Puestos

¿Ha visto alguna vez que un correo electrónico falle el SPF? Si lo has hecho, te voy a decir exactamente por qué falla la autenticación SPF. Sender Policy Framework, o SPF, es uno de los estándares de verificación de correo electrónico que todos hemos utilizado durante años para detener el spam. Incluso si no eres consciente de ello, apuesto a que si comprobara la configuración de tu cuenta de inicio de sesión en Facebook, probablemente mostraría que has optado por el "correo electrónico sólo de amigos". Eso es efectivamente lo mismo que el SPF.

SPF es un protocolo de autenticación de correo electrónico que se utiliza para verificar que el remitente del correo electrónico coincide con su nombre de dominio en el campo De: del mensaje. El MTA remitente utilizará el DNS para consultar una lista preconfigurada de servidores SPF para comprobar si la IP remitente está autorizada a enviar correo electrónico para ese dominio. Puede haber incoherencias en la configuración de los registros SPF, lo que es fundamental para entender por qué los correos electrónicos pueden fallar en la verificación SPF, y qué papel puede desempeñar usted para garantizar que no se produzcan problemas en sus propios esfuerzos de marketing por correo electrónico.

Por qué falla la autenticación SPF : Ninguno, Neutral, Hardfail, Softfail, TempError y PermError

Los fallos de autentificación SPF pueden ocurrir por las siguientes razones:

  • El MTA receptor no encuentra un registro SPF publicado en su DNS
  • Tiene varios registros SPF publicados en su DNS para el mismo dominio
  • Sus ESPs han cambiado o añadido a sus direcciones IP que no han sido actualizadas en su registro SPF
  • Si supera el límite de 10 búsquedas de DNS para SPF
  • Si supera el límite de búsqueda de vacíos permitido de 2
  • La longitud de su registro SPF aplanado supera el límite de 255 caracteres SPF

Los casos anteriores son varios de los motivos por los que falla la autenticación SPF. Puede supervisar sus dominios con nuestro analizador DMARC para obtener informes sobre los fallos de autenticación SPF. Cuando tiene activados los informes DMARC, el MTA receptor devuelve cualquiera de los siguientes resultados de fallo de autenticación SPF para el correo electrónico, dependiendo del motivo por el que su correo electrónico falló SPF. Vamos a conocerlos mejor:

Caso 1: Se devuelve el resultado SPF None

En el primer caso, si el servidor de correo electrónico receptor realiza una búsqueda de DNS y no puede encontrar el nombre de dominio en el DNS, se devuelve un resultado de ninguno. También se devuelve ninguno en caso de que no se encuentre ningún registro SPF en el DNS del remitente, lo que implica que el remitente no tiene configurada la autenticación SPF para este dominio. En este caso la autenticación SPF para sus correos electrónicos falla.

Genere ahora su registro SPF sin errores con nuestra herramienta gratuita generadora de registros SPF para evitarlo.

Caso 2: Se devuelve el resultado neutro del FPS

Al configurar el SPF para su dominio, si ha puesto un mecanismo ?all a su registro SPF, esto significa que, independientemente de lo que concluyan las comprobaciones de autenticación SPF para sus correos electrónicos salientes, el MTA receptor devuelve un resultado neutral. Esto sucede porque cuando tiene su SPF en modo neutral, no está especificando las direcciones IP que están autorizadas a enviar correos electrónicos en su nombre y permitiendo que las direcciones IP no autorizadas también los envíen.

