• Limitaciones del registro SPF: Comprender los límites de SPF en la autenticación de correo electrónico

Limitaciones del registro SPF: Comprender los límites de SPF en la autenticación de correo electrónico

Blog

Conozca las limitaciones de SPF, incluido el límite de 10 búsquedas DNS que provoca fallos en el correo electrónico. Descubra cómo detectar, corregir y optimizar su registro SPF.

por Ahona Rudra

Última actualización:
11  minutos de lectura
Limitaciones del registro SPF: Comprender los límites de SPF en la autenticación de correo electrónico
Índice-

Puntos clave

  • SPF (Sender Policy Framework) especifica qué servidores de correo están autorizados a enviar correos electrónicos en nombre de su dominio, pero tiene limitaciones SPF integradas que pueden causar problemas de entrega si no se gestionan adecuadamente.
  • La especificación SPF limita las búsquedas DNS a 10 por comprobación SPF, incluidas las búsquedas causadas por los mecanismos «include», «a», «mx», «ptr» y «redirect».
  • Si se supera el límite, se activa un «SPF PermError: demasiadas búsquedas DNS», lo que provoca que falle la verificación SPF y DMARC lo interprete como un fallo, lo que podría bloquear los correos electrónicos de la bandeja de entrada.
  • Los mecanismos como «ip4» e «ip6» no cuentan para el límite, mientras que «include» y «mx» pueden consumir múltiples búsquedas cada uno, especialmente con referencias anidadas.
  • Para mantenerse dentro del límite, elimine los servicios que no utilice, evite «ptr» y «mx» siempre que sea posible, sustituya los mecanismos que requieren muchas búsquedas por referencias IP directas y considere la posibilidad de aplanar automáticamente los registros SPF.

Tu registro SPF podría estar afectando negativamente a la capacidad de entrega de tus correos electrónicos sin que te des cuenta, y no lo sabrías solo con mirarlo.

SPF, o Sender Policy Framework, es uno de los protocolos fundamentales de autenticación de correo electrónico que se utilizan para prevenir el spoofing de dominios y los ataques de phishing. Sin embargo, cada vez que se añade un nuevo proveedor de servicios de correo electrónico, una plataforma de marketing o una herramienta de terceros, el registro SPF crece y, con él, el número de búsquedas DNS necesarias para verificarlo.

Esta guía desglosa las limitaciones de SPF que debes conocer, explica por qué existe el límite de 10 búsquedas DNS y te guía a través del proceso de detección, corrección y prevención de fallos de SPF antes de que dañen la reputación de tu dominio.

¿Qué es el SPF y cómo funciona?

SPF es un protocolo de autenticación de correo electrónico diseñado para proteger su dominio contra el uso fraudulento del correo electrónico. Funciona especificando qué servidores de correo están autorizados a enviar correos electrónicos en nombre de su dominio y proporciona a los servidores receptores una forma de verificar si un mensaje entrante es legítimo.

Cómo funciona la autenticación SPF

El registro SPF es un registro DNS TXT que se usa para hacer el proceso de autenticación de correo electrónico.

Cuando publicas un registro SPF para tu dominio, básicamente estás indicando al mundo qué direcciones IP y servidores de correo tienen permiso para enviar correos electrónicos utilizando tu nombre de dominio. Esto es lo que ocurre cuando se envía un correo electrónico:

  • El servidor receptor comprueba la dirección de retorno del remitente y busca el registro SPF para ese dominio.
  • El servidor evalúa el registro SPF para determinar si la dirección IP del remitente coincide con las direcciones IP autorizadas que figuran en la lista.
  • Si la dirección IP del remitente coincide, el correo electrónico supera la comprobación SPF.
  • Si no coincide, el correo electrónico no supera la verificación SPF y el servidor receptor lo gestiona según la política SPF del dominio y configuración DMARC del dominio.

El SPF permite al servidor del destinatario verificar si el correo electrónico procede realmente de la fuente que dice proceder. Esto lo convierte en una primera línea de defensa fundamental contra la suplantación de identidad y en un componente clave para lograr el cumplimiento de DMARC.

