Fallo del FPS: Qué significa y cómo solucionarlo

Blog

Aprenda qué significa "SPF fail" en la autenticación de correo electrónico, por qué ocurre y los pasos que puede seguir para solucionarlo y proteger sus correos electrónicos.

por Maitham Al Lawati

Tiempo de lectura: 8 min
Fallo del FPS: Qué significa y cómo solucionarlo
Índice-

Puntos clave

  1. Los errores SPF pueden deberse a problemas como sintaxis incorrecta, superación de los límites de búsqueda de DNS y múltiples registros SPF para el mismo dominio.
  2. El mecanismo SPF puede devolver diferentes resultados, incluyendo Pass, Fail, Softfail, Neutral y Temporary Error, cada uno indicando un nivel diferente de éxito en la autenticación.
  3. Combinar varios registros SPF en uno solo mediante el mecanismo "include" es esencial para evitar la invalidación de la implementación SPF.
  4. La supervisión periódica de los informes DMARC puede ayudar a identificar las causas de los fallos SPF y facilitar las resoluciones oportunas.
  5. La aplicación de las mejores prácticas de SPF es fundamental para proteger la capacidad de entrega del correo electrónico y reducir la probabilidad de fallos de autenticación.

Marco de directivas del remitente (SPF) es un protocolo de autenticación de correo electrónico diseñado para evitar la suplantación de identidad verificando que los mensajes se envían desde servidores de correo autorizados. Cuando se configura correctamente, SPF ayuda a reducir el spam y los intentos de phishing al permitir que los servidores de correo receptores comprueben si un correo electrónico procede de una fuente legítima.

Sin embargo, si algo va mal en la configuración o durante el proceso de verificación, puede encontrarse con un fallo SPF. Un fallo SPF significa que el servidor del destinatario no pudo confirmar la autorización del remitente, lo que a menudo provoca que los correos electrónicos se marquen como spam o se rechacen por completo.

En este post, veremos las causas más comunes de los fallos de SPF y cómo solucionarlos.

¿Qué es SPF en la autenticación de correo electrónico?

Sender Policy Framework (SPF) es un método de autenticación de correo electrónico que ayuda a verificar si un correo electrónico se envía desde un servidor de correo autorizado. Se trata de una lista de "remitentes aprobados" publicada en los registros DNS de un dominio.

La función principal del SPF es evitar la suplantación de identidad de los mensajes de correo electrónico, en la que actores malintencionados falsifican la dirección "De" para engañar a los destinatarios haciéndoles creer que el mensaje es legítimo. Al comprobar los registros SPF, los servidores de correo receptores pueden confirmar si un mensaje procede realmente del dominio que dice representar.

A continuación se explica cómo funciona el SPF durante el proceso de entrega del correo electrónico:

  • El dominio remitente publica un registro SPF en su DNS, especificando qué servidores de correo están autorizados a enviar correo electrónico en su nombre.
  • Cuando se recibe un correo electrónico, el servidor de correo del destinatario consulta el registro SPF del dominio.
  • El servidor comprueba si la dirección IP del servidor remitente coincide con las fuentes autorizadas que figuran en la lista.
  • En función del resultado, el servidor decide si acepta, marca o rechaza el correo electrónico.

En resumen, SPF actúa como un punto de control para mantener los correos electrónicos fraudulentos fuera de las bandejas de entrada.

¿Qué significa "SPF Fail"?

Un fallo SPF se produce cuando el servidor de correo del destinatario determina que el servidor remitente no está autorizado a enviar correo electrónico en nombre del dominio. Esto ocurre si la dirección IP del servidor remitente no coincide con las fuentes enumeradas en el registro SPF del dominio.

Los servidores de correo electrónico interpretan los resultados SPF utilizando mecanismos definidos por la política SPF. Los principales resultados incluyen:

  • Pasa: El correo electrónico procede de un servidor autorizado.
  • Falla: El correo electrónico no está explícitamente autorizado y suele ser rechazado.
  • Softfail: El servidor no aparece en la lista, pero el propietario del dominio permite que el mensaje pase con sospecha (a menudo se marca como spam).
  • Neutral: No se proporciona una política clara, por lo que el servidor no toma una decisión estricta.

Cuando falla el SPF, muchos proveedores de correo electrónico rechazan directamente el mensaje o lo envían a la carpeta de correo no deseado, lo que reduce considerablemente la capacidad de entrega.

¡Detenga los fallos de SPF con PowerDMARC!

Prueba de 15 díasAgendar demo

¿Por qué fallan los FPS? 

Los fallos de SPF pueden deberse a las siguientes razones:

  • El MTA receptor no encuentra un registro SPF publicado en su DNS.
  • Ha configurado más de un registro SPF para el mismo dominio. 
  • Sus proveedores de servicios de correo electrónico han modificado o añadido nuevas direcciones IP que usted no ha incluido en su registro SPF.
  • Ha superado el límite de 10 búsquedas DNS para SPF.
  • Está excediendo el límite máximo de búsqueda de vacíos permitido de 2.
  • La longitud de su registro SPF aplanado supera el límite de 255 caracteres SPF.

