¿Qué es el SPF incluido?

Aprenda qué es SPF include y cómo utilizar SPF Include para añadir varios hosts y direcciones IP a su registro SPF sin errores.

por Yunes

Tiempo de lectura: 6 min
¿Qué es el SPF incluido?
Índice-

El mecanismo SPF Include contiene referencias o condiciones -dentro de un registro SPF- que deben cumplirse para cada servidor dado para mejorar la entregabilidad del correo electrónico. Si accidentalmente se olvida de añadir las declaraciones Include para sus proveedores externos en su registro SPF, esto podría dar lugar a problemas para sus destinatarios, como correos electrónicos rebotados, y su tasa de rebote general podría aumentar.

Aprenda qué es el mecanismo "Include" en los registros SPF y cómo puede optimizar las declaraciones SPF Include para sus necesidades.

¿Qué significa SPF Include?

En la sintaxis de su registro SPF, el mecanismo "include" indica registros para transmitir a su servidor de correo electrónico que compruebe los registros que coinciden con el dominio especificado en la línea "include". 

SPF "include" apunta a un dominio cuyos registros SPF se consultarán al comprobar si la IP de envío está permitida o no. Si la dirección IP de envío está incluida en una lista "include" definida por SPF, entonces resultará en una coincidencia y SPF pasa.

Importancia del mecanismo de inclusión múltiple del FPS

 SPF incluyen es importante porque:

➜ Especifica que quieres estar protegido por registros SPF para cualquier dominio que aparezca en tu bloque "include".

➜ Añade reglas que son específicas de un dominio.

➜ Puede utilizar el mecanismo SPF Include para incorporar más reglas de filtrado generales que se apliquen a todos los dominios dentro de la misma clase. Esto significa que, si su aplicación admite varias clases de direcciones de correo electrónico, puede utilizar declaraciones de inclusión para permitir un filtrado más complejo basado en la clase de la dirección del destinatario.

¿Cómo funciona el FPS incluido?

El mecanismo de inclusión SPF permite al propietario de un dominio delegar la responsabilidad de enviar correos electrónicos a otro dominio. Suele utilizarse cuando el propietario de un dominio desea autorizar a un servicio o proveedor externo a enviar correos electrónicos en su nombre.

Así es como funciona el mecanismo de inclusión SPF:

  • El propietario del dominio publica un registro SPF
  • El mecanismo de inclusión en el registro SPF especifica otro dominio o dirección IP que está autorizado a enviar correos electrónicos en su nombre.
  • Durante el proceso de búsqueda, el registro SPF se recupera del DNS del dominio del remitente.
  • El servidor de correo electrónico receptor evalúa el registro SPF para determinar si el servidor remitente está autorizado a enviar correos electrónicos para ese dominio. Si el registro SPF incluye un mecanismo de "inclusión", el servidor receptor procede a comprobar también el registro SPF del dominio incluido.
  • El servidor receptor realiza una búsqueda recursiva consultando al DNS el registro SPF del dominio incluido. Este proceso continúa si hay varias capas de mecanismos de inclusión.

SPF Incluir Ejemplo

Por ejemplo: Si tiene "include:_spf.google.com" en su registro SPF, y se envían correos electrónicos desde una dirección IP de Google, se considerará un remitente de correo electrónico autorizado porque la IP de origen se encuentra dentro del mecanismo "include" del registro SPF de ese dominio. Como resultado, el correo electrónico pasará correctamente por el servidor antes de llegar a su destinatario.

Para autorizar a google como fuente de envío verificada, esta debe ser la sintaxis de su registro SPF: 

v=spf1 include:_spf.google.com ~all

Múltiples registros SPF confunden al servidor destinatario con respecto a qué registro TXT debe tener en cuenta durante una búsqueda, y demasiados spf incluyen la adición de múltiples búsquedas DNS que superarán rápidamente el límite de búsqueda de 10.

Los registros SPF son registros de tipo TXT que comienzan con la cadena v=spf1. Indican a los servidores de correo electrónico qué reglas deben seguir para determinar si un determinado correo electrónico es o no spam. Las reglas incluyen:

  • Un servidor de correo receptor debe verificar que el dominio remitente es un destinatario autorizado de ese mensaje. Si se cumple esta regla, aceptará el mensaje y lo entregará al usuario.

  • Un servidor de correo receptor debe verificar que la dirección IP del dominio remitente coincide con una dirección IP autorizada para ese dominio y que la dirección IP pertenece a un remitente autorizado. Si se cumplen estas condiciones, el mensaje se entregará al usuario.

Por lo tanto, si tiene dos entradas de registro TXT SPF separadas en su servidor, sus correos electrónicos fallarán la autenticación SPF y devolverán un PermError. Esto se debe a que un servidor de correo receptor no sabrá qué regla debe seguir, simplemente ignorará ambos registros TXT.

¿Cómo incluir varios dominios, hosts o direcciones IP en el registro SPF? 

Si desea incluir más de un registro SPF, puede tener problemas con la entrega del correo electrónico (por ejemplo correos electrónicos rechazados como spam). La solución consiste en eliminar los registros SPF infractores y fusionar los dominios o entradas de host en un único registro o línea mediante SPF include.