¿Qué es el límite de búsqueda DNS SPF 10?

La especificación SPF impone un límite estricto al número de búsquedas DNS que pueden realizarse durante una sola comprobación.

Una política SPF no puede requerir más de 10 términos que requieran búsquedas DNS adicionales para su evaluación. Esto incluye cualquier búsqueda activada por mecanismos como «include», «a», «mx», «ptr» y el modificador «redirect».

Lo que cuenta para el límite

Los registros SPF utilizan una combinación de mecanismos y modificadores para definir qué servidores están autorizados a enviar correos electrónicos para su dominio.

Algunos de ellos requieren que el servidor de correo receptor realice consultas para resolverlas, y cada consulta cuenta para el límite de 10 búsquedas DNS. Los mecanismos y modificadores que requieren búsquedas DNS incluyen:

  • incluir — activa una búsqueda del registro SPF de otro dominio, además de cualquier búsqueda anidada dentro de él.
  • a — requiere una consulta DNS para resolver los registros A o AAAA del dominio especificado
  • mx — requiere una consulta DNS para resolver el registro MX, seguida de consultas adicionales para resolver las direcciones IP de cada servidor de correo incluido en la lista.
  • ptr : requiere una consulta DNS ptr para realizar una búsqueda inversa y se desaconseja encarecidamente debido a su falta de fiabilidad y a la posibilidad de que provoque múltiples búsquedas adicionales.
  • redirigir — activa una búsqueda del registro SPF del dominio redirigido
  • existe — requiere una consulta DNS para comprobar si un dominio específico se resuelve

Si el registro SPF contiene muchos mecanismos, especialmente inclusiones anidadas, puede superar rápidamente el límite de 10 búsquedas DNS.

¿Qué no cuenta para el límite?

Los siguientes mecanismos y elementos no cuentan para el límite de 10 búsquedas:

  • ip4 y ip6 : especifican directamente las direcciones IP autorizadas, sin necesidad de resolución DNS adicional.
  • todo — el mecanismo catch-all al final del registro no requiere una búsqueda
  • La consulta DNS inicial para el registro de la política SPF en sí misma , la consulta DNS para recuperar el registro TXT SPF del DNS del dominio no cuenta para el límite.
  • v=spf1 — la etiqueta de versión que identifica el registro como SPF

El uso de mecanismos ip4 o ip6 en los registros SPF no requiere búsquedas adicionales y puede ayudar a mantenerse dentro del límite. Por eso, sustituir los mecanismos que requieren muchas búsquedas por referencias IP directas es una de las estrategias de optimización más eficaces.

Banner de SPF de PowerDMARC

SPF deja de funcionar sin avisar. Solo te das cuenta cuando dejan de llegar los correos electrónicos.

PowerDMARC ha ayudado a más de 10 000 clientes con:

Panel de control único para SPF, DMARC y DKIM
Supervisión automatizada: sin necesidad de rebuscar en informes sin procesar
Alertas inmediatas sobre errores de configuración y lagunas en las políticas
Ampliar la escala en dominios de clientes multitenant

Los primeros 15 días corran a nuestro cargo

Regístrese para obtener una prueba gratuita.

¿Por qué existe el límite de búsqueda SPF 10?

El límite de 10 búsquedas DNS puede parecer restrictivo, especialmente para las organizaciones que utilizan varios proveedores de servicios de correo electrónico, pero existe por importantes razones de seguridad y rendimiento.

Prevención de ataques de denegación de servicio

El límite de 10 búsquedas adicionales se impone para evitar una carga excesiva en el DNS y prevenir ataques de denegación de servicio (DoS).

Sin este límite, un atacante podría crear un registro SPF con cientos de inclusiones anidadas, lo que obligaría a todos los servidores de correo receptores que procesan un correo electrónico de ese dominio a realizar un número enorme de consultas DNS. Esto podría saturar los servidores DNS y degradar el rendimiento en Internet.

