 consultas DNS

Entre incluye: que añadas no es solo una consulta. Es una consulta más todas las que requieran los SPF . Por eso se alcanza el límite mucho más rápido de lo que la mayoría de los propietarios de dominios esperan, especialmente cuando se utilizan varios proveedores de servicios de correo electrónico.

He aquí por qué más de 10 000 clientes confían en la plataforma de PowerDMARC

  • Reducción drástica de los intentos de suplantación de identidad y de los correos electrónicos no autorizados gracias a la inteligencia sobre amenazas basada en la inteligencia artificial
  • Incorporación más rápida + gestión automatizada de la autenticación que ahorra horas de trabajo a los equipos de TI
  • Información sobre amenazas en tiempo real e informes cifrados con PGP en todos los dominios
  • Mejores tasas de entrega de correo electrónico gracias a estrictas Aplicación de DMARC con el asesoramiento de expertos

Los primeros 15 días corren por nuestra cuenta.

Comience la prueba gratuita

¿Por qué existe el límite de búsqueda SPF 10?

El límite de 10 consultas DNS puede parecer restrictivo, sobre todo para las organizaciones que utilizan varios proveedores de servicios de correo electrónico, pero se ha establecido por motivos importantes de seguridad y rendimiento que los administradores y los equipos de seguridad deben comprender.

Resumen: El límite de consultas protege la infraestructura DNS contra el uso indebido al tiempo que garantiza el procesamiento oportuno del correo electrónico, pero requiere una gestión cuidadosa de los registros SPF.

Prevención de ataques de denegación de servicio

El límite de 10 búsquedas adicionales se impone para evitar una carga excesiva en el DNS y prevenir ataques de denegación de servicio (DoS).

Sin este límite, un atacante podría crear un registro SPF con cientos de inclusiones anidadas, lo que obligaría a todos los servidores de correo que reciban y procesen un correo electrónico de ese dominio a realizar un número enorme de consultas DNS. Esto podría saturar los servidores DNS y reducir el rendimiento en toda la red.

Garantizar el procesamiento oportuno del correo electrónico

Cada consulta DNS realizada durante una comprobación SPF aumenta la latencia en el proceso de entrega del correo electrónico. Si se permitieran consultas ilimitadas de los registros SPF, el tiempo necesario para la verificación SPF podría aumentar significativamente, lo que provocaría tiempos de espera en las consultas DNS y fallos temporales en los servidores DNS.

El límite de 10 búsquedas garantiza que las comprobaciones SPF se puedan completar de forma rápida y fiable sin crear cuellos de botella en la entrega del correo electrónico.

Mantener la estabilidad del DNS

La infraestructura DNS es un recurso compartido. Permitir consultas ilimitadas durante la autenticación SPF supondría una carga excesiva para los resolutores recursivos y los servidores de nombres autoritativos, especialmente en el caso de los remitentes con un gran volumen de tráfico.

El límite protege el ecosistema DNS en general al mantener los volúmenes de consultas relacionadas con SPF en un nivel manejable.

¿Qué sucede cuando se supera el límite de búsqueda de SPF?

Superar el límite de consultas SPF no solo da lugar a una simple advertencia. Provoca un error grave que puede afectar directamente a que tus correos lleguen a las bandejas de entrada de tus destinatarios.

La evaluación de SPF se detiene en la consulta 11

El SPF se evalúa de izquierda a derecha. Cuando el servidor receptor encuentra el undécimo mecanismo de consulta DNS o modificador en tu registro SPF, detiene inmediatamente el procesamiento del registro y devuelve:

SPF PermError: demasiadas consultas DNS

Se trata de un error de evaluación de SPF permanente, no de un fallo leve ni de un resultado neutro. El receptor considera que el registro SPF no es válido porque no puede completar la autenticación.

DMARC considera el error «PermError» de SPF como un fallo de SPF

Cuando SPF devuelve un PermError, DMARC lo interpreta como un fallo de SPF. Si se requería la alineación de SPF para que DMARC pasara la verificación, es posible que el mensaje no supere la autenticación DMARC en absoluto.