Cuando SPF falla para su correo electrónico, sus próximos pasos deben ser identificar la razón detrás de ello para que pueda resolverlo. Esto es posible mediante la supervisión regular de los informes DMARC. PowerDMARC le ayuda a leer fácilmente los informes sobre fallos de autenticación SPF con nuestro analizador DMARC.

Tipos de fallos del SPF

Los siguientes son tipos de SPF fail cada uno de los cuales se añade como prefijo antes del mecanismo SPF:

"+" "Aprobado
"-" "Fail
"~" "Softfail"
"?" "Neutral"

¿Qué importancia tienen? Wn caso de que su correo electrónico sea rechazado, puedes elegir con qué rigor quieres que lo traten los receptores. Puede especificar un calificador para "pasar" los mensajes que han recibido un SPF "Fallar" la entrega, o adoptar un punto de vista "Neutral" (no hacer nada).

1. SPF Ninguno Resultado devuelto

En el primer caso, si el servidor de correo electrónico receptor realiza una búsqueda DNS y no puede encontrar el nombre de dominio en el DNS, se devuelve un resultado de ninguno. También se devuelve ninguno en caso de que no se encuentre ningún registro SPF en el DNS del remitente, lo que implica que el remitente no tiene configurada la autenticación SPF para este dominio. En este caso, la autenticación SPF para sus correos electrónicos falla, lo que se denota con "-all".

Genere ahora su registro SPF sin errores con nuestro generador de registros SPF gratuito para evitarlo.

2. SPF Resultado neutro devuelto

Al configurar SPF para su dominio, si ha puesto un mecanismo "?all" a su registro SPF, esto significa que no importa lo que concluyan las comprobaciones de autenticación SPF para sus correos electrónicos salientes, el MTA receptor devuelve un resultado neutral. Esto sucede porque cuando tiene su SPF en modo neutral, no está especificando las direcciones IP que están autorizadas a enviar correos electrónicos en su nombre y permitiendo que las direcciones IP no autorizadas también los envíen.

3. SPF Softfail Resultado devuelto

Al igual que el SPF neutro, el SPF softfail se identifica por el mecanismo ~all, que implica que el MTA receptor aceptaría el correo y lo entregaría en la bandeja de entrada del destinatario, pero se marcaría como spam, en caso de que la dirección IP no figure en el registro SPF que se encuentra en el DNS, lo que puede ser una razón por la que la autenticación SPF falle para su correo electrónico. A continuación se muestra un ejemplo de SPF softfail:

 v=spf1 include:spf.google.com ~all

4. SPF Hardfail Resultado Devuelto

SPF hardfail es cuando los MTA receptores descartan los correos electrónicos originados desde cualquier fuente de envío que no figure en su registro SPF. Le recomendamos que configure SPF hardfail en su registro SPF si desea obtener protección contra la suplantación de dominio y la suplantación de correo electrónico. 

Ejemplo: v=spf1 include:spf.google.com -all

Conozca la diferencia específica de SPF softfail vs hardfail

5. SPF Temperror (SPF Error Temporal)

Una razón común y a menudo inofensiva por la que falla la autenticación SPF es SPF Temperror (error temporal). Esto es causado por un error DNS como un tiempo de espera de DNS. Es, por tanto, tal y como su nombre indica, un error provisional que devuelve un código de estado 4xx que puede causar un fallo SPF temporal. Si se vuelve a intentar más tarde, el SPF pasará.

6. SPF Permerror (SPF Error Permanente)

Otro error común al que se enfrentan los dominios es un Permerror SPF. Esto es cuando hay un fallo con un error permanente. Esto ocurre cuando su registro SPF es invalidado por el MTA receptor. Hay muchas razones por las que SPF puede romperse y ser invalidado por el MTA al realizar búsquedas DNS:

  • Superar el límite de 10 búsquedas SPF
  • Sintaxis incorrecta del registro SPF
  • Más de un registro SPF para el mismo dominio
  • Exceder el límite de longitud del registro SPF de 255 caracteres
  • Si su registro SPF no está actualizado con los cambios realizados por sus ESPs

Nota: Cuando un MTA realiza una comprobación SPF en un correo electrónico, consulta el DNS o realiza una búsqueda de DNS para comprobar la autenticidad de la fuente del correo electrónico. Idealmente, en SPF se permite un máximo de 10 búsquedas de DNS, si se excede, SPF se romperá y devolverá un resultado de Permerror. Este es un problema muy común que provoca el fallo de SPF.

Cómo solucionar un error SPF en los correos electrónicos

Para una entrega sin problemas, es importante asegurarse de que el SPF no falla para sus correos electrónicos. Para solucionar los fallos de SPF, puede seguir estas prácticas recomendadas: 

1. Mantenerse dentro de los límites del SPF

Si su autenticación falla debido a que las búsquedas DNS superan los límites especificados por RFC, intente mantenerse dentro del límite para evitar el fallo. PowerDMARC ayuda a los clientes a optimizar sus registros SPF para que no superen estos límites mediante macros. A menudo, son varias veces más eficaces que aplanamiento SPF. Sin embargo, si decide utilizar el SPF flattening, las herramientas de SPF flattening pueden simplificar el proceso, aunque siguen requiriendo actualizaciones manuales cada vez que su proveedor de servicios de correo electrónico modifica su infraestructura. Las macros en su registro DNS SPF le ayudarán a evitar en todo momento que se superen los límites de búsqueda y vacíos de DNS.

