Puestos

Sintaxis SPF: Guía completa

Aprender y aplicar los conceptos de SPF es importante para las empresas tecnológicas. Puede protegerlas contra riesgos potenciales de phishing, spamming, ataques BECetc. SPF o Sender Policy Framework funciona mediante el uso de un código SPF que incluye la sintaxis SPF.

En este blog se habla a grandes rasgos de la tabla de sintaxis SPF, los mecanismos SPF, los calificadores SPF y los modificadores SPF, todos ellos necesarios para conocer a fondo el concepto de autenticación de correo electrónico mediante protocolos técnicos. 

Sintaxis SPF para Benginners 

Un registro SPF es un registro DNS que incluye una lista de todas las direcciones IP autorizadas a enviar correos electrónicos utilizando su nombre de dominio oficial. Cuando un servidor fuera de la lista envía un correo electrónico utilizando el dominio, es tratado como no autorizado. Así, su entrada es rechazada por el buzón del destinatario. Esto protege el nombre de su empresa de verse involucrado en actividades maliciosas iniciadas por piratas informáticos. 

Las empresas deben crear y comprobar los registros SPF para evitar ataques de phishing utilizando sus propios nombres de dominio. En 255 millones de ataques de phishing sólo en el primer semestre de 2022. Imagínese lo crucial que se ha vuelto implementar SPF y aprender sobre la sintaxis SPF.

Un registro SPF contiene instrucciones que dirigen al servidor del destinatario para que compruebe y valide los correos electrónicos recibidos de su dominio. También indica qué debe hacerse con los que no superan la autenticación. Un componente específico representa todas las instrucciones.  

Vamos a desglosar cada elemento utilizando un ejemplo de registro SPF. Este es el aspecto de una sintaxis SPF.

v=spf1 ip4:123.1.5.0 ip4:100.5.2.1 include:exampledomain.com ~all

La función de cada elemento es la siguiente:

  • v=spf1 especifica al servidor receptor sobre un registro SPF. Todos los registros SPF deben empezar así.
  • La siguiente sección de esta sintaxis SPF indica las direcciones IP autorizadas a enviar correos electrónicos utilizando su dominio. En el ejemplo anterior, tenemos ip4:123.1.5.0 e ip4:100.5.2.1
  • La sección 'include:exampledomain.com' del ejemplo anterior especifica los terceros autorizados a enviar correos electrónicos utilizando el dominio. La etiqueta 'include' indica a los servidores del destinatario que verifiquen el registro SPF del dominio incluido (exampledomain.com) en busca de direcciones IP que también estén autorizadas. Puede añadir varios dominios dentro de un registro SPF; sin embargo, deben ser válidos.
  • El elemento -all indica a los servidores receptores que marquen los correos electrónicos como NO APTOS para SPF si se envían desde cualquier dominio o dirección IP fuera de la lista especificada en el registro SPF

Sintaxis SPF avanzada

Una tabla de sintaxis SPF se define mediante un registro DNS TXT con una única cadena de texto. Siempre comienza con el elemento 'v=' que especifica la versión SPF utilizada, y por ahora solo hay una versión.

Todos los registros SPF tienen sus términos específicos alistados que se comportan como reglas para los hosts a los que se les permite compartir mensajes utilizando el dominio oficial también puede mostrar alguna información extra. 

En sintaxis avanzada de SPF desglosaremos los los siguientes tres componentes: Mecanismos SPF, Calificadores SPF y Modificadores SPF.