Caso 3: Resultado del SPF Softfail

Al igual que el SPF neutro, el SPF softfail se identifica por el mecanismo ~all, que implica que el MTA receptor aceptaría el correo y lo entregaría en la bandeja de entrada del destinatario, pero se marcaría como spam, en caso de que la dirección IP no figure en el registro SPF que se encuentra en el DNS, lo que puede ser una razón por la que la autenticación SPF falle para su correo electrónico. A continuación se muestra un ejemplo de SPF softfail:

 v=spf1 include:spf.google.com ~all

Caso 4: Resultado del SPF Hardfail

SPF hardfail, también conocido como SPF fail es cuando los MTAs receptores descartan los correos electrónicos originados por cualquier fuente de envío que no esté listada en su registro SPF. Le recomendamos que configure el hardfail SPF en su registro SPF, si desea obtener protección contra la suplantación de dominio y el spoofing de correo electrónico. A continuación se muestra un ejemplo de SPF hardfail:

v=spf1 include:spf.google.com -all

Caso 5: SPF TempError (Error temporal del SPF)

Una de las razones más comunes y a menudo inofensivas por las que falla la autenticación SPF es el SPF TempError (error temporal) que se produce debido a un error de DNS, como un tiempo de espera de DNS, mientras el MTA receptor realiza una comprobación de autenticación SPF. Por lo tanto, como su nombre indica, suele ser un error provisional que devuelve un código de estado 4xx que puede causar un fallo temporal de SPF, pero que da un resultado de aprobación de SPF cuando se vuelve a intentar más tarde.

Caso 6: SPF PermError (error permanente del SPF)

Otro resultado común al que se enfrentan los errores de dominio es el SPF PermError. Por ello, la autenticación SPF falla en la mayoría de los casos. Esto ocurre cuando su registro SPF es invalidado por el MTA receptor. Hay muchas razones por las que el SPF puede romperse y ser invalidado por el MTA al realizar las búsquedas de DNS:

  • Superar el límite de 10 búsquedas de SPF
  • Sintaxis incorrecta del registro SPF
  • Más de un registro SPF para el mismo dominio
  • Exceder el límite de longitud del registro SPF de 255 caracteres
  • Si su registro SPF no está actualizado con los cambios realizados por sus ESPs

Nota: Cuando un MTA realiza una comprobación SPF en un correo electrónico, consulta el DNS o realiza una búsqueda de DNS para comprobar la autenticidad del origen del correo electrónico. Idealmente, en el SPF se permite un máximo de 10 búsquedas de DNS, si se sobrepasa, el SPF fallará y devolverá un resultado PermError.

¿Cómo puede el aplanamiento dinámico del SPF resolver el SPF PermError?

A diferencia de los otros errores SPF, el SPF PermError es mucho más difícil y complicado de resolver. PowerSPF le ayuda a mitigarlo fácilmente con la ayuda del aplanamiento automático del SPF. Le ayuda:

  • Manténgase por debajo del límite duro del FPS
  • Optimice instantáneamente su registro SPF
  • Aplanar su registro a una sola declaración de inclusión
  • Asegúrese de que su registro SPF se actualiza siempre con los cambios realizados por sus ESP

¿Quiere comprobar si tiene configurado correctamente el SPF para su dominio? Pruebe hoy mismo nuestra herramienta gratuita de búsqueda de registros SP F.

¿Es correcto tener varios registros SPF en su dominio? La respuesta es no, ya que tener varios registros SPF es uno de los errores SPF más comunes con los que se encuentran los propietarios de dominios, puede invalidar completamente su SPF y provocar un SPF PermError. Para entender por qué ocurre esto, debemos saber cómo funciona el SPF y por qué tener más de un registro SPF puede causar problemas en la autenticación. Realice hoy mismo la comprobación de su registro SPF para encontrar errores en la configuración de su registro SPF.

¿Cómo funciona el FPS?

Sender Policy Framework o SPF es un popular protocolo de autenticación de correo electrónico que funciona enumerando todas las fuentes de envío autorizadas que pueden enviar correos electrónicos en nombre de su dominio. El SPF funciona realizando solicitudes de consulta de DNS, o búsquedas de DNS en las que el MTA receptor busca y valida la dirección de Return-path de su correo electrónico comparándola con la lista de direcciones IP mencionadas en el registro SPF que reside en el DNS de su dominio.