Considere el ejemplo del registro SPF con numerosos hosts y direcciones ip4 utilizado por uno de los famosos fabricantes de tecnología de electrónica de consumo del mundo, Lenovo.com.

Al realizar la Búsqueda de registros SPF para Lenovo.com, encontramos que ha fusionado 4 dominios:

  1. spf.messagelabs.com
  2. Bloques de red.eloqua.com
  3. spf.protection.outlook.com
  4. spf.pfpool.lenovo.com

y 5 direcciones IP4:

  1. 72.32.45.225
  2. 40.65.201.146
  3. 138.108.60.125
  4. 138.108.24.107
  5. 52.247.21.11

en un solo registro como este:

v=spf1 include:spf.messagelabs.com include:_netblocks.eloqua.com include:spf.protection.outlook.com include:spf.pfpool.lenovo.com ip4:72.32.45.225 ip4:40.65.201.146 ip4:138.108.60.125 ip4:138.108.24.107 ip4:52.247.21.11 ~all

Entender la semántica del registro SPF

Considerando el ejemplo anterior, hemos aprendido que la siguiente regla se aplica cuando se fusionan numerosos hosts o direcciones IP4 en un único registro SPF.

Un registro SPF debe tener 3 secciones para ser considerado válido: la declaración (inicio), el mecanismo de inclusión para los dominios y la etiqueta IP4 para las direcciones IP (centro), y una regla de aplicación (fin).

Declaración: El registro debe comenzar con v=spf1 (no vuelva a utilizar esta cadena en la regla)

Dominios permitidos: Añadir un include: para cada dominio (hay que utilizar el mecanismo SPF Include como include: con cada dominio, se añade en el registro SPF)

IPs permitidas: Añadir una IP4 para cada dirección IP (tiene que utilizar la etiqueta IP4 antes de cada dirección IP que añada al registro SPF)

Norma de aplicación: Terminar el registro con una ~todos (utilice esta cadena al final y sólo una vez)

Una nota importante sobre el FPS incluye

Es importante incorporar el mecanismo "include" en su registro SPF porque le permite incluir otros dominios y hosts en su registro SPF, lo que puede ser útil para verificar la autenticidad de sus mensajes.

Sin embargo, la siguiente regla se aplica al uso del número de búsquedas por registro SPF (como se menciona en la sección 10.1 del RFC 4408):

"Las implementaciones SPF DEBEN limitar el número de mecanismos y modificadores a un máximo de 10 por comprobación SPF, incluyendo cualquier búsqueda causada por el uso del mecanismo "include" o el modificador "redirect"."

Si su implementación de SPF no limita el número de mecanismos y modificadores, dormirá en las comprobaciones de hosts inalcanzables. Como estos hosts nunca se incluirán en sus comprobaciones, nunca recibirán correo de los clientes. Esto puede causar serios problemas con la entrega de correo.

La diferencia entre SPF incluye: y a:

El mecanismo "include" de SPF se utiliza para incluir registros SPF de otro dominio dentro del registro SPF del dominio actual, mientras que el mecanismo "a" de SPF se utiliza para especificar direcciones IP o nombres de host individuales (registros A) que están autorizados a enviar correos electrónicos para el dominio.

SPF incluir vs a

Razones para usar un:

  • Es más práctico y menos complicado
  • Porque no has activado el SPF en los dominios correspondientes
  • Porque el SPF no está configurado correctamente o permite por error otros servidores que no están en sus registros A

Las razones para utilizarlo incluyen:

  • Confía en que el nombre de dominio de un sitio tiene un registro SPF válido
  • Porque quieres tener una única fuente de verdad para no repetirte, y el dominio SPF es complejo
  • Es posible que desee realizar cambios en sus registros SPF sin tener que editar necesariamente los DNS de todos los dominios que incluyen el suyo

Optimización automatizada de SPF Include: para múltiples dominios y direcciones IP

El registro SPF multihost y multidirección IP no es algo nuevo. Pero la forma de construir este tipo de registro requiere una experiencia adecuada para evitar fallo de autenticación SPF o PermError.

Para crear un registro SPF que funcione, debe utilizar el mecanismo include: correctamente. Y para que su política SPF sea eficaz, debe implementarse correctamente en varios hosts y direcciones IP.

Cuando se utiliza PowerDMARC SPF de PowerDMARC le generaremos un registro SPF válido con todos sus hosts y direcciones IP incluidos en una sola línea de texto. Puede añadir tantos dominios e IP como desee, sólo tiene que separarlos por espacios. Lo combinaremos en un único SPF para para que nunca exceda el límite de búsqueda, o se enfrente a problemas de entrega de correo electrónico y hardfail.

Los FPS incluyen

 

Últimos mensajes de Yunes Tarada (ver todos)
¿Cuáles son los indicadores comunes de un intento de phishing?¿Cuáles son los indicadores habituales de un intento de phishing?¿Qué es la suplantación de IP?¿Qué es la suplantación de IP?