Mecanismos SPF

  1. TODOS: Siempre coincide y es el último mecanismo añadido al final de un registro SPF. Muestra resultados por defecto como '-all' para IPs no coincidentes.
  2. A: Indica un nombre de dominio con un registro AAAA o registro A como coincidencia, ya que clasifica la dirección del remitente. Se utiliza el dominio actual si no se especifica la sintaxis de este registro DNS SPF.
  3. ip4: Una coincidencia es positiva si un remitente está conectado al rango de direcciones ipv4 dado en el registro SPF. Se añade con un prefijo que especifica la longitud del rango. Se utiliza /32 cuando no hay prefijo.
  4. ip6: Una coincidencia es positiva cuando el remitente es aliado del rango de direcciones ipv6 especificado. Se añade con la directiva ip4 y un prefijo que indica la longitud del rango. Se utiliza /128 cuando no hay prefijo.
  5. MX: Permite remitentes con una dirección IP igual a la incluida en el registro MX especificado. Los registros MX constan de una dirección IP y un valor de prioridad para que cada servidor acepte mensajes.
  6. PTR: Especifica el dominio autorizado para ayudar a resolver direcciones IP a subdominios o dominios. Para todos los dominios o subdominios que coincidan exactamente, se realiza una búsqueda hacia delante para obtener la dirección IP.

Este mecanismo se considera lento y poco fiable, ya que requiere múltiples búsquedas. No se recomienda según las directrices RFC 7208.

  1. EXISTE: Realiza una búsqueda de registros DNS A para el dominio introducido. Una coincidencia es correcta cuando se encuentra un registro A válido, independientemente del resultado real de la búsqueda.
  2. INCLUYE: Autoriza a terceros remitentes de correo electrónico indicando sus dominios. Un remitente sólo está autorizado si su dirección IP coincide con las direcciones IP o los dominios facilitados en el registro SPF del dominio incluido.

Calificadores SPF

Cuando un mecanismo no tiene un calificador, y aún así hay una coincidencia correcta, la autenticación SPF pasa. Cada uno de los 8 mecanismos está asociado a uno de los cuatro calificadores que se mencionan a continuación.

Calificador Resultado Acción tomada por el servidor receptor 
+ Pasar El correo electrónico supera con éxito la autenticación SPF y el servidor puede intercambiar correos electrónicos. Los correos electrónicos se marcan como auténticos. Esta es la acción predeterminada que se aplica si no hay calificador.
- Falla El correo falla la autenticación porque el servidor remitente no pertenece a la lista. El correo puede ser rechazado por el buzón del destinatario.
~ SoftFail El buzón del destinatario acepta el mensaje; sin embargo, se marca como sospechoso y va a parar a la carpeta de spam.
? Neutral El mensaje de correo electrónico no pasa ni falla la autenticación. La acción tomada no se especifica y el correo electrónico es aceptado por el receptor.

Modificadores SPF

Los modificadores del SPD se encargan de determinar los parámetros de trabajo de una sintaxis del SPF. Incluyen pares de nombres o valores separados por el símbolo "=", que comparten detalles adicionales y excepciones a las reglas, si las hay.

Los modificadores aparecen una sola vez y sólo en la última sección de un registro SPF. Todos los modificadores no identificados se ignoran en el proceso. El modificador 'redirect' se utiliza para dirigir otros registros SPF para su autenticación. Se utiliza cuando se desea que más de un dominio tenga el mismo contenido de registro SPF.

El mecanismo 'include' se utiliza para dominios de terceros con permiso para enviar correos electrónicos en su nombre o utilizando su nombre comercial. El modificador "exp" especifica por qué el servidor receptor devuelve un calificador SPF incorrecto cuando coincide un mecanismo.

Directrices para los registros SPF

Tenga en cuenta lo siguiente al crear un registro SPF utilizando la tabla de sintaxis SPF.

  • No se pueden alinear varios registros SPF para un mismo dominio.
  • Un registro SPF no debe tener ninguna letra mayúscula; de lo contrario, vería errores.
  • No debe haber más de 255 caracteres. Cualquier cadena que exceda este número resultará en una autenticación fallida.
  • Borrar si hay mecanismos SPF que resuelven al mismo dominio.
  • Elimine cualquier mecanismo SPF ip4 e ip6 que no esté en uso. Además, compruebe si puede fusionar algún rango de direcciones.
  • Puede crear subdominios para almacenar la información SPF. Para ello, utilice '_spf.dominio.com'. Se recomienda para grandes empresas de TI, ya que tienen varias direcciones IP que añadir a un registro SPF.

