Puestos

Un problema muy común al que se enfrentan los usuarios de SPF a diario es el riesgo de generar demasiadas búsquedas de DNS que pueden hacer que superen fácilmente el límite duro de SPF. Esto devuelve un resultado SPF PermError cuando la supervisión DMARC está activada y provoca problemas de entregabilidad del correo electrónico. Con los expertos de la industria que vienen con soluciones como los servicios de aplanamiento SPF para mitigar este problema, PowerSPF realmente cumple con sus afirmaciones y supera las expectativas. Siga leyendo para saber cómo.

Demasiadas búsquedas de DNS: ¿Por qué ocurre esto?

Lo primero que debe entender es por qué acaba generando demasiadas búsquedas de DNS en primer lugar. Esto se debe a que, independientemente de la solución de intercambio de correo electrónico que utilice, su proveedor de servicios añade más mecanismos a su registro, lo que da lugar a más búsquedas.

Por ejemplo, si utiliza el intercambiador de correo electrónico de Google, o Gmail, un registro SPF como v=spf1 include:[email protected] -all genera en realidad un total de 4 búsquedas de DNS. Los registros anidados también inician más búsquedas y si utilizas varios proveedores de terceros para enviar correos electrónicos utilizando tu dominio, puedes superar fácilmente el límite de 10 búsquedas de DNS.

¿Es el aplanamiento del SPF la solución? No!

La respuesta es no. El aplanamiento manual del SPF puede ayudarle a mantenerse por debajo del límite de 10 búsquedas del SPF, pero tiene su propio conjunto de limitaciones y desafíos. Si aplana su SPF manualmente, simplemente está reemplazando las declaraciones de inclusión en su registro SPF con sus correspondientes direcciones IP para eliminar la necesidad de búsquedas. Esto asegura que no acabe generando demasiadas búsquedas de DNS en primer lugar, ayudándole así a mantenerse por debajo del límite de 10 búsquedas de SPF y evitar el permerror . Pero los problemas con las soluciones manuales de aplanamiento SPF son:

  • La longitud del registro SPF puede ser demasiado larga (más de 255 caracteres)
  • Su proveedor de servicios de correo electrónico puede cambiar o ampliar sus direcciones IP sin notificárselo
  • No hay un panel de control para supervisar el flujo de correo electrónico, cambiar o actualizar sus dominios y mecanismos, y realizar un seguimiento de las actividades
  • Tiene que hacer constantemente cambios en su DNS para actualizar su registro SPF
  • Su capacidad de entrega de correo electrónico podría verse afectada debido a los frecuentes cambios de IP

¿Cómo le afectan? Bueno, si su registro SPF no está actualizado en las nuevas direcciones IP que sus proveedores de servicios de correo electrónico están utilizando, de vez en cuando cuando estas direcciones IP se utilizan sus correos electrónicos inevitablemente fallan SPF en el lado del receptor.

Aplanamiento dinámico de SPF para resolver demasiadas búsquedas de DNS

Una solución más inteligente para decir adiós al error de búsqueda de DNS es PowerSPF, su aplanador automático de registros SPF. PowerSPF es su solución de aplanamiento SPF en tiempo real que le ayuda:

  • Configure fácilmente el SPF para su dominio con unos pocos clics
  • Aplanamiento de registros SPF con un solo clic y con una sola declaración de inclusión para disfrutar de la gestión automática de la inclusión SPF
  • Manténgase siempre por debajo del límite de 10 búsquedas de DNS
  • Actualiza automáticamente el netblock y busca las direcciones IP cambiadas constantemente para mantener su registro SPF actualizado
  • Mantenga un panel de control fácil de usar en el que puede actualizar fácilmente los cambios en sus políticas, añadir dominios y mecanismos, y supervisar el flujo de correo electrónico.

¿Por qué confiar en herramientas de compresión SPF que pueden proporcionar resultados temporales con limitaciones subyacentes? Optimice su registro SPF y mitigue el límite duro del SPF con SPF automático hoy mismo. Inscríbase en PowerSPF ahora?

Razones para evitar el aplanamiento del FPS

Sender Policy Framework, o SPF es un protocolo de autenticación de correo electrónico ampliamente aclamado que valida sus mensajes autenticándolos contra todas las direcciones IP autorizadas registradas para su dominio en su registro SPF. Para validar los mensajes de correo electrónico, SPF especifica al servidor de correo receptor que realice consultas de DNS para comprobar las IP autorizadas, lo que da lugar a búsquedas de DNS.

