¿Qué es el SPF para el correo electrónico?

SPF son las siglas de Sender Policy Framework. Se trata de un protocolo de autenticación de correo electrónico diseñado para detectar la suplantación de identidad y evitar que remitentes no autorizados envíen mensajes en nombre de un dominio concreto. Cada 39 segundos se produce un ciberataque en todo el mundo.la mayoría de los cuales puede perpetrarse a través del correo electrónico. SPF ayuda a autorizar a sus remitentes para que su dominio no pueda ser manipulado por un remitente de correo electrónico no autorizado. SPF o Sender Policy Framework es un protocolo de autenticación de correo electrónico que sólo permite a determinadas IP enviar correos electrónicos utilizando un nombre de dominio. Cualquier dirección IP fuera de la lista no llegará al buzón del destinatario, ya que provoca un fallo SPF. La política SPF, definida en el registro DNS, enumera los servidores de correo autorizados a enviar mensajes en nombre de su dominio.

Los registros de correo electrónico SPF ayudan a mantener una lista de remitentes verificados para su dominio que puede ser consultada públicamente y recuperada por los servidores receptores para autenticar los correos electrónicos y se mencionan en RFC 7208. Protege sus dominios de correo electrónico de los hackers para evitar ataques de phishing, spam y suplantación de identidad. Las técnicas de autenticación de correo electrónico como SPF son ideales para mantener protegido su dominio de correo electrónico.

¿Cómo funciona el FPS?

SPF funciona permitiendo a los propietarios de dominios publicar una lista de servidores de correo electrónico autorizados (direcciones IP o nombres de host) que pueden enviar correos electrónicos en su nombre. He aquí cómo funciona SPF paso a paso: 

1. Publicar su registro para SPF

El propietario del dominio publica un registro SPF en el DNS (Domain Name System) de su dominio. DNS es un sistema que traduce nombres de host legibles por humanos en direcciones IP legibles por máquinas. El registro SPF es un registro DNS TXT que contiene una lista de servidores autorizados a enviar correos electrónicos para ese dominio.

2. Se recibe su correo electrónico

Cuando se envía un correo electrónico, contiene información sobre el dominio del remitente, que a menudo se encuentra en la dirección Return-Path (también conocida como remitente del sobre o dirección MAIL FROM), que especifica adónde deben ir los correos electrónicos devueltos.

3. Extracción del dominio del remitente

El servidor de correo electrónico del destinatario extrae el dominio de la dirección de correo electrónico Return-Path del encabezado del correo electrónico.

4. Se realiza la búsqueda DNS

El servidor de correo electrónico del destinatario realiza una búsqueda DNS para recuperar el registro SPF TXT del dominio del remitente identificado en el paso anterior.

5. Se realiza la autenticación SPF

El registro SPF contiene una política que define qué servidores están autorizados a enviar correos electrónicos para el dominio. El servidor de correo electrónico del destinatario compara la dirección IP del servidor que envió el correo electrónico con la lista de servidores autorizados especificada en el registro SPF. La dirección de correo electrónico de la ruta de retorno se coteja en el extremo del destinatario para verificar si la dirección IP de envío figura o no en los registros SPF.

6. Se determina el resultado final de la autenticación

Basándose en la comprobación SPF, el servidor de correo electrónico del destinatario determina si el correo electrónico procede de un servidor autorizado o no (Pass, Fail, SoftFail, Neutral, etc.).

7. Se toman medidas en función de los resultados

El servidor de correo electrónico del destinatario actúa en función del resultado de la comprobación SPF y de la política DMARC del dominio (si existe). Puede aceptar el correo, marcarlo como spam o rechazarlo por completo. Si la aprobación es positiva, los correos electrónicos suelen enviarse a la bandeja de entrada; de lo contrario, puede provocar un fallo SPF.

¡Configure el SPF con PowerDMARC!