2. Evitar errores de sintaxis y configuración

La implementación manual de registros SPF a menudo conduce a errores de sintaxis y hace que fallen. Para asegurarse de que utiliza la sintaxis correcta para SPF, genere su registro con la ayuda de un generador automático de registros SPF. generador de registros SPF automatizado.

Cuando configure SPF en su DNS, utilice siempre el tipo de recurso "TXT". Si configura un tipo de recurso incorrecto como "CNAME" o incluso "SPF", se producirán errores de configuración y un fallo de SPF. 

3. Autorizar todas las fuentes de envío

Asegúrese de que está autorizando correctamente todas sus fuentes de envío, incluidos sus proveedores externos, en su registro SPF. Sus proveedores a menudo cambian o añaden a su lista de IPs de envío. Debe asegurarse de estar al tanto de dichos cambios e implementarlos en su propio registro SPF. La omisión de fuentes de envío autorizadas suele provocar fallos SPF injustificados. 

4. Combinar varios registros SPF 

Más de un registro SPF para el mismo dominio puede invalidar su implementación SPF y provocar un fallo SPF. En estos casos, es mejor combinar varios registros en uno solo mediante el mecanismo "include". 

Buenas prácticas para evitar el fracaso del FPS

Los propietarios de dominios que sigan las prácticas recomendadas de SPF mencionadas anteriormente pueden reducir significativamente las posibilidades de que se produzcan fallos de SPF injustificados. 

Además, he aquí algunas prácticas recomendadas que las empresas deberían seguir para reforzar su postura general de seguridad del correo electrónico:

  • Utilice DKIM para evitar fallos de SPF en los correos reenviados: El reenvío a menudo rompe SPF, pero DomainKeys Identified Mail (DKIM) puede ayudar a preservar la autenticación.
  • Utilizar DMARC y DKIM juntos: Incluso si SPF falla pero DKIM pasa, la autenticación de mensajes basada en dominios, informes y conformidad (DMARC) todavía puede validar el correo electrónico.
  • Activar informes DMARC: Supervise los fallos SPF e identifique sus causas raíz mediante informes DMARC detallados.
  • Mantenga actualizados los registros SPF: Revise y actualice su registro SPF siempre que añada o elimine servicios de correo electrónico de terceros.
  • Audite y compruebe periódicamente los registros DNS: Programe comprobaciones periódicas para asegurarse de que sus registros DNS son correctos, coherentes y no superan los límites de búsqueda SPF.

Los fallos de autenticación de correo electrónico nunca son una buena noticia para la reputación y credibilidad de su dominio. Seguir estas prácticas ayuda a minimizar el riesgo de fallos de SPF y garantiza una mejor entregabilidad del correo electrónico.

Conclusión

Solucionar los fallos de SPF es fundamental para mantener la confianza, proteger la reputación de su marca y garantizar una entrega fiable del correo electrónico. Sin las configuraciones SPF adecuadas, es más probable que sus correos electrónicos se marquen como spam, se rechacen o sean aprovechados por atacantes para realizar suplantación de identidad.

El mejor enfoque es proactivo: supervise regularmente su dominio, mantenga actualizados los registros SPF y utilice conjuntamente varios protocolos de autenticación de correo electrónico como SPF, DKIM y DMARC. Esta defensa en capas mejora en gran medida sus posibilidades de pasar las comprobaciones de autenticación y proteger su canal de correo electrónico.

¿Quiere asegurarse de que su SPF está configurado correctamente y evitar costosos fallos? Pruebe hoy mismo las funciones de PowerDMARC para reforzar la seguridad de su correo electrónico y proteger su dominio de abusos.

Preguntas frecuentes

¿Cómo sé si mis correos electrónicos fallan el SPF?

Puede comprobar los resultados SPF en las cabeceras del correo electrónico o utilizar herramientas como los informes DMARC y los comprobadores SPF. Estos mostrarán si sus mensajes pasan o no la validación SPF.

¿Pueden los errores de SPF hacer que reboten los correos electrónicos?

Sí. Cuando SPF falla con un resultado "hard fail", los servidores receptores suelen rechazar el mensaje por completo, lo que provoca rebotes. En otros casos, pueden aceptar el mensaje pero enviarlo a la carpeta de spam.

¿Necesito DKIM y DMARC si tengo SPF?

Por supuesto. SPF por sí solo no puede proteger los correos electrónicos reenviados ni proporcionar informes a nivel de dominio. DKIM garantiza la integridad del correo electrónico, y DMARC vincula SPF y DKIM, proporcionando visibilidad y una mayor protección contra la suplantación de identidad.

Últimos comentarios de Maitham Al Lawati (ver todos)
Registro DNS TXT: Definición, usos y guía de configuración¿Qué es un registro DNS TXT?¿Cuánto tarda la propagación del DNS? Consejos y comprobaciones