Su registro SPF existe como un registro DNS TXT que está formado por un conjunto de varios mecanismos. La mayoría de estos mecanismos (como include, a, mx, redirect, exists, ptr) generan búsquedas DNS. Sin embargo, el número máximo de búsquedas DNS para la autenticación SPF está limitado a 10. Si utiliza varios proveedores de terceros para enviar correos electrónicos utilizando su dominio, puede superar fácilmente el límite duro de SPF.

Quizá se pregunte qué ocurre si supera este límite. Si se supera el límite de 10 búsquedas en el DNS, el SPF fallará e invalidará incluso los mensajes legítimos enviados desde su dominio. En estos casos, el servidor de correo receptor devuelve un informe SPF PermError a tu dominio si tienes activada la monitorización DMARC.Esto nos hace llegar al tema principal de discusión de este blog: SPF flattening.

¿Qué es el aplanamiento del FPS?

El aplanamiento del registro SPF es uno de los métodos más populares utilizados por los expertos del sector para optimizar su registro SPF y evitar superar el límite duro del SPF. El procedimiento para aplanar el SPF es bastante sencillo. Aplanar su registro SPF es el proceso de reemplazar todos los mecanismos de inclusión con sus respectivas direcciones IP para eliminar la necesidad de realizar búsquedas de DNS.

Por ejemplo, si su registro SPF tenía inicialmente el siguiente aspecto

v=spf1 include:spf.domain.com -all

Un registro SPF aplanado tendrá el siguiente aspecto:

v=spf1 ip4:168.191.1.1 ip6:3a02:8c7:aaca:645::1 -all

Este registro aplanado genera sólo una búsqueda de DNS, en lugar de realizar múltiples búsquedas. Reducir el número de consultas DNS realizadas por el servidor receptor durante la autenticación del correo electrónico ayuda a mantenerse por debajo del límite de 10 búsquedas DNS, sin embargo, tiene sus propios problemas.

El problema del aplanamiento del FPS

Aparte del hecho de que su registro SPF aplanado manualmente puede resultar demasiado largo para publicarlo en el DNS de su dominio (superando el límite de 255 caracteres), tiene que tener en cuenta que su proveedor de servicios de correo electrónico puede cambiar o añadir sus direcciones IP sin notificárselo a usted como usuario. De vez en cuando, cuando su proveedor hace cambios en su infraestructura, estas alteraciones no se reflejan en su registro SPF. Por lo tanto, siempre que su servidor de correo utilice estas direcciones IP cambiadas o nuevas, el correo electrónico fallará el SPF en el lado del receptor.

PowerSPF: Su generador de registros SPF dinámicos

El objetivo final de PowerDMARC fue crear una solución que pueda evitar que los propietarios de dominios lleguen al límite de 10 búsquedas de DNS, así como optimizar su registro SPF para estar siempre actualizado en las últimas direcciones IP que utilizan sus proveedores de servicios de correo electrónico. PowerSPF es su solución automatizada de aplanamiento de SPF que se encarga de revisar su registro SPF para generar una única declaración de inclusión. PowerSPF le ayuda:

  • Añadir o eliminar IPs y mecanismos con facilidad
  • Actualiza automáticamente los bloqueos de red para asegurarte de que tus IPs autorizadas están siempre al día
  • Manténgase por debajo del límite de 10 búsquedas de DNS con facilidad
  • Obtenga un registro SPF optimizado con un solo clic
  • Derrotar permanentemente al "permerror
  • Implantar un SPF sin errores

Regístrese en PowerDMARC hoy mismo para garantizar una mayor capacidad de entrega y autenticación del correo electrónico, todo ello sin superar el límite de 10 búsquedas SPF de DNS .

En este artículo, exploraremos cómo optimizar el registro SPF fácilmente para su dominio. Tanto las empresas como los pequeños negocios que poseen un dominio de correo electrónico para enviar y recibir mensajes entre sus clientes, socios y empleados, es muy probable que exista un registro SPF por defecto, que ha sido configurado por su proveedor de servicios de bandeja de entrada. No importa si tiene un registro SPF preexistente o si necesita crear uno nuevo, debe optimizar su registro SPF correctamente para su dominio con el fin de garantizar que no cause problemas de entrega de correo electrónico.