Si se encuentra una coincidencia, el correo electrónico pasa el SPF, de lo contrario falla el SPF.

Por lo tanto, configurar el SPF es simplemente publicar un registro TXT de DNS que comienza con la sintaxis "v=spf1".

¿Qué es el SPF PermError?

Cuando un MTA receptor comienza a realizar la autenticación SPF en un correo electrónico, obtiene todos los registros TXT del DNS que comienzan con "v=spf1". En caso de que el SPF no esté configurado para el dominio remitente, y no se encuentre ningún registro SPF en el DNS, se devuelve un resultado Ninguno. Por el contrario, si se encuentran varios registros SPF que empiezan por "v=spf1" para el mismo dominio, se devuelve un resultado PermError.

El camino equivocado: 

Tipo de registroNombre de dominioValor del registroTTL
TXTexampledomain.comv=spf1 include:_spf.zoho.com -allpor defecto
TXTexampledomain.comv=spf1 include:_spf.google.com -allpor defecto

En este ejemplo, para el dominio exampledomain.com, hay 2 registros DNS TXT separados que se han publicado en el DNS del dominio. En este caso, la autenticación SPF falla debido a SPF PermError.

 

El camino correcto: 

Tipo de registroNombre de dominioValor del registroTTL
TXTexampledomain.comv=spf1 include:_spf.zoho.com include:_spf.google.com -allpor defecto

En este ejemplo, el dominio exampledomain.com tiene un único registro TXT DNS SPF publicado en el DNS añadiendo todos los mecanismos de inclusión en un único registro. El registro es válido y SPF no devolvería un resultado PermError en este caso. Aprenda a optimizar su registro SPF de la manera correcta para evitar errores de registro SPF en el futuro.

Otros factores que afectan al FPS: tipos de errores del FPS

Como se ha comentado anteriormente, tener más de un registro SPF es un error común de SPF que puede hacer que su registro SPF no sea válido y que falle la autenticación SPF. Así que la respuesta a "¿Puedo tener varios registros SPF en mi dominio?" es simple y llanamente: no, no puede. Después de asegurarse de que sólo tiene un registro SPF publicado en su DNS, todavía puede haber otros factores que causen errores SPF.

  • Exceder el límite de búsqueda del SPF 10 también puede devolver SPF PermError y romper el SPF.
  • Aplastar manualmente su registro SPF para extraer todas las direcciones IP detrás de su mecanismo de inclusión puede llevar a un registro largo que puede exceder el límite de cadena de caracteres de 255 caracteres
  • Sus proveedores de servicios de correo electrónico como Zoho, Gmail o Outlook pueden cambiar o añadir a sus direcciones IP que invaliden su registro SPF
  • Su registro SPF puede contener errores de sintaxis

Para evitar los errores mencionados anteriormente, utilice PowerSPF para aplanar automáticamente su registro SPF y mantenerse por debajo del límite de 10 búsquedas de DNS.

Puede generar su registro SPF sin errores utilizando nuestro generador de registros SPF gratuito. Regístrese hoy mismo en DMARC Analyzer para configurar el SPF correctamente para su dominio y evitar todos los errores SPF.

Razones para evitar el aplanamiento del FPS

Sender Policy Framework, o SPF es un protocolo de autenticación de correo electrónico ampliamente aclamado que valida sus mensajes autenticándolos contra todas las direcciones IP autorizadas registradas para su dominio en su registro SPF. Para validar los mensajes de correo electrónico, SPF especifica al servidor de correo receptor que realice consultas de DNS para comprobar las IP autorizadas, lo que da lugar a búsquedas de DNS.

Su registro SPF existe como un registro DNS TXT que está formado por un conjunto de varios mecanismos. La mayoría de estos mecanismos (como include, a, mx, redirect, exists, ptr) generan búsquedas DNS. Sin embargo, el número máximo de búsquedas DNS para la autenticación SPF está limitado a 10. Si utiliza varios proveedores de terceros para enviar correos electrónicos utilizando su dominio, puede superar fácilmente el límite duro de SPF.