El resultado depende entonces de:

  • Tu política DMARC (p=none, quarantineo rechazar)
  • Las reglas de filtrado del servidor receptor
  • Si DKIM se supera y se alinea correctamente

Los correos electrónicos pueden ser rechazados, puestos en cuarentena o enviados a la carpeta de correo no deseado

Cuando SPF falla debido a un PermError:

  • Es posible que algunos proveedores rechacen el correo electrónico directamente
  • Es posible que otros lo envíen a la carpeta de correo no deseado o a la cuarentena
  • Los filtros de seguridad pueden marcar el mensaje como sospechoso o no autenticado

Esto resulta especialmente perjudicial con políticas DMARC más estrictas, como p=quarantine o p=reject.

Los entornos de Microsoft son especialmente sensibles en este aspecto. Outlook y Exchange Online aplican de forma estricta los controles de autenticación, por lo que los errores «PermError» de SPF pueden afectar considerablemente a la capacidad de entrega de las organizaciones que envían correos a destinatarios de Office 365.

Dado que el SPF se evalúa de izquierda a derecha, es posible que algunos servicios de envío se autentiquen correctamente antes de que se alcance el límite de consultas, mientras que otros fallen más adelante en la cadena.

Eso significa que:

  • Algunos correos electrónicos parecen enviarse con normalidad
  • Otros fallan en la autenticación de forma inesperada
  • El problema resulta difícil de diagnosticar sin herramientas de generación de informes DMARC y de análisis SPF

Por eso, los problemas relacionados con los límites de consulta del SPF suelen pasar desapercibidos hasta que disminuye la capacidad de entrega o los informes DMARC revelan fallos intermitentes.

Otras causas del error «SPF PermError»

Superar el límite de 10 consultas DNS es la causa más habitual de un error «PermError» de SPF, pero no es la única. Los errores «PermError» también pueden producirse cuando:

  • Múltiples registros SPF para el mismo dominio
  • El registro SPF contiene errores de sintaxis
  • Se utilizan mecanismos obsoletos o que ya no son compatibles
  • Entre las circulares incluyen: las sentencias crean bucles de búsqueda infinitos

Cualquiera de estos problemas puede impedir la autenticación SPF y afectar negativamente a la capacidad de entrega del correo electrónico.

Comprueba tu política DMARC para conocer tu nivel de riesgo con un comprobador de registros DMARC

Cualquiera de estos problemas puede provocar fallos en el SPF y a que los correos electrónicos no se entreguen, por lo que es importante validar toda tu configuración de SPF con regularidad.

El límite de búsqueda de valores nulos de SPF: la otra restricción con la que podrías estar encontrando problemas

La mayoría de las guías sobre SPF se limitan al límite de 10 consultas DNS, pero en el RFC 7208 existe una segunda restricción que puede provocar el mismo error incluso si el número de consultas es muy inferior a 10: el límite de consultas nulas.

Una consulta nula es una consulta DNS que no devuelve ningún resultado válido.

Esto ocurre cuando una consulta devuelve:

  • NXDOMAIN (el dominio no existe)
  • NOERROR sin registros (respuesta vacía)

El RFC 7208 limita la evaluación del SPF a un máximo de dos consultas nulas por comprobación.

Si se produce una tercera consulta sin resultados, el servidor receptor devuelve:

SPF PermError

Esto significa:

Puedes provocar un error permanente de SPF (SPF PermError) incluso si tu registro tiene menos de 10 consultas DNS.

Eso es lo que hace que las búsquedas nulas sean peligrosas, ya que son más difíciles de detectar y a menudo se pasan por alto durante las auditorías de SPF.

Las consultas sin resultados suelen deberse a entradas SPF obsoletas o mal configuradas:

  • incluir: apuntar a un dominio que ya no tiene un registro SPF
  • un o mx mecanismos que hacen referencia a dominios sin registros DNS válidos
  • Proveedores de servicios de correo electrónico obsoletos o fuera de servicio
  • Errores tipográficos en los nombres de dominio dentro de los mecanismos SPF

Basta con una sola llamada a «include» obsoleta para que se produzca una búsqueda nula en cada comprobación de SPF sin que el usuario se dé cuenta.