Algunos destinatarios de correo electrónico exigen estrictamente el SPF, lo que indica que si no tiene un registro SPF publicado para su dominio sus correos electrónicos pueden ser marcados como spam en la bandeja de entrada de su receptor. Además, el SPF ayuda a detectar fuentes no autorizadas que envían correos electrónicos en nombre de su dominio.

Entendamos primero qué es el FPS y por qué se necesita.

Marco de la política de remitentes (SPF)

SPF es esencialmente un protocolo de autenticación de correo electrónico estándar que especifica las direcciones IP que están autorizadas a enviar correos electrónicos desde su dominio. Funciona comparando las direcciones de los remitentes con la lista de hosts de envío autorizados y las direcciones IP para un dominio específico que se publica en el DNS para ese dominio.

SPF, junto con DMARC (Domain-based Message Authentication, Reporting and Conformance) está diseñado para detectar direcciones de remitente falsas durante la entrega del correo electrónico y prevenir ataques de spoofing, phishing y estafas por correo electrónico.

Es importante saber que, aunque el SPF por defecto integrado en su dominio por su proveedor de alojamiento asegura que los correos electrónicos enviados desde su dominio se autentifiquen contra el SPF, si tiene varios proveedores de terceros para enviar correos electrónicos desde su dominio, este registro SPF preexistente debe ser adaptado y modificado para ajustarse a sus necesidades. ¿Cómo puede hacerlo? Exploremos dos de las formas más comunes:

  • Creación de un nuevo registro SPF
  • Optimizar un registro SPF existente

Instrucciones para optimizar el registro SPF

Crear un nuevo registro SPF

Crear un registro SPF es simplemente publicar un registro TXT en el DNS de su dominio para configurar el SPF para su dominio. Este es un paso obligatorio que viene antes de empezar a optimizar el registro SPF. Si está empezando con la autenticación y no está seguro de la sintaxis, puede utilizar nuestro generador de registros SPF en línea gratuito para crear un registro SPF para su dominio.

Una entrada de registro SPF con una sintaxis correcta tendrá el siguiente aspecto:

v=spf1 ip4:38.146.237 include:ejemplo.com -all

v=spf1Especifica la versión de SPF que se está utilizando
ip4/ip6Este mecanismo especifica las direcciones IP válidas que están autorizadas a enviar correos electrónicos desde su dominio.
incluyeEste mecanismo indica a los servidores receptores que incluyan los valores del registro SPF del dominio especificado.
-todosEste mecanismo especifica que los correos electrónicos que no sean compatibles con SPF serán rechazados. Esta es la etiqueta recomendada que puede utilizar al publicar su registro SPF. Sin embargo, puede sustituirse por ~ para SPF Soft Fail (los correos electrónicos no conformes se marcarían como soft fail, pero seguirían siendo aceptados) o por +, que especifica que todos y cada uno de los servidores podrán enviar correos electrónicos en nombre de su dominio, lo que se desaconseja totalmente.

Si ya tiene configurado el SPF para su dominio, también puede utilizar nuestro comprobador de registros SPF gratuito para buscar y validar su registro SPF y detectar problemas.

Desafíos y errores comunes al configurar el SPF

1) Límite de 10 búsquedas de DNS 

El reto más común al que se enfrentan los propietarios de dominios al configurar y adoptar el protocolo de autenticación SPF para su dominio, es que SPF viene con un límite en el número de búsquedas de DNS, que no puede exceder de 10. Para los dominios que dependen de varios proveedores de terceros, el límite de 10 búsquedas DNS se excede fácilmente, lo que a su vez rompe el SPF y devuelve un SPF PermError. El servidor receptor en estos casos invalida automáticamente su registro SPF y lo bloquea.

Mecanismos que inician las búsquedas de DNS: MX, A, INCLUDE, modificador REDIRECT

2) Búsqueda de vacíos en el FPS 

Las búsquedas nulas se refieren a las búsquedas de DNS que devuelven una respuesta NOERROR o NXDOMAIN (respuesta nula). Al implementar el SPF, se recomienda asegurarse de que las búsquedas de DNS no devuelvan una respuesta nula en primer lugar.