/por

Formato SPF : Explicación de los formatos básicos y avanzados del FPS

Puede enviar correos electrónicos sin utilizar el formato SPF o sin conocerlo, pero eso no será seguro. El SPF añade una indicación de confianza adicional a los proveedores de buzones de los destinatarios, y todos los correos electrónicos auténticos enviados con su dominio aterrizan en la bandeja de entrada del buzón en lugar de ser marcados como spam.

SPF no es un método infalible; por lo tanto, debe combinarlo con otros autenticación de correo electrónico como DKIM, DMARCy BIMI para mejorar la entregabilidad del correo electrónico.

Dado que estos protocolos son cruciales para el proceso de autenticación del correo electrónico y que todas las empresas que se dedican al correo electrónico deben conocerlos, en este blog nos centraremos en el formato de registro SPF en este blog.

¿Qué es el FPS?

SPF es la abreviatura de Sender Policy Framework, uno de los protocolos de autenticación de correo electrónico más comunes. Funciona utilizando una lista de direcciones IP autorizadas a enviar correos electrónicos utilizando su nombre de dominio. La lista suele incluir las direcciones IP de sus empleados, accionistas y terceros que utilizan directamente su dominio para enviar correos electrónicos.

Si ha implementado el SPF, cualquier correo electrónico enviado desde una dirección IP fuera de la lista se considera no autorizado por el buzón del destinatario.

¿Cómo se autentifica el correo electrónico con el SPF?

Para implementar este protocolo, debe publicar un registro SPF válido (en formato TXT ) en su DNS. Cuando se envía un correo electrónico desde su dominio, el servidor de correo del receptor comprueba la dirección IP del remitente con los registros SPF de su DNS. Si está en la lista, la validación pasa y el correo electrónico llega a la bandeja de entrada. Sin embargo, si no está en la lista, la autenticación falla y los correos electrónicos no llegan a su destino.

Después de implementarlo, debe supervisar regularmente la actividad de su dominio utilizando un comprobador SPF para asegurarse de que no está en el radar de un hacker. Esto puede evitar el spear phishingy los ataques de ransomware que intentan utilizar el nombre de su empresa.

Formato del FPS

El registro SPF es complicado y tiene un formato típico difícil de entender. Aquí hablaremos de la sintaxis del registro SPF y de la estructura del registro SPF: la cabeza y el corazón del formato del registro SPF.

Registro SPF: Sintaxis básica

Un registro SPF es un registro DNS que enumera todas las direcciones IP autorizadas a enviar correos electrónicos utilizando su dominio de correo electrónico. Esta es la sintaxis de un registro SPF:

v=spf1 ip4=193.0.1.0 ip4=193.0.1.1 include:samplesender.net -all

Veamos los elementos que incluye.

  • v=spf1- Indica al servidor que esto contiene un registro SPF. Cada registro SPF debe comenzar con esta cadena.
  • ip4=193.0.1.0 ip4=193.0.1.1- Indica las direcciones IP permitidas para enviar correos electrónicos utilizando un dominio específico.
  • Incluir:examplesender.net: Es indica a los terceros autorizados a enviar correos electrónicos. La etiqueta 'include' indica a los servidores de los destinatarios que verifiquen el registro SPF del dominio incluido (aquí- samplesender.net). Puede añadir varios dominios dentro de un registro SPF.
  • -all: indica a los servidores de los destinatarios que rechacen los correos electrónicos procedentes de direcciones IP no autorizadas, básicamente las no incluidas en la lista. 

Registro SPF: Sintaxis avanzada

Según el formato del registro SPF para las sintaxis, siempre comienza con el elemento 'v='. Indica la versión del SPF; actualmente, sólo hay una versión, por lo que todos los formatos de registro SPF comienzan así.