A continuación se explica en qué se diferencian el límite de 10 búsquedas y el límite de búsquedas nulas:

LímiteQué mideUmbralCondición de fallo
Límite de consultas DNSNúmero total de mecanismos de consulta DNS1011.ª consulta
Límite de búsqueda nuloRespuestas DNS fallidas o vacías23.ª búsqueda en el conjunto vacío

Ambas opciones dan el mismo resultado: SPF PermError.

Para evitar errores de búsqueda en campos vacíos:

  • Revisa periódicamente tu registro SPF para detectar entradas obsoletas incluyen: declaraciones
  • Elimina los servicios que ya no utilices
  • Comprueba que todos los dominios a los que se hace referencia devuelvan registros DNS válidos
  • Utiliza un comprobador de SPF que señale las consultas nulas, no solo el recuento total de consultas

El verificador SPF de PowerDMARC identifica tanto las consultas válidas como las nulas, lo que te permite detectar estos errores ocultos antes de que afecten a la capacidad de entrega.

Cómo comprobar si su registro SPF supera el límite

Determinar si tu registro SPF supera el límite de 10 consultas DNS es el primer paso para solucionar los problemas de entrega. Hay varias formas de realizar una comprobación del registro SPF y verificar su recuento actual de consultas.

Resumen: La supervisión periódica del SPF mediante herramientas de diagnóstico y validación manual ayuda a evitar infracciones de los límites de consulta antes de que afecten al envío de correo electrónico.

Utilice una herramienta de diagnóstico SPF.

El uso de una herramienta de diagnóstico de SPF puede ayudar a verificar que un registro SPF sea válido y funcione correctamente. Estas herramientas analizan tu registro SPF, cuentan cada consulta DNS, incluidas las inclusiones anidadas, y señalan cualquier error o advertencia.

El verificador gratuito de registros SPF de PowerDMARC te permite ver al instante el recuento total de consultas, identificar qué mecanismos consumen más consultas y detectar errores de configuración antes de que provoquen problemas de entrega.

Rastrea manualmente tu registro SPF

Si prefiere inspeccionar su registro SPF usted mismo, puede contar manualmente las búsquedas de DNS revisando cada mecanismo del registro.

Empieza por el registro TXT SPF de tu dominio y cuenta todos los mecanismos «include», «a», «mx», «ptr», «redirect» y «exists». A continuación, para cada «include», busca el registro SPF del dominio al que hace referencia y cuenta también los mecanismos que provocan la búsqueda.

Las inclusiones anidadas se acumulan rápidamente, por lo que las organizaciones que utilizan varios proveedores de servicios de correo electrónico suelen superar el límite sin darse cuenta.

Supervisar la validación del SPF a lo largo del tiempo.

Los registros SPF no son estáticos. A medida que añadas o elimines proveedores de servicios de correo electrónico, cambies de entorno de alojamiento o actualices tu infraestructura de correo electrónico, tu registro SPF también cambiará. Se recomienda validar los registros SPF después de realizar cambios para garantizar el cumplimiento del límite de 10 consultas.

Configurar un monitoreo continuo a través de la plataforma PowerDMARC le brinda visibilidad continua de su configuración SPF y le avisa cuando los cambios superan el límite de su registro.

Cómo corregir y optimizar tu registro SPF

Si su registro SPF supera o se aproxima al límite de 10 búsquedas DNS, hay varias medidas prácticas que puede tomar para reducir el número de búsquedas sin sacrificar la cobertura de la autenticación del correo electrónico.

Resumen: La optimización de SPF implica eliminar los servicios que no se utilizan, sustituir los mecanismos que requieren muchas consultas por direcciones IP directas e implementar una gestión automatizada para infraestructuras complejas.

Comprueba tu registro SPF actual y cuenta el número de consultas

Empieza por analizar tu registro SPF con un verificador de SPF fiable. Esto te ayuda a identificar el recuento total de consultas DNS, incluidas las inclusiones anidadas, y señala problemas como consultas nulas o configuraciones erróneas. También destaca qué mecanismos consumen más consultas.

