¿Qué es el SPF incluido?

El mecanismo SPF Include contiene referencias o condiciones -dentro de un registro SPF- que deben cumplirse para cada servidor dado para mejorar la entregabilidad del correo electrónico. Si accidentalmente se olvida de añadir las declaraciones de inclusión para sus proveedores externos en su registro SPF, esto podría dar lugar a problemas para sus destinatarios, como correos electrónicos rebotados, y su tasa de rebote general podría aumentar.

Aprenda qué es el mecanismo "Include" en los registros SPF y cómo puede optimizar las declaraciones SPF Include para sus necesidades.

¿Qué es el SPF incluido?

En su sintaxis del registro SPF, el mecanismo "include" indica los registros para transmitir a su servidor de correo electrónico que compruebe los registros que coinciden con el dominio especificado en la línea "include".

El "include" apunta a un dominio cuyos registros SPF serán consultados al comprobar si la IP de envío está permitida o no. Si la dirección IP de envío está incluida en una lista de "inclusión" definida por SPF, entonces resultará en una coincidencia y SPF pasa.

SPF Incluir es importante porque:

➜ Especifica que quieres estar protegido por registros SPF para cualquier dominio que aparezca en tu bloque "include".

➜ Añade reglas que son específicas de un dominio.

➜ Puede utilizar el mecanismo SPF Include para incorporar más reglas de filtrado generales que se apliquen a todos los dominios dentro de la misma clase. Esto significa que, si su aplicación admite varias clases de direcciones de correo electrónico, puede utilizar declaraciones de inclusión para permitir un filtrado más complejo basado en la clase de la dirección del destinatario.

Por ejemplo:

Si tienes "include:_spf.google.com" en tu registro SPF, y los correos electrónicos se envían desde una dirección IP de Google, se considerará un remitente de correo electrónico autorizado porque la IP de origen se encuentra dentro del mecanismo "include" del registro SPF de ese dominio. Como resultado de esto, el correo electrónico pasará con éxito por el servidor antes de llegar a su destinatario.

No se permite más de un registro SPF: Pero, ¿por qué?

Los registros SPF múltiples no están permitidos.

Los registros SPF son registros de tipo TXT que comienzan con la cadena v=spf1. Indican a los servidores de correo electrónico qué reglas deben seguir para determinar si un determinado correo electrónico es o no spam. Las reglas incluyen:

• Un servidor de correo receptor debe verificar que el dominio remitente es un destinatario autorizado de ese mensaje. Si se cumple esta regla, aceptará el mensaje y lo entregará al usuario.
•  Un servidor de correo receptor debe verificar que la dirección IP del dominio remitente coincide con una dirección IP autorizada para ese dominio y que la dirección IP pertenece a un remitente autorizado. Si se cumplen estas condiciones, el mensaje se entregará al usuario.

Por lo tanto, si tiene dos entradas de registro TXT SPF separadas en su servidor, sus correos electrónicos fallarán la autenticación SPF y devolverán un PermError. Esto se debe a que un servidor de correo receptor no sabrá qué regla debe seguir, simplemente ignorará ambos registros TXT.

SPF Incluir Varios Dominios o Hosts o Direcciones IP: Instrucciones de cómo hacerlo

Si quiere incluir más de un registro SPF, puede tener problemas con la entrega del correo electrónico (por ejemplo, que el correo sea rechazado como spam). La solución es eliminar los registros SPF infractores y fusionar los dominios o entradas de host en un único registro o línea a través de SPF include.

Considere el ejemplo del registro SPF con numerosos hosts y direcciones ip4 utilizado por uno de los famosos fabricantes de tecnología de electrónica de consumo del mundo, Lenovo.com.