La sintaxis del registro SPF tiene tres elementos principales: el mecanismo SPF, los calificadores SPF y los modificadores SPF. Veamos cuáles son.

Mecanismos

Estos son los ocho mecanismos

  1. ALL: Esto significa que siempre hay una coincidencia. Verás resultados por defecto como '-all' para las IPs no coincidentes.
  2. A: El nombre de dominio con registro de dirección A o AAAA coincide con la dirección del remitente.
  3. IP4: La coincidencia es válida cuando el remitente está vinculado al rango de direcciones IPv4 indicado.
  4. IP6: La coincidencia es válida cuando el remitente está vinculado al rango de direcciones IPv6 indicado.
  5. MX: La dirección de correo electrónico del remitente sólo se valida si su nombre de dominio incluye un registro MX para su resolución.
  6. PTR: La coincidencia se autoriza si el registro PTR pertenece a un determinado dominio que resuelve la dirección del cliente. Los expertos no sugieren su uso, ya que podría bloquear todos los correos electrónicos enviados con su dominio.
  7. EXISTE: Funciona si el nombre de dominio dado está validado. Este mecanismo SPF funciona con todas las direcciones resueltas. 
  8. INCLUIR: Hace referencia a otras políticas de dominio. Por lo tanto, si pasa, pasa automáticamente. Sin embargo, si la política incluida falla, el procesamiento continúa. 

Modificadores

Los modificadores determinan el marco funcional de un registro SPF. Consisten en pares de nombres o valores separados por el símbolo '=', que señalan información adicional. Se ven muchas veces al final del registro SPF, y todos los modificadores no reconocidos se ignoran en el proceso.

El modificador "redirect" dirige a otros registros SPF responsables de un funcionamiento eficaz. Los expertos los utilizan siempre que hay más de un dominio vinculado al mismo registro SPF. Este modificador debe utilizarse si una sola entidad controla todos los dominios; en caso contrario, se utiliza el modificador 'include'.

Calificadores

Cada mecanismo puede combinarse con uno de los cuatro calificadores.

'+' para el resultado PASS

'?' para un resultado NEUTRAL interpretado como la política NONE.

'~' para SOFTFAIL. Normalmente, los mensajes que devuelven un SOFTFAIL son aceptados pero etiquetados. 

'-' para FAIL, el correo electrónico es rechazado.

Conclusión

El SPF evita que los ciberataques se comprometan a utilizar el nombre y la reputación de su marca. Puede evitar que los correos electrónicos enviados por los hackers utilizando su dominio lleguen a su público objetivo. Esto funciona alistando y permitiendo que solo entidades de confianza envíen correos electrónicos utilizando su dominio. 

Después de comprender la estructura y los componentes del formato de registro SPF, puede utilizar la función Generador de registros SPF si aún no has implementado el protocolo.

/por

Sintaxis del registro SPF

El registro Sender Policy Framework(SPF) es una parte importante del sistema de autenticación, notificación y conformidad de mensajes basado en el dominio (DMARC) que especifica un método para evitar la falsificación de direcciones de remitentes.

Los registros SPF son complejos de configurar y pueden surgir problemas de implementación si no se configuran correctamente. Además, la sintaxis de los registros SPF utiliza algunos términos específicos que pueden resultar confusos cuando se encuentran por primera vez. Por lo tanto, en esta entrada del blog, examinamos la sintaxis de los registros SPF y lo que debe tener en cuenta al configurarlos.

¿Qué es un registro SPF?

Un registro SPF es un tipo de registro DNS que identifica qué servidores están autorizados a enviar un correo electrónico en nombre de su dominio. Para ello, enumera los servidores que han sido autorizados a enviar correos electrónicos para su dominio; si cualquier otro servidor intenta enviar un correo electrónico en nombre de su dominio, será rechazado como remitente no autorizado.