El recuento manual es posible, pero a menudo resulta impreciso debido a la recursividad dentro de los dominios incluidos, por lo que se recomienda utilizar una herramienta siempre que sea posible.

Elimine los servicios que no utilice o que no sean necesarios.

La optimización más sencilla consiste en auditar su registro SPF y eliminar cualquier mecanismo que haga referencia a servicios que ya no utiliza.

Con el tiempo, las organizaciones añaden proveedores de servicios de correo electrónico, plataformas de marketing y herramientas de terceros a su registro SPF, pero se olvidan de eliminarlos cuando ya no están activos.

Para reducir el número de búsquedas necesarias, las organizaciones deben eliminar los servicios que no se utilizan de su registro SPF. Esto también implica eliminar los valores SPF predeterminados que se añadieron durante la configuración inicial, pero que actualmente no tienen ninguna utilidad.

Evita ptr y minimiza el uso innecesario de mx .

El mecanismo no es nada recomendable según los estándares de SPF. Realiza búsquedas DNS inversas para cada IP remitente, lo que lo hace lento, poco fiable y consume muchos recursos de búsqueda. Si está presente, elimínelo y sustitúyalo por referencias directas a la IP.

El mecanismo también puede aumentar el número de consultas. Primero resuelve los registros MX y, a continuación, realiza consultas adicionales para cada servidor de correo asociado. Si tu infraestructura es estable, sustituye mx por ip4: o ip6: para una mayor eficiencia.

Reemplazar los mecanismos que requieren muchas búsquedas por ip4 o ip6.

Cada mecanismo «include», «a» y «mx» requiere al menos una consulta DNS. Siempre que sea posible, sustitúyalos por mecanismos ip4 o ip6 que especifiquen directamente las direcciones IP autorizadas. El uso de mecanismos ip4 o ip6 en los registros SPF no requiere búsquedas adicionales y puede ayudar a mantener el cumplimiento del límite de búsquedas.

Por ejemplo, si el registro SPF de un proveedor de servicios de correo electrónico se resuelve en un conjunto conocido de direcciones IP estáticas, puede enumerar esas IP directamente en lugar de utilizar un «include» que activa múltiples búsquedas de DNS.

Utilizar la opción «Aplanar SPF» (solución temporal)

La conversión a SPF sustituye incluyen: mecanismos con sus direcciones IP resueltas, lo que reduce las consultas DNS casi a cero. Para que tu registro vuelva rápidamente a estar dentro del límite, utiliza el aplanamiento SPF automatizado y, a continuación, valida el registro actualizado antes de publicarlo.

Sin embargo, esto conlleva algunas desventajas. Si un proveedor cambia sus direcciones IP y tu registro no se actualiza, los correos electrónicos legítimos pueden no superar la verificación SPF. La simplificación manual requiere una supervisión y un mantenimiento continuos.

Utiliza SPF alojado o macros SPF (solución permanente)

Para garantizar la estabilidad a largo plazo, plantéate utilizar una solución SPF alojada, como PowerDMARC. Estos sistemas gestionan dinámicamente tu registro SPF mediante macros o resolución externa, lo que garantiza que no se superen los límites de consultas de forma automática.

Este enfoque elimina:

  • Actualizaciones manuales cuando cambian las direcciones IP de los proveedores
  • Riesgos derivados de registros desactualizados y simplificados
  • Gastos generales de mantenimiento continuo

Resulta especialmente útil para las organizaciones que utilizan múltiples servicios de terceros o que gestionan infraestructuras de correo electrónico complejas.

Evita el mecanismo ptr.

Se desaconseja encarecidamente el uso del mecanismo ptr, ya que puede provocar un aumento de las consultas necesarias, lo que da lugar a problemas de Permerror.

El mecanismo ptr realiza una consulta DNS inversa para cada dirección IP que se conecta, lo cual es lento y poco fiable. La propia especificación SPF desaconseja su uso. Si tu registro SPF incluye actualmente un mecanismo ptr, elimínalo y sustitúyelo por referencias IP directas.