Al realizar la Búsqueda de registros SPF para Lenovo.com, encontramos que ha fusionado 4 dominios:

1. spf.messagelabs.com
2. Bloques de red.eloqua.com
3. spf.protection.outlook.com
4. spf.pfpool.lenovo.com

y 5 direcciones IP4:

1. 72.32.45.225
2. 40.65.201.146
3. 138.108.60.125
4. 138.108.24.107
5. 52.247.21.11

en un solo registro como este:

v=spf1 include:spf.messagelabs.com include:_netblocks.eloqua.com include:spf.protection.outlook.com include:spf.pfpool.lenovo.com ip4:72.32.45.225 ip4:40.65.201.146 ip4:138.108.60.125 ip4:138.108.24.107 ip4:52.247.21.11 ~all

Entender la semántica del registro SPF

Considerando el ejemplo anterior, hemos aprendido que la siguiente regla se aplica cuando se fusionan numerosos hosts o direcciones IP4 en un único registro SPF.

Un registro SPF debe tener 3 secciones para ser considerado válido: la declaración (inicio), el mecanismo de inclusión para los dominios y la etiqueta IP4 para las direcciones IP (centro), y una regla de aplicación (fin).

➜ Declaración: El registro debe comenzar con v=spf1 (no vuelva a utilizar esta cadena en la regla)

➜ Dominios permitidos: Añadir un include: para cada dominio (hay que utilizar el mecanismo SPF Include como include: con cada dominio, se añade en el registro SPF)

➜ IPs permitidas: Añadir una IP4 para cada dirección IP (tiene que utilizar la etiqueta IP4 antes de cada dirección IP que añada al registro SPF)

➜ Norma de aplicación: Terminar el registro con una ~todos (utilice esta cadena al final y sólo una vez)

Una nota importante sobre el FPS incluye

Es importante incorporar el mecanismo "include" en su registro SPF porque le permite incluir otros dominios y hosts en su registro SPF, lo que puede ser útil para verificar la autenticidad de sus mensajes.

Sin embargo, la siguiente regla se aplica al uso del número de búsquedas por registro SPF (como se menciona en la sección 10.1 del RFC 4408):

"Las implementaciones de SPF DEBEN limitar el número de mecanismos y modificadores a un máximo de 10 por comprobación SPF, incluyendo cualquier búsqueda causada por el uso del mecanismo "include" o el modificador "redirect"."

Si su implementación de SPF no limita el número de mecanismos y modificadores, dormirá en las comprobaciones de hosts inalcanzables. Como estos hosts nunca se incluirán en sus comprobaciones, nunca recibirán correo de los clientes. Esto puede causar serios problemas con la entrega de correo.

La diferencia entre SPF incluye: y a:

a: Compruebe la dirección IP para ver si coincide con un registro A de su dominio.

incluir: Comprobar todo el registro SPF de un dominio, evaluar la IP con respecto a él, y si se encuentra PASS entonces se devolverá como resultado de toda la prueba.

Razones para usar un:

• Es más práctico y menos complicado
• Porque no has activado el SPF en los dominios correspondientes
• Porque el SPF no está configurado correctamente o permite por error otros servidores que no están en sus registros A

Las razones para utilizarlo incluyen:

• Confía en que el nombre de dominio de un sitio tiene un registro SPF válido
• Porque quieres tener una única fuente de verdad para no repetirte, y el dominio SPF es complejo
• Es posible que desee realizar cambios en sus registros SPF sin tener que editar necesariamente los DNS de todos los dominios que incluyen el suyo

Optimización automatizada de SPF Include: para múltiples dominios y direcciones IP

El registro SPF multihost y multidirección IP no es algo nuevo. Pero la forma de construir este tipo de registro requiere una experiencia adecuada para evitar fallo de autenticación SPF o PermError.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Director de Marketing Digital y Redacción de Contenidos en PowerDMARC

Ahona trabaja como responsable de marketing digital y redacción de contenidos en PowerDMARC. Es una apasionada escritora, bloguera y especialista en marketing de ciberseguridad y tecnologías de la información.

Últimas publicaciones de Ahona Rudra (ver todas)

• Pasos para prevenir los ataques DDoS - 29 de septiembre de 2022
• Soluciones antispoofing - 29 de septiembre de 2022
• Integración DMARC SIEM - 28 de septiembre de 2022