3) Bucle recursivo SPF

Este error indica que el registro SPF del dominio especificado contiene problemas de recursividad con uno o varios de los mecanismos INCLUDE. Esto tiene lugar cuando uno de los dominios especificados en la etiqueta INCLUDE contiene un dominio cuyo registro SPF contiene la etiqueta INCLUDE del dominio original. Esto conduce a un bucle interminable que hace que los servidores de correo electrónico realicen continuamente búsquedas de DNS para los registros SPF. En última instancia, esto hace que se supere el límite de 10 búsquedas de DNS, lo que hace que los correos electrónicos fallen el SPF.

4) Errores de sintaxis 

Un registro SPF puede existir en el DNS de su dominio, pero no sirve de nada si contiene errores de sintaxis. Si su registro SPF TXT contiene espacios en blanco innecesarios al escribir el nombre del dominio o el nombre del mecanismo, la cadena que precede al espacio extra sería completamente ignorada por el servidor receptor al realizar una búsqueda, invalidando así el registro SPF.

5) Múltiples registros SPF para el mismo dominio

Un mismo dominio sólo puede tener una entrada SPF TXT en el DNS. Si su dominio contiene más de un registro SPF, el servidor receptor los invalida todos, haciendo que los correos electrónicos no pasen el SPF.

6) Longitud del registro SPF 

La longitud máxima de un registro SPF en el DNS está limitada a 255 caracteres. Sin embargo, este límite puede superarse y un registro TXT para SPF puede contener varias cadenas concatenadas, pero no más allá de un límite de 512 caracteres, para ajustarse a la respuesta de consulta del DNS (según el RFC 4408). Aunque esto se revisó más tarde, los destinatarios que dependen de versiones de DNS más antiguas no podrían validar los correos electrónicos enviados desde dominios que contienen un registro SPF largo.

Optimizar su registro SPF

Para modificar rápidamente su registro SPF puede utilizar las siguientes prácticas recomendadas de SPF:

  • Intente escribir sus fuentes de correo electrónico en orden decreciente de importancia de izquierda a derecha en su registro SPF
  • Elimine las fuentes de correo electrónico obsoletas de su DNS
  • Utilizar mecanismos IP4/IP6 en lugar de A y MX
  • Mantenga el número de mecanismos INCLUDE lo más bajo posible y evite los includes anidados
  • No publique más de un registro SPF para el mismo dominio en su DNS
  • Asegúrese de que su registro SPF no contiene espacios en blanco redundantes ni errores de sintaxis

Nota: No se recomienda aplanar el SPF, ya que no es algo que se haga una sola vez. Si su proveedor de servicios de correo electrónico cambia su infraestructura, tendrá que cambiar sus registros SPF en consecuencia, cada vez.

Optimizar su registro SPF es fácil con PowerSPF

Puede seguir adelante e intentar implementar todas las modificaciones mencionadas anteriormente para optimizar su registro SPF manualmente, o puede olvidarse de las molestias y confiar en nuestro dinámico PowerSPF para que haga todo eso por usted automáticamente. PowerSPF le ayuda a optimizar su registro SPF con un solo clic, en el que puede:

  • Añadir o eliminar fuentes de envío con facilidad
  • Actualice los registros fácilmente sin tener que hacer cambios manuales en sus DNS
  • Obtenga un registro SPF automático optimizado con un solo clic
  • Manténgase por debajo del límite de 10 búsquedas de DNS en todo momento
  • Mitigar con éxito PermError
  • Olvídese de los errores de sintaxis del registro SPF y de los problemas de configuración
  • Le quitamos la carga de resolver las limitaciones del FPS en su nombre

Regístrese en PowerDMARC hoy mismo y diga adiós a las limitaciones del FPS para siempre.  

Como proveedor de servicios DMARC, nos hacen esta pregunta a menudo: "Si DMARC sólo utiliza la autenticación SPF y DKIM, ¿por qué deberíamos molestarnos con DMARC? ¿No es innecesario?"

A primera vista puede parecer que no hay mucha diferencia, pero la realidad es muy diferente. DMARC no es sólo una combinación de las tecnologías SPF y DKIM, es un protocolo completamente nuevo por sí mismo. Tiene varias características que lo convierten en uno de los estándares de autenticación de correo electrónico más avanzados del mundo, y en una necesidad absoluta para las empresas.

Pero espere un momento. No hemos respondido exactamente por qué necesita DMARC. ¿Qué ofrece que no ofrezcan SPF y DKIM? Bueno, esa es una respuesta bastante larga; demasiado larga para una sola entrada del blog. Así que vamos a dividirla y a hablar primero del SPF. En caso de que no estés familiarizado con él, aquí tienes una rápida introducción.