Minimizar el uso del mecanismo mx.

Evitar el mecanismo MX en los registros SPF puede ayudar a mantenerse dentro del límite de 10 consultas DNS. El mecanismo MX resuelve primero el registro MX del dominio y, a continuación, realiza consultas adicionales para resolver la dirección IP de cada servidor de correo incluido en la lista.

Si tu dominio tiene varios registros MX, un único mecanismo «mx» puede requerir varias consultas. Sustitúyelo por entradas ip4 o ip6 para tus servidores de correo siempre que sea posible.

Consolidar incluir declaraciones

Si su registro SPF tiene varios mecanismos «include» que apuntan a servicios relacionados, compruebe si se pueden consolidar.

Algunos proveedores de servicios de correo electrónico comparten infraestructura superpuesta, lo que significa que es posible que esté realizando búsquedas redundantes. Revise cada inclusión para determinar si sigue siendo necesaria y si se puede hacer referencia directa a las direcciones IP subyacentes.

Validar después de cada cambio

Es esencial validar los registros SPF después de realizar cambios para garantizar el cumplimiento del límite de 10 búsquedas.

Incluso una pequeña modificación, como añadir una sola nueva «inclusión» para una plataforma de marketing, puede hacer que tu registro supere el límite si provoca búsquedas anidadas. Comprueba tu registro con una herramienta de diagnóstico de SPF después de cada actualización para confirmar que sigue siendo válido.

Aplanamiento de registros SPF: qué es y cuándo utilizarlo

La simplificación de registros SPF es una técnica que se utiliza para optimizar los registros SPF con el fin de superar el límite de 10 consultas DNS para SPF. Es una de las soluciones más debatidas para las organizaciones con infraestructuras de correo electrónico complejas, pero conlleva algunas desventajas que es importante comprender.

Para una guía completa de optimización sobre cómo optimizar tu registro SPF, lee nuestra entrada del blog sobre la guía de optimización de SPF

Cómo funciona el aplanamiento de registros SPF

El aplanamiento de registros SPF sustituye los mecanismos que provocan búsquedas en un registro SPF por sus direcciones IP o rangos CIDR correspondientes, lo que reduce el número de consultas DNS necesarias para verificar el registro SPF.

En lugar de incluir una referencia como «include:emailprovider.com», que activa una o varias búsquedas DNS, resuelve esa referencia a sus direcciones IP subyacentes y las enumera directamente en su registro utilizando mecanismos ip4 o ip6.

Por ejemplo, si «include:emailprovider.com» se resuelve en tres direcciones IP, la simplificación sustituye la instrucción «include» por esas tres entradas IPv4. La comprobación SPF devuelve ahora el mismo resultado sin necesidad de realizar consultas DNS adicionales para ese proveedor.

Cuando aplanar ayuda

Aplanar un registro SPF puede reducir el número de mecanismos y modificadores de consulta DNS, de modo que sea inferior a 10. Esto resulta especialmente útil cuando:

  • Tu dominio envía correos electrónicos a través de muchos servicios de terceros y solo el recuento de inclusiones supera los 10.
  • Ya ha eliminado los servicios que no utiliza y ha consolidado lo que ha sido posible, pero sigue superando el límite.
  • Necesita una forma rápida de poner su registro en conformidad mientras planifica una estrategia de optimización a largo plazo.

Por qué la conversión manual de SPF es una solución temporal

La simplificación del registro SPF puede hacer que este quede rápidamente por debajo del límite de 10 consultas, pero simplificarlo manualmente no es una solución a largo plazo, ya que conlleva una serie de riesgos que pueden afectar al envío de correos electrónicos con la misma facilidad.

Riesgo 1: Cambio de las direcciones IP de los proveedores

La mayoría de los proveedores de servicios de correo electrónico rotan o amplían sus rangos de IP de envío sin previo aviso.

Cuando simplificas manualmente tu registro SPF:

  • si introduces esas direcciones IP de forma fija en tu DNS
  • pero tu proveedor sigue evolucionando entre bastidores

En cuanto cambie su lista de direcciones IP, tu registro SPF quedará desactualizado y los correos electrónicos legítimos empezarán a fallar en la autenticación.

