SPF todo

El SPF existe en el DNS de su dominio como un registro TXT con un montón de mecanismos y modificadores que representan instrucciones específicas. El mecanismo SPF all está presente en el extremo derecho de un registro SPF, precedido por "-" o "~". Veamos cuál es la diferencia entre los mecanismos SPF -all y ~all para determinar cuándo debe configurarlos.

SPF -todos vs ~todos

Ambos mecanismos SPF -all y ~all significan "NO PASA" para la autenticación SPF. En los últimos tiempos, para la mayoría de los proveedores de servicios de correo electrónico, no hay diferencia entre el mecanismo -all y ~all, y se devuelve el mismo resultado. Sin embargo, este no era el caso hace unos años.

¿Cómo funcionaba el mecanismo SPF all (Softfail vs Fail) antes de DMARC?

El DMARC se creó mucho tiempo después de que el SPF ya estuviera en el mercado como protocolo estándar de autenticación del correo electrónico. En ese momento el mecanismo SPF -all softfail funcionaba de la siguiente manera: 

Supongamos que su registro SPF fuera 

v=spf1 include:spf.domain.com ~all (donde ~all significa SPF Softfail)

El servidor de correo electrónico del receptor habría realizado una búsqueda de DNS para consultar el registro SPF del remitente. Si el dominio de la ruta de retorno del correo electrónico no figuraba en el registro del remitente, el servidor receptor habría devuelto un resultado SPF "NO PASA", pero habría entregado el correo electrónico a la bandeja de entrada del receptor.

Ahora supongamos que su registro SPF fuera: 

v=spf1 include:spf.dominio.com -all (donde -all significa Fallo SPF)

El servidor de correo electrónico del receptor habría realizado una búsqueda de DNS para consultar el registro SPF del remitente. Si el dominio de la ruta de retorno del correo electrónico no figuraba en el registro del remitente, el servidor receptor habría devuelto un resultado SPF "NO PASA", pero en este caso, el correo electrónico habría sido rechazado y no se habría entregado a la bandeja de entrada del receptor.

Más información sobre la historia de Sender Policy Framework

¿Cómo manejan ahora los proveedores de servicios de correo electrónico el mecanismo SPF -all vs ~all?

Mientras que en la actualidad es libre de utilizar SPF -all o ~all para la mayoría de los proveedores de buzones de correo sin tener que preocuparse por los fallos de entrega de los correos legítimos, puede surgir una situación en la que un servidor rechace su correo electrónico en caso del atributo -all.

Para estar más seguro, puede evitar el uso del mecanismo SPF hard fail -all mientras crea su registro SPF. Así es como se hace:

  • Abra el programa PowerDMARC generador de registros SPF para empezar a crear un registro de forma gratuita
  • Después de incluir las direcciones IP y los dominios de sus remitentes de correo electrónico, desplácese hasta la última sección designada para indicar al servidor de correo electrónico lo estricto que debe ser al verificar sus correos electrónicos
  • Elija la opción "Soft-fail" antes de pulsar el botón "Generar registro SPF"

¿Qué recomendamos? SPF -todos o SPF ~todos

Los problemas de entrega de correo electrónico relacionados con el mecanismo SPF -all pueden ocurrir en muy raras ocasiones. No es un problema recurrente con el que se encuentre a menudo. Para asegurarse de que nunca se encuentre con este problema, puede seguir los siguientes pasos:

  • Configurar DMARC para sus correos electrónicos y active los informes DMARC
  • Establezca su política de DMARC en la supervisión e inspeccione detenidamente los resultados de la autenticación SPF para detectar cualquier incoherencia en la capacidad de entrega del correo electrónico
  • Si todo está bien, puede utilizar el mecanismo -all en su registro SPF. Recomendamos utilizar el atributo hard fail ya que afirma que está seguro de la autenticidad de sus correos electrónicos, lo que puede impulsar la reputación de su dominio

Si no está seguro de utilizar el SPF -all, puede seguir estos pasos:

  • Configurar un registro SPF utilizando el mecanismo ~all
  • Configurar DMARC para sus correos electrónicos y activar los informes DMARC
  • Establezca su política DMARC para rechazar

Solución de otros errores de SPF

Al utilizar herramientas en línea, es posible que a menudo se encuentre con el mensaje "No se ha encontrado ningún registro SPF"que es un estado de error común que surge de un resultado nulo devuelto cuando un servidor buscó el registro SPF de su dominio. Hemos cubierto un artículo en detalle hablando de este problema y ayudando a los usuarios a resolverlo. Haga clic en el texto enlazado para saber más.

Si tiene DMARC en su dominio además de SPF, los servidores de correo electrónico comprobarán la política DMARC de su dominio para establecer cómo quiere que se traten los correos electrónicos que no se autentiquen. Esta política de DMARC determinará si sus correos electrónicos se entregan, se ponen en cuarentena o se rechazan. 

El rechazo de DMARC ayuda a proteger su dominio contra una variedad de ataques de suplantación de identidad como el spoofing, el phishing y el ransomware.