Cómo utilizar SPF con su correo electrónico

Para utilizar el estándar de correo electrónico SPF, debe asegurarse de que comprende correctamente cómo funciona y comprobar la compatibilidad con SPF de su dominio y proveedor de servicios de correo electrónico. A continuación, puede crear un registro para SPF, publicar el registro en su DNS e, idealmente, combinar su implementación DNS SPF con DKIM y DMARC para evitar la suplantación de identidad. Debe tenerse en cuenta que SPF autentica el servidor remitente y no valida necesariamente la identidad del remitente o el contenido del mensaje. El uso de SPF con DKIM, DMARC y, potencialmente, BIMI para una autenticación de correo electrónico más completa puede mejorar significativamente la seguridad de su correo electrónico.

Cómo activar SPF para su correo electrónico

Para crear un registro SPF, debe seguir estos pasos generales:

Determinar los servidores de correo electrónico autorizados

Identifica las direcciones IP o los nombres de host de todos los servidores de correo electrónico autorizados para enviar correos electrónicos en nombre de tu dominio. Esto incluye los servidores de correo electrónico de tu propia organización, los proveedores de servicios de correo electrónico de terceros (como Google Workspace, Microsoft 365, SendGrid, Mailchimp, etc.) y cualquier otro servicio que envíe correo electrónico utilizando tu nombre de dominio. Recopila una lista completa de todas estas direcciones IP y dominios de envío.

Defina su política SPF

Determinar la política para SPF. Esto implica especificar a qué servidores se les permite enviar correos electrónicos para su dominio utilizando mecanismos SPF. También debe decidir el grado de rigor con el que los servidores receptores deben aplicar la política mediante calificadores (por ejemplo, `todos` para Fail, `~todos` para SoftFail).

Determinar el formato SPF

Los registros SPF se publican como un registro TXT en el DNS de su dominio. El registro debe tener un formato específico, empezando por `v=spf1` seguido de mecanismos, modificadores y un mecanismo final `all` con un calificador.

Publicar el registro SPF

En primer lugar, genere su registro SPF. Puede utilizar nuestra herramienta gratuita de generación de SPF o construir manualmente el registro basándose en sus remitentes autorizados y su política. A continuación, accede al sistema de gestión de DNS de tu dominio, que suele proporcionar tu registrador de dominios o proveedor de alojamiento. Localiza la configuración DNS de tu dominio y añade un nuevo registro TXT. Especifique el nombre de host (normalmente "@" o en blanco para el propio dominio raíz) y pegue la cadena completa del registro SPF en el campo de valor/datos.

Ejemplo de registro SPF

Un registro SPF TXT en su DNS tendrá este aspecto:

Este registro define un conjunto de hosts como remitentes válidos. Por ejemplo, `v=spf1 ip4:192.168.0.0/16 include:spf.ejemplo.com -all` significa:

• v=spf1`: Especifica la versión SPF que se está utilizando.
• `ip4:192.168.0.0/16`: Autoriza los correos electrónicos enviados desde cualquier dirección IP dentro de este rango.
• `incluir:spf.ejemplo.com`: Incluye el registro SPF de `spf.ejemplo.com`, autorizando efectivamente a cualquier remitente listado allí. Esto cuenta como una búsqueda DNS.
• Todos Indica que cualquier remitente que no coincida con los mecanismos anteriores debe fallar la comprobación SPF (ser rechazado).

La estructura suele incluir mecanismos, modificadores y calificadores:

Mecanismos:

Definen los servidores autorizados a enviar correo electrónico. Los mecanismos comunes incluyen: `a`, `mx`, `ip4`, `ip6`, `include`, `exists` y `all`.

1. `ALL`: Coincide siempre. Se utiliza para el final del registro (por ejemplo, `-all`).
2. `A`: Coincide si la IP del remitente coincide con el registro A o AAAA del dominio.
3. IP4 Coincide si la IP del remitente está dentro del rango IPv4 especificado.
4. IP6 Coincide si la IP del remitente está dentro del rango IPv6 especificado.
5. MX Coincide si la IP del remitente coincide con una de las direcciones IP de los registros MX del dominio.
6. `PTR`: Coincide si el registro PTR para la IP del remitente apunta a un dominio que resuelve de vuelta a la IP del remitente. (Se desaconseja su uso por ineficacia y falta de fiabilidad).
7. EXISTS Coincide si el nombre de dominio dado se resuelve.
8. INCLUDE Incluye la política de otro dominio. Se produce un procesamiento recursivo.