Garantizar el procesamiento oportuno del correo electrónico

Cada búsqueda de DNS durante una comprobación SPF añade latencia al proceso de entrega del correo electrónico. Si se permitieran búsquedas ilimitadas de registros SPF, el tiempo necesario para la verificación SPF podría aumentar considerablemente, lo que provocaría tiempos de espera de consultas DNS y problemas temporales en el servidor DNS.

El límite de 10 búsquedas garantiza que las comprobaciones SPF se puedan completar de forma rápida y fiable sin crear cuellos de botella en la entrega del correo electrónico.

Mantener la estabilidad del DNS

La infraestructura DNS es un recurso compartido. Permitir búsquedas ilimitadas durante la autenticación SPF supondría una carga excesiva para los resolutores recursivos y los servidores de nombres autoritativos, especialmente para los remitentes de gran volumen.

El límite protege el ecosistema DNS en general al mantener los volúmenes de consultas relacionadas con SPF en un nivel manejable.

¿Qué sucede cuando se supera el límite de búsqueda de SPF?

Superar el límite de búsqueda de SPF no solo da lugar a una advertencia menor. Provoca un fallo grave que puede afectar directamente a que tus correos electrónicos lleguen a las bandejas de entrada de tus destinatarios.

SPF PermError y fallo de verificación

Cuando la implementación de SPF en el servidor de correo electrónico receptor encuentra más de 10 mecanismos de consulta DNS o modificadores en el registro SPF del dominio del remitente, devuelve «SPF PermError: demasiadas búsquedas DNS».

Según la especificación SPF, si un receptor supera el límite de búsqueda de DNS mientras evalúa la política SPF, debe fallar la verificación SPF para ese mensaje con un error permanente.

Esto significa que el correo electrónico no obtiene simplemente un resultado «suave» o neutro. Recibe un error permanente que indica al servidor receptor que el registro SPF no se puede evaluar en absoluto.

Impacto en DMARC y en la capacidad de entrega del correo electrónico

Si su política DMARC está configurada para poner en cuarentena o rechazar, los correos electrónicos que activan un SPF PermError pueden enviarse a la carpeta de spam o bloquearse por completo.

Superar el límite de búsqueda de SPF afecta a la capacidad de entrega del correo electrónico, ya que reduce la probabilidad de que los correos electrónicos lleguen a la bandeja de entrada principal de los destinatarios previstos. Con el tiempo, los fallos repetidos de SPF también pueden dañar la reputación de su dominio, lo que dificulta la entrega incluso de los correos electrónicos legítimos.

Otras causas de SPF PermError

Aunque superar el límite de 10 búsquedas DNS es la causa más común del error SPF PermError, no es la única. Un error SPF PermError también puede producirse cuando:

  • El registro SPF contiene errores sintácticos que impiden su correcta interpretación.
  • Se publican múltiples registros SPF para un solo dominio, lo que infringe la especificación SPF.
  • El registro utiliza mecanismos obsoletos o no compatibles.
  • La circular incluye la creación de un bucle infinito en la cadena de búsqueda.

Cualquiera de estos problemas puede provocar un fallo del SPF y que los correos electrónicos no se entreguen, por lo que es importante validar regularmente toda la configuración del SPF.

Cómo comprobar si su registro SPF supera el límite

Identificar si su registro SPF supera el límite de 10 búsquedas DNS es el primer paso para solucionar los problemas de entrega. Hay varias formas de comprobar el registro SPF y verificar su recuento de búsquedas actual.

Utilice una herramienta de diagnóstico SPF.

El uso de una herramienta de diagnóstico SPF puede ayudar a verificar que un registro SPF sea válido y funcione correctamente. Estas herramientas analizan su registro SPF, cuentan cada búsqueda de DNS, incluidas las inclusiones anidadas, y marcan cualquier error o advertencia.

El verificador gratuito de registros SPF de PowerDMARC le permite ver al instante el recuento total de búsquedas, identificar qué mecanismos consumen más consultas y detectar configuraciones erróneas antes de que causen problemas de entrega.

Rastrea manualmente tu registro SPF

Si prefiere inspeccionar su registro SPF usted mismo, puede contar manualmente las búsquedas de DNS revisando cada mecanismo del registro.