Riesgo 2: Tamaño del registro SPF (255 caracteres + límites del DNS)

La simplificación sustituye las entradas que incluyen varias direcciones IP, lo que puede hacer que tu registro SPF se sature rápidamente.

Esto plantea dos problemas:

  • Los registros TXT del DNS tienen un límite de 255 caracteres por cadena
  • Los registros SPF demasiado largos pueden provocar errores de análisis o superar los límites del DNS

Intentar «corregir» los límites de búsqueda puede provocar, sin querer, errores de sintaxis o problemas de truncamiento de registros.

Riesgo 3: Falta de supervisión o visibilidad

El aplanamiento manual es estático. No hay ninguna forma integrada de:

  • detectar cuándo cambian los rangos de IP
  • Recuento de consultas de pistas a lo largo del tiempo
  • avisarte de los errores de autenticación

Esto significa que los problemas suelen pasar desapercibidos hasta que disminuye la capacidad de entrega.

Riesgo 4: Carga que supone el mantenimiento continuo

Cada vez que:

  • Añadir un nuevo servicio de correo electrónico
  • modificar la infraestructura
  • o si tu proveedor actualiza las direcciones IP

Debes volver a generar y validar manualmente tu registro SPF.

Para los equipos que gestionan varios dominios o clientes, esto se vuelve rápidamente insostenible.

Manual El aplanamiento SPF resuelve el síntoma (límite de consultas), no la complejidad subyacente (infraestructura dinámica).

Aquí es donde entran en juego las soluciones SPF alojadas.

En lugar de introducir direcciones IP fijas, plataformas como PowerDMARC gestionan dinámicamente tu registro SPF mediante macros y actualizaciones automáticas, lo que te permite mantenerte dentro del límite de consultas sin necesidad de intervenir manualmente de forma constante.

Otras limitaciones de los registros SPF que hay que conocer

El límite de 10 consultas DNS es la restricción más conocida del SPF, pero no es la única. Los propietarios de dominios deben conocer estas limitaciones adicionales de los registros SPF para evitar fallos de autenticación inesperados.

Resumen: Más allá del límite de 10 consultas, el SPF tiene restricciones en cuanto al número de registros, los límites de caracteres, las consultas nulas y los escenarios de reenvío que afectan a la autenticación del correo electrónico.

Solo un registro SPF por dominio.

La especificación SPF requiere que cada dominio publique solo un único registro TXT SPF.

Si el registro SPF contiene varios registros SPF para un dominio, esto puede provocar un error «SPF PermError», y el servidor receptor podría rechazar el correo electrónico o gestionarlo incorrectamente. Si necesitas autorizar a remitentes adicionales, añádelos a tu registro SPF actual en lugar de crear uno nuevo.

SPF comprueba la ruta de retorno, no la dirección del remitente.

SPF autentica el dominio en la dirección de la ruta de retorno, no en el campo «De» legible por humanos que ve el destinatario. Esto significa que un atacante puede falsificar la dirección «De» mientras pasa SPF utilizando un dominio de ruta de retorno diferente.

DMARC soluciona esta deficiencia al exigir una coincidencia o alineación entre el dominio del campo «De» legible por humanos y el dominio autenticado por SPF.

El límite de 255 caracteres por cadena

Aunque un registro SPF puede contener más de 255 caracteres en total, un único registro TXT de DNS está limitado a 255 caracteres. Los registros SPF más largos deben dividirse en varias cadenas dentro del mismo registro TXT.

La mayoría de los proveedores de DNS gestionan esto automáticamente, pero las divisiones mal configuradas pueden provocar errores de análisis.

Límite de búsqueda nulo

Además del límite de 10 búsquedas DNS, la especificación SPF también limita el número de «búsquedas nulas», que son consultas DNS que no devuelven ningún registro (ya sea una respuesta vacía o una respuesta NXDOMAIN).

Superar este límite, que suele ser de dos búsquedas nulas, también puede desencadenar un error SPF PermError.