Modificadores:

Proporcionan información adicional o modifican el funcionamiento del registro. Los principales modificadores son `redirect` (apunta al registro SPF de otro dominio, sustituyendo al actual) y `exp` (proporciona una explicación de los fallos SPF). Los modificadores aparecen al final, después de los mecanismos.

Clasificatorios:

Se antepone a los mecanismos para indicar cómo tratar una coincidencia:

• `+`: Aprobado (por defecto)
• `-`: Fallo (el correo electrónico debe ser rechazado)
• `~`: SoftFail (El email debe ser aceptado pero marcado/escrutinado)
• `?`: Neutral (No se aplica ninguna política; se trata como Ninguna)

¿Cómo comprobar y verificar el FPS?

Una vez que haya configurado su registro SPF, los cambios de DNS pueden tardar algún tiempo (hasta 48 horas, aunque a menudo mucho menos) en propagarse por Internet. Utilice nuestra Comprobación del registro SPF para validar y probar su registro. Esto ayuda a verificar la corrección de la sintaxis y asegura que está siendo reconocido por los servidores DNS.

Es importante tener en cuenta que los registros SPF pueden ser complejos, dependiendo de los requisitos específicos de su infraestructura de correo electrónico. Si no está seguro de la sintaxis o necesita configuraciones más avanzadas, se recomienda consultar al administrador del sistema, al servicio de asistencia informática o a un experto en autenticación de correo electrónico para que le ayuden a crear el registro SPF correctamente.

SPF para proveedores de terceros

¿Qué es SPF para sus proveedores externos? Para autorizar a terceros (como plataformas de marketing, CRMs, servicios de asistencia) a enviar correo electrónico en su nombre, necesita incluir sus direcciones IP específicas o sus dominios designados para gestionar SPF (utilizando el mecanismo `include:`) en el registro SPF único de su dominio. Pero cuidado, no cree varios registros SPF para el mismo dominio, ya que esto invalida el SPF por completo. Todos los remitentes autorizados deben figurar en un registro consolidado.

Por ejemplo, si utiliza SuperEmails.net como remitente de correo electrónico y su dominio de gestión de SPF es spf.superemails.net, su registro SPF podría ser:

v=spf1 include:spf.superemails.net -all

Si también utilizas AnotherSender.com cuyas IPs son 1.2.3.4 y 5.6.7.8, las combinarías:

v=spf1 ip4:1.2.3.4 ip4:5.6.7.8 include:spf.superemails.net -all

¿Por qué es importante el marco de directivas de remitente para el correo electrónico?

SPF es importante para garantizar que los correos electrónicos enviados desde su dominio son auténticos y no falsos señuelos creados por ciberatacantes para engañar a sus clientes, empleados o socios. Con miles de millones de correos spam enviados diariamente, SPF es un paso fundamental para proteger su dominio. Estas son algunas de las principales ventajas del SPF: 

Reducción de la suplantación de identidad en el correo electrónico y prevención de ciberataques

SPF ayuda a combatir la suplantación de direcciones de correo electrónico verificando la autenticidad del servidor remitente. Los actores maliciosos suelen utilizar direcciones falsificadas para el phishing, el spam y otros ciberataques. Un registro SPF correctamente configurado hace que les resulte mucho más difícil suplantar su dominio con éxito.

Mejora de la entregabilidad del correo electrónico y reducción de la tasa de rebote

Implementar SPF puede mejorar los índices de entregabilidad del correo electrónico. Cuando los servidores destinatarios realizan una comprobación SPF y encuentran que el servidor remitente está autorizado, es más probable que acepten el correo electrónico en lugar de marcarlo como spam o rechazarlo. Los dominios sin los registros SPF adecuados pueden ver tasas de rebote más altas o tener correos electrónicos que van a parar a las carpetas de spam.

Reducción de falsos positivos

Al identificar con precisión los servidores de correo electrónico autorizados, SPF reduce la probabilidad de que los correos electrónicos legítimos sean marcados erróneamente como spam por los sistemas receptores. Esto ayuda a evitar falsos positivos y garantiza que las comunicaciones importantes lleguen a las bandejas de entrada de los destinatarios previstos.