Comience con el registro SPF TXT de su dominio y cuente cada mecanismo «include», «a», «mx», «ptr», «redirect» y «exists». A continuación, para cada «include», busque el registro SPF del dominio al que se hace referencia y cuente también sus mecanismos que provocan la búsqueda.

Las inclusiones anidadas se acumulan rápidamente, por lo que las organizaciones que utilizan varios proveedores de servicios de correo electrónico suelen superar el límite sin darse cuenta.

Supervisar la validación del SPF a lo largo del tiempo.

Los registros SPF no son estáticos. A medida que añades o eliminas proveedores de servicios de correo electrónico, cambias los entornos de alojamiento o actualizas tu infraestructura de correo electrónico, tu registro SPF también cambia. Se recomienda validar los registros SPF después de realizar cambios para garantizar el cumplimiento del límite de 10 búsquedas.

Configurar un monitoreo continuo a través de la plataforma PowerDMARC le brinda visibilidad continua de su configuración SPF y le avisa cuando los cambios superan el límite de su registro.

Cómo corregir y optimizar tu registro SPF

Si su registro SPF supera o se aproxima al límite de 10 búsquedas DNS, hay varias medidas prácticas que puede tomar para reducir el número de búsquedas sin sacrificar la cobertura de la autenticación del correo electrónico.

Elimine los servicios que no utilice o que no sean necesarios.

La optimización más sencilla consiste en auditar su registro SPF y eliminar cualquier mecanismo que haga referencia a servicios que ya no utiliza.

Con el tiempo, las organizaciones añaden proveedores de servicios de correo electrónico, plataformas de marketing y herramientas de terceros a su registro SPF, pero se olvidan de eliminarlos cuando ya no están activos.

Para reducir el número de búsquedas necesarias, las organizaciones deben eliminar los servicios que no se utilizan de su registro SPF. Esto también implica eliminar los valores SPF predeterminados que se añadieron durante la configuración inicial, pero que actualmente no tienen ninguna utilidad.

Reemplazar los mecanismos que requieren muchas búsquedas por ip4 o ip6.

Cada mecanismo «include», «a» y «mx» requiere al menos una búsqueda de DNS. Siempre que sea posible, sustitúyalos por mecanismos ip4 o ip6 que especifiquen directamente las direcciones IP autorizadas. El uso de mecanismos ip4 o ip6 en los registros SPF no requiere búsquedas adicionales y puede ayudar a mantener el cumplimiento del límite de búsquedas.

Por ejemplo, si el registro SPF de un proveedor de servicios de correo electrónico se resuelve en un conjunto conocido de direcciones IP estáticas, puede enumerar esas IP directamente en lugar de utilizar un «include» que activa múltiples búsquedas de DNS.

Evita el mecanismo ptr.

Se desaconseja encarecidamente el uso del mecanismo ptr, ya que puede provocar un aumento de las búsquedas necesarias, lo que da lugar a problemas de permerror.

El mecanismo ptr realiza una búsqueda DNS inversa para cada IP que se conecta, lo cual es lento y poco fiable. La propia especificación SPF desaconseja su uso. Si su registro SPF incluye actualmente un mecanismo ptr, elimínelo y sustitúyalo por referencias IP directas.

Minimizar el uso del mecanismo mx.

Evitar el mecanismo mx en los registros SPF puede ayudar a mantenerse dentro del límite de 10 búsquedas DNS. El mecanismo mx primero resuelve el registro MX del dominio y luego realiza búsquedas adicionales para resolver la dirección IP de cada servidor de correo incluido en la lista.

Si su dominio tiene varios registros MX, un único mecanismo «mx» puede consumir varias búsquedas. Sustitúyalo por entradas ip4 o ip6 para sus servidores de correo siempre que sea posible.

Consolidar incluir declaraciones

Si su registro SPF tiene varios mecanismos «include» que apuntan a servicios relacionados, compruebe si se pueden consolidar.

Algunos proveedores de servicios de correo electrónico comparten infraestructura superpuesta, lo que significa que es posible que esté realizando búsquedas redundantes. Revise cada inclusión para determinar si sigue siendo necesaria y si se puede hacer referencia directa a las direcciones IP subyacentes.