Quizá se pregunte qué ocurre si supera este límite. Si se supera el límite de 10 búsquedas en el DNS, el SPF fallará e invalidará incluso los mensajes legítimos enviados desde su dominio. En estos casos, el servidor de correo receptor devuelve un informe SPF PermError a tu dominio si tienes activada la monitorización DMARC.Esto nos hace llegar al tema principal de discusión de este blog: SPF flattening.

¿Qué es el aplanamiento del FPS?

El aplanamiento del registro SPF es uno de los métodos más populares utilizados por los expertos del sector para optimizar su registro SPF y evitar superar el límite duro del SPF. El procedimiento para aplanar el SPF es bastante sencillo. Aplanar su registro SPF es el proceso de reemplazar todos los mecanismos de inclusión con sus respectivas direcciones IP para eliminar la necesidad de realizar búsquedas de DNS.

Por ejemplo, si su registro SPF tenía inicialmente el siguiente aspecto

v=spf1 include:spf.domain.com -all

Un registro SPF aplanado tendrá el siguiente aspecto:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Este registro aplanado genera sólo una búsqueda de DNS, en lugar de realizar múltiples búsquedas. Reducir el número de consultas DNS realizadas por el servidor receptor durante la autenticación del correo electrónico ayuda a mantenerse por debajo del límite de 10 búsquedas DNS, sin embargo, tiene sus propios problemas.

El problema del aplanamiento del FPS

Aparte del hecho de que su registro SPF aplanado manualmente puede resultar demasiado largo para publicarlo en el DNS de su dominio (superando el límite de 255 caracteres), tiene que tener en cuenta que su proveedor de servicios de correo electrónico puede cambiar o añadir sus direcciones IP sin notificárselo a usted como usuario. De vez en cuando, cuando su proveedor hace cambios en su infraestructura, estas alteraciones no se reflejan en su registro SPF. Por lo tanto, siempre que su servidor de correo utilice estas direcciones IP cambiadas o nuevas, el correo electrónico fallará el SPF en el lado del receptor.

PowerSPF: Su generador de registros SPF dinámicos

El objetivo final de PowerDMARC fue crear una solución que pueda evitar que los propietarios de dominios lleguen al límite de 10 búsquedas de DNS, así como optimizar su registro SPF para estar siempre actualizado en las últimas direcciones IP que utilizan sus proveedores de servicios de correo electrónico. PowerSPF es su solución automatizada de aplanamiento de SPF que se encarga de revisar su registro SPF para generar una única declaración de inclusión. PowerSPF le ayuda:

  • Añadir o eliminar IPs y mecanismos con facilidad
  • Actualiza automáticamente los bloqueos de red para asegurarte de que tus IPs autorizadas están siempre al día
  • Manténgase por debajo del límite de 10 búsquedas de DNS con facilidad
  • Obtenga un registro SPF optimizado con un solo clic
  • Derrotar permanentemente al "permerror
  • Implantar un SPF sin errores

Regístrese en PowerDMARC hoy mismo para garantizar una mayor capacidad de entrega y autenticación del correo electrónico, todo ello sin superar el límite de 10 búsquedas SPF de DNS .

En este artículo, exploraremos cómo optimizar el registro SPF fácilmente para su dominio. Tanto las empresas como los pequeños negocios que poseen un dominio de correo electrónico para enviar y recibir mensajes entre sus clientes, socios y empleados, es muy probable que exista un registro SPF por defecto, que ha sido configurado por su proveedor de servicios de bandeja de entrada. No importa si tiene un registro SPF preexistente o si necesita crear uno nuevo, debe optimizar su registro SPF correctamente para su dominio con el fin de garantizar que no cause problemas de entrega de correo electrónico.