El propósito de un registro SPF es evitar que usuarios malintencionados envíen mensajes de correo electrónico falsos con su dominio en el campo "De". Esto puede ocurrir si un atacante envía cantidades masivas de correos electrónicos no deseados desde su servidor suplantando o falsificando su dominio

¿Cómo funciona el FPS?

1. Creación de una sintaxis de registro SPF

Usted crea una sintaxis de registro SPF en su servidor DNS que especifica qué direcciones IP están autorizadas a enviar correos electrónicos desde su dominio. Esto significa que si alguien intentara enviar correos electrónicos falsos desde su dominio, sus mensajes fallarían porque la dirección IP de su servidor de correo no figuraría como uno de los servidores autorizados.

Por ejemplo, si quieres que sólo las cuentas de Gmail puedan enviar correo desde tu nombre de dominio, pero no las cuentas de Outlook, entonces añadirías la siguiente línea a tu registro SPF:

 v=spf1 a mx include:_spf.google.com ~all

 Esto indica a los servidores que cualquier mensaje enviado desde cualquier host cuya dirección IP termine en _spf.google.com debe considerarse válido (m), mientras que todos los demás mensajes deben descartarse (a). 

Puede utilizar nuestro generador de registros SPF para empezar a crear un registro gratuito.

2. Búsqueda de DNS

Cuando un remitente de correo electrónico intenta enviar un mensaje, el servidor del destinatario realiza una búsqueda de DNS en el dominio remitente para ver si hay un registro SPF, lo que se denomina "autenticación". Hay un límite de 10 búsquedas permitidas por consulta, cuyo exceso provoca error SPF.

Si no hay registro SPF, la autenticación falla y el mensaje no se entrega. Si hay un registro SPF, el servidor SPF comprueba las direcciones IP en el registro TXT en el nombre de host especificado en el registro SPF.

 Si no hay direcciones IP especificadas, fallará la autenticación. En caso contrario, realizará una consulta A para cada dirección IP especificada en el orden de aparición en el registro TXT.

La dirección IP que devuelva un código de resultado NXDOMAIN o NOERROR se considerará autorizada por el servidor SPF y su nombre de host se añadirá a una lista de hosts de envío autorizados para ese dominio.

3. Resultado de la autenticación

El servidor de correo entrega el mensaje al destinatario o lo marca para que sea rechazado en función de las reglas especificadas en el registro SPF.

Los resultados de la autenticación pueden adoptar tres formas: Aprobado, neutro o suspenso.

Aprobado significa que el servidor de correo acepta el mensaje como legítimo y permite su entrega. Neutral significa que no hay ningún registro o uno inválido para ese dominio en el DNS, por lo que no hay forma de saber si se trata o no de un mensaje legítimo de ese dominio. Fallo significa que algo en este mensaje no era lo suficientemente auténtico como para ser entregado.

Por ejemplo, un servidor de correo con la dirección IP '234.2.1.2' envía un correo electrónico desde '[email protected]'. El servidor de entrada consultará el servicio de nombres de dominio(DNS) para determinar si esta dirección IP está autorizada a enviar correos electrónicos en nombre del dominio 'apple.com'. Si es así, el mensaje se entregará; en caso contrario, se descartará o se marcará como spam, es decir, se clasificará según el mecanismo especificado en el registro SPF.

Sintaxis del registro SPF

La sintaxis del registro SPF se compone de varios elementos: directivas, calificadores y mecanismos.

Las directivas son la primera parte de la sintaxis de un registro SPF. Indican cómo interpretar el resto del registro. En un registro SPF pueden aparecer tres directivas: v=spf1, a y mx. La directiva v indica que este registro es un registro SPFv1; la directiva a indica que este registro es un informe de fallo de autenticación del estilo SPFv2; la directiva mx especifica una lista de servidores de intercambio de correo para un dominio.