Validar después de cada cambio

Es esencial validar los registros SPF después de realizar cambios para garantizar el cumplimiento del límite de 10 búsquedas.

Incluso una pequeña modificación, como añadir una sola «inclusión» nueva para una plataforma de marketing, puede hacer que tu registro supere el límite si activa búsquedas anidadas. Ejecuta tu registro a través de una herramienta de diagnóstico SPF después de cada actualización para confirmar que sigue siendo válido.

Aplanamiento de registros SPF: qué es y cuándo utilizarlo

El aplanamiento de registros SPF es una técnica utilizada para optimizar los registros SPF con el fin de superar el límite de 10 búsquedas DNS para SPF. Es una de las soluciones más discutidas para las organizaciones con infraestructuras de correo electrónico complejas, pero conlleva algunas desventajas que es importante comprender.

Cómo funciona el aplanamiento de registros SPF

El aplanamiento de registros SPF sustituye los mecanismos que provocan búsquedas en un registro SPF por sus direcciones IP o rangos CIDR correspondientes, lo que reduce el número de consultas DNS necesarias para verificar el registro SPF.

En lugar de incluir una referencia como «include:emailprovider.com», que activa una o varias búsquedas DNS, resuelve esa referencia a sus direcciones IP subyacentes y las enumera directamente en su registro utilizando mecanismos ip4 o ip6.

Por ejemplo, si «include:emailprovider.com» se resuelve en tres direcciones IP, el aplanamiento sustituye la instrucción «include» por esas tres entradas ip4. La comprobación SPF ahora devuelve el mismo resultado sin necesidad de realizar consultas DNS adicionales para ese proveedor.

Cuando aplanar ayuda

Aplanar un registro SPF puede reducir el número de mecanismos y modificadores de consulta DNS, de modo que sea inferior a 10. Esto resulta especialmente útil cuando:

  • Tu dominio envía correos electrónicos a través de muchos servicios de terceros y solo el recuento de inclusiones supera los 10.
  • Ya ha eliminado los servicios que no utiliza y ha consolidado lo que ha sido posible, pero sigue superando el límite.
  • Necesita una forma rápida de poner su registro en conformidad mientras planifica una estrategia de optimización a largo plazo.

Los riesgos del aplanado manual

Si bien la simplificación de los registros SPF resuelve el problema del límite de búsqueda, introduce un desafío de mantenimiento. Las direcciones IP subyacentes de sus proveedores de servicios de correo electrónico pueden cambiar sin previo aviso.

Si un proveedor añade, elimina o rota direcciones IP y su registro aplanado sigue haciendo referencia a las antiguas, los correos electrónicos legítimos enviados desde las nuevas IP no superarán la inspección SPF.

El mantenimiento manual de un registro SPF aplanado requiere una supervisión constante para garantizar que las direcciones IP enumeradas se mantengan actualizadas. Por este motivo, el aplanamiento manual no suele recomendarse como solución a largo plazo para organizaciones con infraestructuras de correo electrónico dinámicas.

Otras limitaciones de los registros SPF que hay que conocer

El límite de 10 búsquedas DNS es la limitación más conocida de SPF, pero no es la única. Los propietarios de dominios deben conocer estas limitaciones adicionales de los registros SPF para evitar fallos de autenticación inesperados.

Solo un registro SPF por dominio.

La especificación SPF requiere que cada dominio publique solo un único registro TXT SPF.

Si el registro SPF contiene varios registros SPF para un dominio, puede provocar un error SPF PermError, y el servidor receptor puede rechazar o gestionar incorrectamente el correo electrónico. Si necesita autorizar a otros remitentes, añádalos a su registro SPF existente en lugar de crear uno nuevo.

SPF comprueba la ruta de retorno, no la dirección del remitente.

SPF autentica el dominio en la dirección de la ruta de retorno, no en el campo «De» legible por humanos que ve el destinatario. Esto significa que un atacante puede falsificar la dirección «De» mientras pasa SPF utilizando un dominio de ruta de retorno diferente.

