Sender Policy Framework, o SPF, es uno de los protocolos de autenticación de correo electrónico que las organizaciones han utilizado en sus sistemas de correo electrónico durante años para reducir el spam y autorizar las fuentes de envío. Sin embargo, es habitual encontrarse con diferentes errores que provocan el fallo de SPF. En este post, discutimos qué puede causar que SPF falle, y cómo solucionarlo.
Estas son algunas de las razones más comunes que conducen al fracaso de los FPS:
- Errores de sintaxis del registro SPF
- Errores de configuración del registro SPF
- Superación de los límites de búsqueda de DNS para SPF
- Reenvío de correos electrónicos
- Autorización de origen de envío incompleta
¿Por qué fallan los FPS?
Los fallos de SPF pueden deberse a las siguientes razones:
- El MTA receptor no encuentra un registro SPF publicado en su DNS.
- Ha configurado más de un registro SPF para el mismo dominio.
- Sus proveedores de servicios de correo electrónico han modificado o añadido nuevas direcciones IP que usted no ha incluido en su registro SPF.
- Ha superado el límite de 10 búsquedas DNS para SPF.
- Está excediendo el límite máximo de búsqueda de vacíos permitido de 2.
- La longitud de su registro SPF aplanado supera el límite de 255 caracteres SPF.
Cuando SPF falla para su correo electrónico, sus próximos pasos deben ser identificar la razón detrás de ello para que pueda resolverlo. Esto es posible mediante la supervisión regular de los informes DMARC. PowerDMARC le ayuda a leer fácilmente los informes sobre fallos de autenticación SPF con nuestro analizador DMARC.
¡Detenga los fallos de SPF con PowerDMARC!
Tipos de fallos del SPF
Los siguientes son tipos de SPF fail cada uno de los cuales se añade como prefijo antes del mecanismo SPF:
"+" "Aprobado
"-" "Fail
"~" "Softfail"
"?" "Neutral"
¿Qué importancia tienen? Wn caso de que su correo electrónico sea rechazado, puedes elegir con qué rigor quieres que lo traten los receptores. Puede especificar un calificador para "pasar" los mensajes que han recibido un SPF "Fallar" la entrega, o adoptar un punto de vista "Neutral" (no hacer nada).
1. SPF Ninguno Resultado devuelto
En el primer caso, si el servidor de correo electrónico receptor realiza una búsqueda DNS y no puede encontrar el nombre de dominio en el DNS, se devuelve un resultado de ninguno. También se devuelve ninguno en caso de que no se encuentre ningún registro SPF en el DNS del remitente, lo que implica que el remitente no tiene configurada la autenticación SPF para este dominio. En este caso, la autenticación SPF para sus correos electrónicos falla, lo que se denota con "-all".
Genere ahora su registro SPF sin errores con nuestro generador de registros SPF gratuito para evitarlo.
2. SPF Resultado neutro devuelto
Al configurar SPF para su dominio, si ha puesto un mecanismo "?all" a su registro SPF, esto significa que no importa lo que concluyan las comprobaciones de autenticación SPF para sus correos electrónicos salientes, el MTA receptor devuelve un resultado neutral. Esto sucede porque cuando tiene su SPF en modo neutral, no está especificando las direcciones IP que están autorizadas a enviar correos electrónicos en su nombre y permitiendo que las direcciones IP no autorizadas también los envíen.
3. SPF Softfail Resultado devuelto
Al igual que el SPF neutro, el SPF softfail se identifica por el mecanismo ~all, que implica que el MTA receptor aceptaría el correo y lo entregaría en la bandeja de entrada del destinatario, pero se marcaría como spam, en caso de que la dirección IP no figure en el registro SPF que se encuentra en el DNS, lo que puede ser una razón por la que la autenticación SPF falle para su correo electrónico. A continuación se muestra un ejemplo de SPF softfail:
v=spf1 include:spf.google.com ~all
4. SPF Hardfail Resultado Devuelto
SPF hardfail es cuando los MTA receptores descartan los correos electrónicos originados desde cualquier fuente de envío que no figure en su registro SPF. Le recomendamos que configure SPF hardfail en su registro SPF si desea obtener protección contra la suplantación de dominio y la suplantación de correo electrónico.
Ejemplo: v=spf1 include:spf.google.com -all
Conozca la diferencia específica de SPF softfail vs hardfail
5. SPF Temperror (SPF Error Temporal)
Una razón común y a menudo inofensiva por la que falla la autenticación SPF es SPF Temperror (error temporal). Esto es causado por un error DNS como un tiempo de espera de DNS. Es, por tanto, tal y como su nombre indica, un error provisional que devuelve un código de estado 4xx que puede causar un fallo SPF temporal. Si se vuelve a intentar más tarde, el SPF pasará.