Algunos destinatarios de correo electrónico exigen estrictamente el SPF, lo que indica que si no tiene un registro SPF publicado para su dominio sus correos electrónicos pueden ser marcados como spam en la bandeja de entrada de su receptor. Además, el SPF ayuda a detectar fuentes no autorizadas que envían correos electrónicos en nombre de su dominio.

Entendamos primero qué es el FPS y por qué se necesita.

Marco de la política de remitentes (SPF)

SPF es esencialmente un protocolo de autenticación de correo electrónico estándar que especifica las direcciones IP que están autorizadas a enviar correos electrónicos desde su dominio. Funciona comparando las direcciones de los remitentes con la lista de hosts de envío autorizados y las direcciones IP para un dominio específico que se publica en el DNS para ese dominio.

SPF, junto con DMARC (Domain-based Message Authentication, Reporting and Conformance) está diseñado para detectar direcciones de remitente falsas durante la entrega del correo electrónico y prevenir ataques de spoofing, phishing y estafas por correo electrónico.

Es importante saber que, aunque el SPF por defecto integrado en su dominio por su proveedor de alojamiento asegura que los correos electrónicos enviados desde su dominio se autentifiquen contra el SPF, si tiene varios proveedores de terceros para enviar correos electrónicos desde su dominio, este registro SPF preexistente debe ser adaptado y modificado para ajustarse a sus necesidades. ¿Cómo puede hacerlo? Exploremos dos de las formas más comunes:

  • Creación de un nuevo registro SPF
  • Optimizar un registro SPF existente

Instrucciones para optimizar el registro SPF

Crear un nuevo registro SPF

Crear un registro SPF es simplemente publicar un registro TXT en el DNS de su dominio para configurar el SPF para su dominio. Este es un paso obligatorio que viene antes de empezar a optimizar el registro SPF. Si está empezando con la autenticación y no está seguro de la sintaxis, puede utilizar nuestro generador de registros SPF en línea gratuito para crear un registro SPF para su dominio.

Una entrada de registro SPF con una sintaxis correcta tendrá el siguiente aspecto:

v=spf1 ip4:38.146.237 include:ejemplo.com -all

v=spf1Especifica la versión de SPF que se está utilizando
ip4/ip6Este mecanismo especifica las direcciones IP válidas que están autorizadas a enviar correos electrónicos desde su dominio.
incluyeEste mecanismo indica a los servidores receptores que incluyan los valores del registro SPF del dominio especificado.
-todosEste mecanismo especifica que los correos electrónicos que no sean compatibles con SPF serán rechazados. Esta es la etiqueta recomendada que puede utilizar al publicar su registro SPF. Sin embargo, puede sustituirse por ~ para SPF Soft Fail (los correos electrónicos no conformes se marcarían como soft fail, pero seguirían siendo aceptados) o por +, que especifica que todos y cada uno de los servidores podrán enviar correos electrónicos en nombre de su dominio, lo que se desaconseja totalmente.

Si ya tiene configurado el SPF para su dominio, también puede utilizar nuestro comprobador de registros SPF gratuito para buscar y validar su registro SPF y detectar problemas.

Desafíos y errores comunes al configurar el SPF

1) Límite de 10 búsquedas de DNS 

El reto más común al que se enfrentan los propietarios de dominios al configurar y adoptar el protocolo de autenticación SPF para su dominio, es que SPF viene con un límite en el número de búsquedas de DNS, que no puede exceder de 10. Para los dominios que dependen de varios proveedores de terceros, el límite de 10 búsquedas DNS se excede fácilmente, lo que a su vez rompe el SPF y devuelve un SPF PermError. El servidor receptor en estos casos invalida automáticamente su registro SPF y lo bloquea.

Mecanismos que inician las búsquedas de DNS: MX, A, INCLUDE, modificador REDIRECT

2) Búsqueda de vacíos en el FPS 

Las búsquedas nulas se refieren a las búsquedas de DNS que devuelven una respuesta NOERROR o NXDOMAIN (respuesta nula). Al implementar el SPF, se recomienda asegurarse de que las búsquedas de DNS no devuelvan una respuesta nula en primer lugar.