DMARC soluciona esta deficiencia al exigir una coincidencia o alineación entre el dominio del campo «De» legible por humanos y el dominio autenticado por SPF.

El límite de 255 caracteres por cadena

Aunque un registro SPF puede contener más de 255 caracteres en total, un solo registro DNS TXT está limitada a 255 caracteres. Los registros SPF más largos deben dividirse en varias cadenas dentro del mismo registro TXT.

La mayoría de los proveedores de DNS gestionan esto automáticamente, pero las divisiones mal configuradas pueden provocar errores de análisis.

Límite de búsqueda nulo

Además del límite de 10 búsquedas DNS, la especificación SPF también limita el número de «búsquedas nulas», que son consultas DNS que no devuelven ningún registro (ya sea una respuesta vacía o una respuesta NXDOMAIN).

Superar este límite, que suele ser de dos búsquedas nulas, también puede desencadenar un error SPF PermError.

Sin protección para los correos electrónicos reenviados

Cuando se reenvía un correo electrónico, la IP de envío cambia a la IP del servidor de reenvío, que probablemente no figure en el registro SPF del remitente original. Esto hace que el correo electrónico reenviado no supere las comprobaciones SPF, aunque originalmente fuera legítimo.

Mantenga su registro SPF optimizado con PowerDMARC

SPF es esencial para la autenticación del correo electrónico, pero sus limitaciones integradas pueden socavar silenciosamente la capacidad de entrega de su correo electrónico si no se controlan. Un solo «include» adicional o un mecanismo obsoleto que se haya pasado por alto puede hacer que su registro supere el límite de 10 búsquedas de DNS, lo que provocará fallos de SPF que impedirán que los correos electrónicos legítimos lleguen a sus destinatarios.

PowerDMARC elimina la complejidad de la gestión de SPF.

Con aplanamiento SPF automatizado, supervisión de búsquedas en tiempo real, alertas de error instantáneas y un conjunto completo de herramientas para SPF, DKIM, DMARCy BIMI, PowerDMARC le ayuda a mantenerse dentro del límite de búsqueda y a mantener una configuración de autenticación limpia en todo momento.

No permita que las limitaciones del SPF dañen silenciosamente la capacidad de entrega de su correo electrónico. ¡Póngase en contacto con nosotros hoy mismo.

Preguntas frecuentes

1. ¿Qué ocurre si mi registro SPF supera el límite de 10 búsquedas DNS?

Cuando su registro SPF supera el límite de 10 búsquedas DNS, el servidor de correo receptor devolverá un resultado «Permerror». Esto provoca que la autenticación SPF falle, lo que puede dar lugar a que sus correos electrónicos legítimos sean rechazados, marcados como spam o entregados con una reputación reducida.

2. ¿Cómo puedo comprobar cuántas búsquedas DNS utiliza mi registro SPF?

Puede utilizar herramientas de validación SPF en línea, como el verificador SPF gratuito de PowerDMARC, para analizar su registro y contar las búsquedas de DNS. Estas herramientas le mostrarán exactamente qué mecanismos están provocando las búsquedas y le ayudarán a identificar oportunidades de optimización. También puede rastrear manualmente su registro SPF, contando cada mecanismo «include», «a», «mx» y «ptr».

3. ¿Cuáles son las mejores prácticas para mantener un registro SPF dentro del límite de búsqueda?

Las mejores prácticas incluyen: auditar periódicamente su registro SPF para eliminar los servicios que no se utilizan, utilizar direcciones IP en lugar de inclusiones siempre que sea posible, evitar los mecanismos «a» y «mx» a menos que sea necesario, consolidar múltiples servicios de correo electrónico, implementar el aplanamiento SPF para configuraciones complejas y supervisar su registro SPF para que le avise de los cambios en los recuentos de búsquedas.

Últimas publicaciones de Ahona Rudra (ver todas)
Última actualización:
Caso práctico de DMARC MSP: Cómo QIT Solutions simplificó la seguridad del correo electrónico para los clientes...PowerDMARC figura entre las 100 empresas de software de más rápido crecimiento de G2 20...