¿Qué es el FPS?

SPF, o Sender Policy Framework, es un protocolo de autenticación de correo electrónico que protege al receptor del correo electrónico de los mensajes falsos. Es esencialmente una lista de todas las direcciones IP autorizadas para enviar correo electrónico a través de sus canales (el propietario del dominio). Cuando el servidor receptor ve un mensaje de su dominio, comprueba su registro SPF que está publicado en su DNS. Si la IP del remitente está en esta "lista", el correo electrónico se entrega. Si no, el servidor rechaza el correo.

Como puede ver, el SPF hace un buen trabajo al mantener alejados muchos correos electrónicos desagradables que podrían dañar su dispositivo o comprometer los sistemas de seguridad de su organización. Pero el SPF no es tan bueno como algunos podrían pensar. Esto se debe a que tiene algunos inconvenientes importantes. Hablemos de algunos de estos problemas.

Limitaciones del SPF

Los registros SPF no se aplican a la dirección From

Los correos electrónicos tienen varias direcciones para identificar a su remitente: la dirección del remitente que normalmente se ve, y la dirección de la ruta de retorno que está oculta y requiere uno o dos clics para verla. Con el SPF activado, el servidor de correo electrónico receptor mira la ruta de retorno y comprueba los registros SPF del dominio de esa dirección.

El problema es que los atacantes pueden aprovecharse de ello utilizando un dominio falso en su dirección de retorno y una dirección de correo electrónico legítima (o que parece legítima) en la sección del remitente. Incluso si el receptor comprobara la identificación del correo electrónico del remitente, vería primero la dirección del remitente, y normalmente no se molestaría en comprobar la ruta de retorno. De hecho, la mayoría de la gente ni siquiera sabe que existe la dirección de retorno.

El SPF se puede eludir con bastante facilidad utilizando este sencillo truco, y deja incluso a los dominios protegidos con SPF muy vulnerables.

Los registros SPF tienen un límite de búsqueda en el DNS

Los registros SPF contienen una lista de todas las direcciones IP autorizadas por el propietario del dominio para enviar correos electrónicos. Sin embargo, tienen un inconveniente crucial. El servidor receptor tiene que comprobar el registro para ver si el remitente está autorizado, y para reducir la carga del servidor, los registros SPF tienen un límite de 10 búsquedas de DNS.

Esto significa que si su organización utiliza varios proveedores de terceros que envían correos electrónicos a través de su dominio, el registro SPF puede acabar sobrepasando ese límite. A menos que se optimice adecuadamente (lo que no es fácil de hacer uno mismo), los registros SPF tendrán un límite muy restrictivo. Cuando se sobrepasa este límite, la implementación del SPF se considera inválida y su correo electrónico falla el SPF. Esto podría perjudicar sus índices de entrega de correo electrónico.

 

El SPF no siempre funciona cuando se reenvía el correo electrónico

El SPF tiene otro punto de fallo crítico que puede dañar la capacidad de entrega de su correo electrónico. Cuando has implementado el SPF en tu dominio y alguien reenvía tu correo, el correo reenviado puede ser rechazado debido a tu política de SPF.

Esto se debe a que el mensaje reenviado ha cambiado el destinatario del correo electrónico, pero la dirección del remitente sigue siendo la misma. Esto se convierte en un problema porque el mensaje contiene la dirección del remitente original, pero el servidor receptor ve una IP diferente. La dirección IP del servidor de correo electrónico de reenvío no está incluida en el registro SPF del dominio del remitente original. Esto puede hacer que el correo electrónico sea rechazado por el servidor receptor.

¿Cómo resuelve DMARC estos problemas?

DMARC utiliza una combinación de SPF y DKIM para autenticar el correo electrónico. Un correo electrónico debe pasar el SPF o el DKIM para pasar el DMARC y ser entregado con éxito. Además, añade una característica clave que lo hace mucho más eficaz que SPF o DKIM por sí solos: Los informes.

Con los informes DMARC, obtendrá información diaria sobre el estado de sus canales de correo electrónico. Esto incluye información sobre su alineación DMARC, datos sobre los correos electrónicos que fallaron en la autenticación y detalles sobre posibles intentos de suplantación.

Si te preguntas qué puedes hacer para que no te suplanten, echa un vistazo a nuestra práctica guía sobre las 5 mejores formas de evitar la suplantación de identidad en el correo electrónico.