Sin protección para los correos electrónicos reenviados

Cuando se reenvía un correo electrónico, la dirección IP del remitente cambia a la del servidor de reenvío, que probablemente no figure en el registro SPF del remitente original. Esto puede hacer que el correo reenviado no supere las comprobaciones SPF, incluso aunque el mensaje original fuera legítimo.

Buenas prácticas para no superar el límite de consultas SPF

Mantener el límite de consultas DNS de SPF 10 requiere una disciplina constante. Sigue estas recomendaciones para mantener tu registro optimizado y evitar fallos inesperados:

  • Revisa tu registro SPF cada vez que añadas o elimines una plataforma de envío
  • Nunca publiques más de un registro SPF por dominio
  • Evita el ptr , elimínalo si existe en tu registro
  • Usa ip4: e ip6: siempre que los rangos de IP sean estables y se conozcan
  • Configura los informes DMARC para detectar a tiempo los fallos intermitentes de SPF
  • Utiliza un sistema de supervisión automática (como PowerDMARC) para recibir alertas cuando cambie el número de consultas
  • Considera la posibilidad de utilizar SPF alojado si gestionas más de tres o cuatro servicios de envío de terceros

Cómo ayuda el SPF alojado de PowerDMARC a evitar los errores en la consulta del SPF 

La gestión manual del SPF se complica rápidamente en los entornos de correo electrónico actuales. Cada nueva plataforma de correo electrónico, herramienta de marketing, CRM, servicio de asistencia técnica o servicio en la nube puede añadir inclusiones SPF, búsquedas anidadas y una mayor carga de mantenimiento.

El aplanamiento manual de la lista SPF puede reducir temporalmente el número de consultas, pero plantea otro problema: mantener la exactitud de las direcciones IP fijas a medida que los proveedores actualizan su infraestructura de envío.

El SPF alojado de PowerDMARC, o PowerSPF, resuelve el problema de gestión subyacente manteniendo los registros SPF actualizados a medida que cambia su infraestructura de envío. A diferencia del aplanamiento estático de SPF, el SPF alojado gestiona dinámicamente su configuración de SPF en segundo plano, lo que ayuda a las organizaciones a cumplir con la RFC 7208 sin necesidad de un mantenimiento constante del DNS.

Con PowerSPF, las organizaciones pueden:

  • Actualizar automáticamente los registros SPF cuando cambien las direcciones IP de los proveedores
  • Utiliza macros SPF para no superar el límite de 10 consultas DNS ni los límites de longitud de caracteres del DNS
  • Realiza un cambio único en el DNS en lugar de editar manualmente los registros SPF una y otra vez
  • Gestionar configuraciones SPF complejas que abarquen múltiples proveedores, inclusiones anidadas, infraestructura regional y dominios corporativos
  • Supervisa los errores de SPF, las consultas nulas y los problemas de autenticación antes de que afecten a la capacidad de entrega

Esto resulta especialmente útil para las organizaciones que utilizan simultáneamente plataformas como Microsoft 365, Salesforce, HubSpot, SendGrid, Mailchimp y otros proveedores de correo externos, ya que las inclusiones anidadas pueden hacer que los registros SPF superen los límites establecidos por el RFC sin que se detecte.

Como explica un cliente de PowerDMARC:

«PowerDMARC resulta de gran ayuda con los errores de SPF, sobre todo al facilitar la agrupación de SPF a los clientes que necesitan más inclusiones de SPF de las que, en principio, están permitidas técnicamente».

Con el alisado supervisión automatizada, supervisión de consultas en tiempo real, alertas de errores y herramientas para SPF, DKIM, DMARC y BIMI, PowerDMARC ayuda a las organizaciones a mantener los registros SPF dentro del límite de consultas y a conservar una configuración de autenticación más limpia.

Para empezar, comprueba el número de consultas de SPF con el verificador de SPF de PowerDMARC e identifica los problemas antes de que afecten a la autenticación del correo electrónico.


Preguntas frecuentes

1. ¿Cuál es el límite de consultas DNS del SPF 10?