Reputación mejorada del remitente

SPF desempeña un papel en la creación y el mantenimiento de una reputación de remitente positiva con los proveedores de buzones de correo. Al implementar SPF, los propietarios de dominios demuestran su compromiso con la seguridad del correo electrónico y las mejores prácticas de autenticación, que los ISP valoran.

Mitigación de phishing y spam

SPF ayuda a reducir la eficacia de los intentos de phishing y las campañas de spam que se basan en la suplantación de dominios. SPF dificulta a los actores maliciosos el envío de correos electrónicos fraudulentos que afirman proceder de dominios de buena reputación.

Cumplimiento de las normas de correo electrónico y DMARC

Muchos proveedores de servicios de correo electrónico y organizaciones fomentan o exigen el uso de SPF como parte de sus políticas de correo electrónico. Además, SPF es un componente fundamental de DMARC (Domain-based Message Authentication, Reporting, and Conformance). DMARC se basa en la alineación SPF (y/o DKIM) para determinar cómo deben tratar los servidores receptores el correo no autenticado, por lo que SPF es esencial para el cumplimiento de DMARC.

¿Cuáles son las limitaciones del FPS?

Aunque el FPS es una herramienta valiosa, tiene limitaciones:

• **Problemas de reenvío de correo electrónico:** SPF puede encontrar problemas con el reenvío de correo electrónico. Cuando un correo electrónico se reenvía de un servidor a otro, la autenticación SPF original puede fallar porque la dirección IP del servidor de reenvío no aparece en el registro SPF del dominio del remitente original. DMARC ayuda a mitigar esto, pero sigue siendo una limitación central de SPF.
• **Complejidad y gestión:** A medida que aumenta el número de servidores de correo electrónico autorizados y de servicios de terceros, crece la complejidad de gestionar y mantener el registro SPF único.
• **Límite de 10 búsquedas DNS:** Los registros SPF están limitados a un máximo de 10 búsquedas DNS (mecanismos como `include`, `a`, `mx`, `ptr`, `exists` y `redirect` cuentan para este límite). Si se supera este límite, se produce un error permanente (PermError) que deja sin efecto el registro SPF. Las organizaciones que utilizan muchos proveedores externos suelen superar este límite. Herramientas como SPF flattening pueden ayudar a mitigar esto sustituyendo las búsquedas por direcciones IP estáticas, pero requieren una gestión cuidadosa.
• **Límite de 255 caracteres:** Una sola cadena de registro TXT en DNS tiene un límite de 255 caracteres. Aunque los registros SPF pueden abarcar varias cadenas dentro de un único registro TXT, los registros demasiado complejos pueden llegar a ser difíciles de gestionar y superar potencialmente los límites generales de tamaño de los registros DNS. Superar el límite de caracteres de la cadena SPF dentro de una única cadena también invalidará el registro.
• **SPF se centra únicamente en verificar la autenticidad del servidor de envío basándose en el dominio de la ruta de retorno. No proporciona cifrado ni verifica la integridad del contenido del mensaje (como hace DKIM ), ni autentica directamente la dirección "De" visible para el usuario que ven los destinatarios. A veces, los atacantes pueden eludir SPF utilizando un servidor autorizado pero falsificando la dirección "De".
• **Sin informes:** SPF por sí mismo no proporciona visibilidad o información al propietario del dominio sobre los resultados de autenticación o posibles abusos. Aquí es donde DMARC resulta crucial, ya que aprovecha los resultados de SPF y proporciona informes.

Evitar errores comunes en la configuración de SPF

Los errores de configuración pueden hacer que su política SPF sea ineficaz o incluso bloquear el correo electrónico legítimo. Evite estos errores comunes:

• **Uso de varios registros SPF:** Un dominio DEBE tener sólo un registro SPF TXT. Múltiples registros causarán errores de validación. Consolide todos los remitentes autorizados en un único registro.
• **Sintaxis incorrecta:** Los registros SPF tienen estrictos requisitos de sintaxis. Los errores tipográficos, el uso incorrecto de mecanismos (por ejemplo, utilizar `TXT` en lugar de `ip4` o `include`) o los elementos mal colocados pueden invalidar el registro. Valide siempre su registro antes de publicarlo.
• **No incluir todos los remitentes autorizados:** Si olvida incluir en la lista un servicio legítimo de terceros o un servidor de correo interno, los correos electrónicos enviados desde esas fuentes no pasarán las comprobaciones SPF, lo que afectará a la capacidad de entrega. Mantenga un inventario completo.
• **Superar el límite de 10 búsquedas de DNS:** Como se menciona en las limitaciones, añadir demasiados mecanismos `include`, `a`, `mx`, etc., romperá SPF. Controle cuidadosamente sus búsquedas, especialmente cuando añada nuevos proveedores.
• **Superación de los límites de caracteres:** Asegúrese de que su registro respeta el límite de 255 caracteres por cadena y los límites generales de tamaño de los registros DNS.
• **Utilizar el tipo de registro incorrecto:** Los registros SPF deben publicarse como registros TXT en DNS. Algunos sistemas antiguos utilizaban un tipo de registro SPF dedicado, pero está obsoleto y no debe utilizarse.
• **Si cambia de proveedor de correo electrónico, añade nuevos servicios o da de baja servidores antiguos, DEBE actualizar su registro SPF en consecuencia. Los registros desactualizados pueden bloquear correo legítimo o dejar huecos para el abuso.

Haga que el FPS sea aún mejor con PowerDMARC

El SPF por sí mismo es eficaz, pero tiene limitaciones. Los ciberdelincuentes han encontrado formas de eludir las simples comprobaciones de direcciones IP, especialmente centrándose en la dirección "De" visible para el usuario, que SPF no protege directamente. La tecnología SPF es mucho más potente y relevante cuando se incorpora a DMARC.

Emparejamos SPF con DKIM y DMARC

DMARC requiere alineación, es decir, el dominio utilizado para SPF (en la ruta de retorno) y/o el dominio utilizado para la firma DKIM debe coincidir con el dominio del encabezado visible "De". PowerDMARC le ayuda a configurar DMARC correctamente, aprovechando los resultados de SPF y DKIM para una autenticación sólida. Llevamos esto más allá con inteligencia sobre amenazas basada en IA que ayuda a identificar ataques de suplantación de identidad incluso cuando se superan las comprobaciones básicas.

Informes y comentarios

Ni SPF ni DKIM por sí solos proporcionan al propietario del dominio información sobre los correos electrónicos que no superan la autenticación o los posibles patrones de abuso. DMARC permite a los servidores de correo receptores enviar informes DMARC detallados agregados (RUA) y forenses (RUF) al propietario del dominio. La plataforma PowerDMARC procesa estos complejos informes XML en gráficos, tablas y alertas fáciles de leer, proporcionando una visibilidad crucial de su ecosistema de correo electrónico, el cumplimiento de los remitentes y las amenazas. Utilizando estos datos analíticos, puede refinar sus configuraciones SPF/DKIM y ajustar su estrategia de correo electrónico.

Controla lo que ocurre con el correo electrónico no autenticado

DMARC le permite a usted, el propietario del dominio, especificar una política sobre cómo los receptores deben tratar los correos electrónicos que no superan las comprobaciones SPF y DKIM (o que no superan la alineación). Puede elegir `p=none` (sólo supervisar), `p=quarantine` (enviar a spam) o `p=reject` (bloquear el correo electrónico por completo). Con PowerDMARC, la gestión y el progreso de su política DMARC hacia la aplicación es mucho más simple, a menudo alcanzable con una orientación clara y controles de interfaz sencillos.

• Acerca de
• Últimas publicaciones

Maitham Al Lawati

Experto en ciberseguridad, CEO de PowerDMARC

Maitham es un emprendedor tecnológico, experto en ciberseguridad, CEO y fundador de PowerDMARC con más de 15 años de experiencia en el sector. Maitham posee un MBA Global por la Universidad de Manchester y varias certificaciones profesionales, entre ellas CISSP, CISM, CRISC e ISC2 CCSP.

Últimos comentarios de Maitham Al Lawati (ver todos)

• Cómo crear y publicar un registro DMARC - 3 de marzo de 2025
• Cómo solucionar el problema "No se ha encontrado ningún registro SPF" en 2025 - 21 de enero de 2025
• Cómo leer un informe DMARC - 19 de enero de 2025