3) Bucle recursivo SPF

Este error indica que el registro SPF del dominio especificado contiene problemas de recursividad con uno o varios de los mecanismos INCLUDE. Esto tiene lugar cuando uno de los dominios especificados en la etiqueta INCLUDE contiene un dominio cuyo registro SPF contiene la etiqueta INCLUDE del dominio original. Esto conduce a un bucle interminable que hace que los servidores de correo electrónico realicen continuamente búsquedas de DNS para los registros SPF. En última instancia, esto hace que se supere el límite de 10 búsquedas de DNS, lo que hace que los correos electrónicos fallen el SPF.

4) Errores de sintaxis 

Un registro SPF puede existir en el DNS de su dominio, pero no sirve de nada si contiene errores de sintaxis. Si su registro SPF TXT contiene espacios en blanco innecesarios al escribir el nombre del dominio o el nombre del mecanismo, la cadena que precede al espacio extra sería completamente ignorada por el servidor receptor al realizar una búsqueda, invalidando así el registro SPF.

5) Múltiples registros SPF para el mismo dominio

Un mismo dominio sólo puede tener una entrada SPF TXT en el DNS. Si su dominio contiene más de un registro SPF, el servidor receptor los invalida todos, haciendo que los correos electrónicos no pasen el SPF.

6) Longitud del registro SPF 

La longitud máxima de un registro SPF en el DNS está limitada a 255 caracteres. Sin embargo, este límite puede superarse y un registro TXT para SPF puede contener varias cadenas concatenadas, pero no más allá de un límite de 512 caracteres, para ajustarse a la respuesta de consulta del DNS (según el RFC 4408). Aunque esto se revisó más tarde, los destinatarios que dependen de versiones de DNS más antiguas no podrían validar los correos electrónicos enviados desde dominios que contienen un registro SPF largo.

Optimizar su registro SPF

Para modificar rápidamente su registro SPF puede utilizar las siguientes prácticas recomendadas de SPF:

  • Intente escribir sus fuentes de correo electrónico en orden decreciente de importancia de izquierda a derecha en su registro SPF
  • Elimine las fuentes de correo electrónico obsoletas de su DNS
  • Utilizar mecanismos IP4/IP6 en lugar de A y MX
  • Mantenga el número de mecanismos INCLUDE lo más bajo posible y evite los includes anidados
  • No publique más de un registro SPF para el mismo dominio en su DNS
  • Asegúrese de que su registro SPF no contiene espacios en blanco redundantes ni errores de sintaxis

Nota: No se recomienda aplanar el SPF, ya que no es algo que se haga una sola vez. Si su proveedor de servicios de correo electrónico cambia su infraestructura, tendrá que cambiar sus registros SPF en consecuencia, cada vez.

Optimizar su registro SPF es fácil con PowerSPF

Puede seguir adelante e intentar implementar todas las modificaciones mencionadas anteriormente para optimizar su registro SPF manualmente, o puede olvidarse de las molestias y confiar en nuestro dinámico PowerSPF para que haga todo eso por usted automáticamente. PowerSPF le ayuda a optimizar su registro SPF con un solo clic, en el que puede:

  • Añadir o eliminar fuentes de envío con facilidad
  • Actualice los registros fácilmente sin tener que hacer cambios manuales en sus DNS
  • Obtenga un registro SPF automático optimizado con un solo clic
  • Manténgase por debajo del límite de 10 búsquedas de DNS en todo momento
  • Mitigar con éxito PermError
  • Olvídese de los errores de sintaxis del registro SPF y de los problemas de configuración
  • Le quitamos la carga de resolver las limitaciones del FPS en su nombre

Regístrese en PowerDMARC hoy mismo y diga adiós a las limitaciones del FPS para siempre.