La especificación SPF, definida en el RFC 7208, limita cada comprobación SPF a un máximo de 10 mecanismos de consulta DNS.

Si tu registro SPF requiere más de 10 consultas durante la evaluación, el servidor receptor devuelve un error «SPF PermError», que DMARC considera un fallo. Esto puede provocar que los correos electrónicos legítimos sean rechazados o enviados a la carpeta de spam.

2. ¿Qué mecanismos SPF cuentan para el límite de 10 consultas?

Los siguientes mecanismos activan consultas DNS y cuentan para el límite:

  • incluye
  • a
  • mx
  • ptr
  • existe
  • redirect=

Estos no cuentan:

  • ip4, ip6 (direcciones IP directas)
  • todo (categoría genérica)
  • v=spf1 (etiqueta de versión)
  • La consulta DNS inicial para recuperar tu registro SPF

3. ¿Qué es un error «PermError» de SPF?

Se produce un error SPF PermError (error permanente) cuando un servidor receptor no puede evaluar correctamente tu registro SPF.

La causa más habitual es superar el límite de 10 consultas DNS, pero también puede deberse a:

  • errores sintácticos
  • varios registros SPF
  • Violaciones del límite de consultas
  • La circular incluye

Cuando esto ocurre, el SPF falla por completo y puede afectar al envío de correos electrónicos.

4. ¿Cuál es el límite de consultas de registros nulos del SPF?

Además del límite de 10 consultas, el RFC 7208 también restringe las consultas nulas, es decir, aquellas consultas DNS que no devuelven ningún resultado (NXDOMAIN o respuestas vacías).

El límite es de 2 consultas sin resultado por cada comprobación de SPF.

Si tu registro SPF activa una tercera consulta nula, el servidor receptor devuelve un PermError, incluso si el recuento total de consultas es inferior a 10.

5. ¿La optimización de SPF soluciona el límite de 10 consultas?

Sí, pero solo de forma temporal.

La compresión SPF sustituye los mecanismos de inclusión por direcciones IP directas, lo que reduce las consultas de DNS. Sin embargo, requiere un mantenimiento constante, ya que los proveedores de servicios de correo electrónico actualizan con frecuencia sus rangos de IP.

Si tu registro simplificado queda desactualizado, los correos electrónicos legítimos pueden no superar las comprobaciones SPF.

6. ¿Cómo puedo comprobar cuántas consultas DNS utiliza mi registro SPF?

Puedes utilizar una herramienta de comprobación de SPF para analizar tu registro y contar las consultas DNS, incluidas las inclusiones anidadas.

El verificador SPF de PowerDMARC muestra:

  • número total de consultas
  • Recuento de consultas
  • qué mecanismos están consumiendo consultas

Esto te ayuda a detectar problemas antes de que afecten a la capacidad de entrega.

7. ¿Cuál es la diferencia entre las imágenes planas de SPF y las macros de SPF?

La función de aplanamiento de SPF sustituye de forma estática las inclusiones por direcciones IP, lo que reduce el número de consultas, pero requiere actualizaciones manuales.

Las macros SPF (utilizadas en soluciones SPF alojadas) resuelven dinámicamente los registros SPF durante la evaluación, lo que te permite respetar los límites de consultas sin tener que gestionar manualmente las listas de IP.

Las macros son más escalables y resultan más adecuadas para configuraciones de correo electrónico complejas o con varios proveedores.

8. ¿Con qué frecuencia debo revisar mi registro SPF?

Deberías revisar tu registro SPF:

  • cada vez que añadas o elimines un servicio de correo electrónico
  • tras los cambios en la infraestructura
  • al menos una vez al mes

En el caso de configuraciones complejas, se recomienda realizar un seguimiento continuo para detectar a tiempo los problemas relacionados con los límites de búsqueda y mantener una capacidad de entrega constante.

Últimas publicaciones de Ahona Rudra (ver todas)
Última actualización:
Caso práctico de DMARC MSP: Cómo QIT Solutions simplificó la seguridad del correo electrónico para los clientes...PowerDMARC figura entre las 100 empresas de software de más rápido crecimiento de G2 20...