Los calificadores especifican en qué lugar de su zona DNS desea colocar sus registros SPF: exim4, enduser o _spf. Estos calificadores indican a los receptores de correo dónde deben buscar sus registros SPF cuando los comprueban con sus registros DNS.

Los mecanismos se utilizan para indicar cómo desea tratar las direcciones de correo electrónico que no superan la comprobación SPF. Puede elegir entre varios mecanismos: todos, ninguno, softfail, neutralizar o rechazar.

  • todos aceptará todos los correos electrónicos de los remitentes que hayan pasado su comprobación SPF;
  • ninguno rechazará todo lo que provenga de remitentes que hayan pasado su comprobación SPF;
  • softfail aceptará los correos electrónicos de remitentes que no hayan superado una comprobación SPF, pero los marcará como sospechosos;
  • neutral indica que no rechazas ni aceptas los mensajes enviados desde tu dominio, es básicamente una postura de "no opinión" sobre si el mensaje debe ser aceptado o rechazado;
  • rechazar rechazará los correos electrónicos que no hayan superado la comprobación SPF.

Calificadores de la sintaxis del registro SPF

Los "calificadores" en la sintaxis de un registro SPF ayudan a indicar el alcance del registro SPF. Se utilizan principalmente para indicar si una dirección IP específica está autorizada o no a enviar correos electrónicos en nombre de su dominio.

Calificador Código de resultado Explicación
+ Pasar el único calificador sin connotación negativa. Indica que el registro de seguridad del nombre de dominio no contiene errores ni advertencias y se considera seguro.
- Falla indica que el registro de seguridad del nombre de dominio contiene errores o advertencias que impiden considerarlo seguro.

 
~ Softfail indica que el registro de seguridad del nombre de dominio contiene errores o advertencias que no impiden que se considere seguro, pero pueden indicar problemas con la resolución de DNS u otras cuestiones relacionadas con los anclajes de confianza de DNS.
? Neutral Indica que el dominio no tiene un registro SPF o que su registro era sintácticamente correcto pero no coincidía con ningún servidor de envío cuando se comprobaba con uno (o más) servidores de envío en su lista de direcciones IP de confianza para ese dominio.

Mecanismos de sintaxis del registro SPF 

Los mecanismos se utilizan en la sintaxis del registro SPF para indicar al servidor receptor qué tipo de mecanismo de autenticación debe utilizar. Hay dos tipos de mecanismos: 

  • el emisor puede especificar un conjunto concreto de mecanismos;
  • O puede especificar que todos los mecanismos están permitidos.
Mecanismo Propósito La directiva se aplica cuando Aplicación
a define el registro DNS A del dominio como autorizado. Si esta directiva no se especifica, se utiliza el dominio actual.

 

 

 puede aplicarse cuando se consulta un registro A o AAAA en un dominio que contiene la dirección IP del remitente. a

a/<prefix-length>

a:<domain>

a:<domain>/<prefix-length>
todo La directiva all siempre coincide, y define la política para todas las demás fuentes. Este mecanismo debe aplicarse siempre, y este mecanismo siempre coincide. todo
existe Comprueba si un registro A es válido o no para un dominio determinado. Funciona mirando todos los registros A de ese dominio y viendo si alguno de ellos coincide con los criterios establecidos en su registro SPF. Se aplica cuando hay algún registro A en dicho dominio o si se autorizaron otros criterios, según RFC7208. exists:<domain>
incluye El propósito de este mecanismo es especificar el dominio y buscar una coincidencia, así como devolver un error permanente si el dominio no tiene un registro SPF válido. El mecanismo de "inclusión" en los registros SPF puede utilizarse para incluir otros registros SPF dentro del registro de un dominio. Si un dominio no tiene un registro SPF, pero otro dominio sí y ese otro dominio tiene una dirección IP que coincide con la dirección IP del remitente, entonces el mecanismo "include" hará que se utilice el dominio con la dirección IP coincidente a efectos de autorización.