6. SPF Permerror (SPF Error Permanente)
Otro error común al que se enfrentan los dominios es un Permerror SPF. Esto es cuando hay un fallo con un error permanente. Esto ocurre cuando su registro SPF es invalidado por el MTA receptor. Hay muchas razones por las que SPF puede romperse y ser invalidado por el MTA al realizar búsquedas DNS:
- Superar el límite de 10 búsquedas de SPF
- Sintaxis incorrecta del registro SPF
- Más de un registro SPF para el mismo dominio
- Exceder el límite de longitud del registro SPF de 255 caracteres
- Si su registro SPF no está actualizado con los cambios realizados por sus ESPs
Nota: Cuando un MTA realiza una comprobación SPF en un correo electrónico, consulta el DNS o realiza una búsqueda de DNS para comprobar la autenticidad de la fuente del correo electrónico. Idealmente, en SPF se permite un máximo de 10 búsquedas de DNS, si se excede, SPF se romperá y devolverá un resultado de Permerror. Este es un problema muy común que provoca el fallo de SPF.
Cómo solucionar un error SPF en los correos electrónicos
Para una entrega sin problemas, es importante asegurarse de que el SPF no falla para sus correos electrónicos. Para solucionar los fallos de SPF, puede seguir estas prácticas recomendadas:
1. Mantenerse dentro de los límites del SPF
Si su autenticación falla debido a que las búsquedas DNS superan los límites especificados por RFC, intente mantenerse dentro del límite para evitar el fallo. PowerDMARC ayuda a los clientes a optimizar sus registros SPF para que no superen estos límites mediante macros. A menudo, son varias veces más eficaces que aplanamiento SPF, las macros en su registro DNS SPF le ayudan a evitar en todo momento que se superen los límites de búsqueda y vacío de DNS.
2. Evitar errores de sintaxis y configuración
La implementación manual de registros SPF a menudo conduce a errores de sintaxis y hace que fallen. Para asegurarse de que utiliza la sintaxis correcta para SPF, genere su registro con la ayuda de un generador automático de registros SPF. generador de registros SPF automatizado.
Cuando configure SPF en su DNS, utilice siempre el tipo de recurso "TXT". Si configura un tipo de recurso incorrecto como "CNAME" o incluso "SPF", se producirán errores de configuración y un fallo de SPF.
3. Autorizar todas las fuentes de envío
Asegúrese de que está autorizando correctamente todas sus fuentes de envío, incluidos sus proveedores externos, en su registro SPF. Sus proveedores a menudo cambian o añaden a su lista de IPs de envío. Debe asegurarse de estar al tanto de dichos cambios e implementarlos en su propio registro SPF. La omisión de fuentes de envío autorizadas suele provocar fallos SPF injustificados.
4. Combinar varios registros SPF
Más de un registro SPF para el mismo dominio puede invalidar su implementación SPF y provocar un fallo SPF. En estos casos, es mejor combinar varios registros en uno solo mediante el mecanismo "include".
Buenas prácticas del SPF
Los propietarios de dominios que sigan las buenas prácticas de SPF mencionadas pueden reducir significativamente las posibilidades de que se produzcan fallos de SPF injustificados. Estas son algunas buenas prácticas adicionales que las empresas pueden aplicar en general para reforzar aún más la seguridad de su correo electrónico:
- Utilice DKIM para evitar fallos de SPF en los correos electrónicos reenviados
- Utilice DMARC y DKIM, de modo que aunque SPF falle y DKIM pase, DMARC pasará.
- Habilite los informes DMARC para supervisar los fallos SPF y sus causas
Los fallos de autenticación de correo electrónico nunca son una buena noticia para la reputación y credibilidad de tu dominio. Para asegurarte de que tu capacidad de entrega no se vea afectada, debes tomar medidas ahora para evitar que tu SPF falle. ¿Quieres comprobar si has configurado correctamente el SPF para tu dominio? Prueba nuestro comprobador SPF gratuita.
- Cómo solucionar un fallo de DKIM - 9 de enero de 2025
- ¿Qué es la política DMARC? Ninguna, Cuarentena y Rechazo - 9 de enero de 2025
- Cómo solucionar el problema "No se ha encontrado ningún registro DMARC" en 5 sencillos pasos - 6 de enero de 2025