 

 include:<domain>
ip4 Puede especificar un rango de IPv4 con la directiva "ip4", junto con un prefijo que denote la longitud del rango. Si no se especifica ningún prefijo, se asume /32. El mecanismo "ip4" se aplicará si alguna de estas condiciones es cierta:

 

- La dirección IPv4 especificada coincide con la de una dirección IP de su registro SPF.

 

- La subred IPv4 especificada contiene la dirección IP del remitente.

 ip4:<ip4-address>

ip4:<ip4-network>/<prefix-length>
ip6 Puede especificar un rango IPv6 con la directiva "ip4", junto con un prefijo que denote la longitud del rango. Si no se especifica ningún prefijo, se asume /128. El mecanismo "ip6" se aplicará si alguna de estas condiciones es cierta:

 

- La dirección IPv6 especificada coincide con la de una dirección IP de su registro SPF.

 

- La subred IPv6 especificada contiene la dirección IP del remitente.

 ip6:<ip6-address>

ip6:<ip6-network>/<prefix-length>
mx El mecanismo "mx", tal y como se define en el registro SPF, define el registro de Intercambio de Correo (MX) del Sistema de Nombres de Dominio (DNS) de un dominio como autorizado. El registro DNS MX determina qué servidor es responsable de aceptar mensajes de correo electrónico en nombre del dominio. El registro DNS MX contiene una dirección IP y un valor de prioridad para cada servidor que puede utilizarse para aceptar mensajes.

 

Cuando un registro MX de un dominio contiene una dirección IP que coincide con la dirección IP del remitente, esto indica que este remitente está autorizado a enviar correos electrónicos en nombre de este dominio.

 mx

mx/<prefix-length>

mx:<domain>

mx:<domain>/<prefix-length>
ptr El mecanismo ptr utiliza el nombre de host o subdominio inverso de la dirección IP de envío para definir el nombre de dominio de destino. Sólo se aplica si hay al menos un registro MX para el dominio consultado o especificado y ese registro MX contiene un registro PTR con un FQDN para la dirección IP del remitente. ptr

ptr:<domain>

Modificadores de la sintaxis del registro SPF

En la sintaxis del registro SPF, se pueden utilizar modificadores para cambiar el comportamiento por defecto de un registro SPF. Los modificadores pueden utilizarse para especificar excepciones a las reglas, o pueden utilizarse para proporcionar información adicional al receptor.

Modificador Propósito Aplicación
exp El modificador "exp" es un valor que especifica una explicación de por qué un mensaje fue rechazado. Está pensado para ayudar a los remitentes a evitar ciertos tipos de problemas, y puede utilizarse para informarles de la razón específica por la que su mensaje no fue aceptado por el servidor receptor. exp=<domain>
redirigir El modificador de redirección es una cadena que sustituye al nombre completo del dominio en el registro SPF. El propósito de este modificador es redirigir todo el correo enviado al dominio a otro servidor. Esto puede ser útil para los dominios con múltiples registros MX o para los dominios que han sido reasignados a otra empresa pero que siguen utilizando las mismas direcciones de correo electrónico. redirect=<domain>

Conclusión

El registro SPF es una parte importante de los registros DNS de su dominio. Indica a otros servidores de correo cómo autenticar los mensajes que dicen provenir de usted, lo que significa que es importante que tenga un registro SPF correctamente configurado. Sin embargo, asegúrese de combinar el SPF con el DMARC para mejorar la protección contra el compromiso del correo electrónico y la suplantación de identidad. 

La página web Herramienta de búsqueda de registros SPF puede ayudarle a hacerlo. La herramienta de búsqueda le dará una visión rápida de cómo es su registro SPF actual, incluyendo si le falta algún campo obligatorio.El generador le permitirá crear una sintaxis de registro SPF desde cero, completa con todos los campos requeridos para que se pueda añadir a sus registros DNS de inmediato.

/por