En este art\u00edculo, hablaremos de los registros SPF y de por qu\u00e9 es esencial aplicar esta t\u00e9cnica para la seguridad del correo electr\u00f3nico<\/a>. Antes de llegar a lo que es un registro SPF, vamos a entender primero el SPF.<\/p>\n El Sender Policy Framework (SPF) es un m\u00e9todo de autenticaci\u00f3n de correos electr\u00f3nicos dise\u00f1ado para detectar direcciones de remitentes falsas durante el env\u00edo de correos electr\u00f3nicos.<\/p>\n Los atacantes suelen falsificar las direcciones de los remitentes<\/a>, haci\u00e9ndolas parecer aut\u00e9nticas, como la direcci\u00f3n de un usuario normal. El SPF puede ayudar a detectar estos mensajes y ponerlos en cuarentena, desbaratando sus ataques.<\/p>\n El SPF permite que el servidor en que se recibe el mensaje compruebe si un correo electr\u00f3nico que parece proceder de un determinado dominio se origina realmente en una direcci\u00f3n IP autorizada de ese dominio. La lista que contiene todas las direcciones IP y hosts autorizados para un dominio espec\u00edfico puede encontrarse en los registros DNS<\/a> de ese dominio.<\/p>\n\n Un registro SPF es un tipo de registro TXT<\/a> publicado en un archivo de zona DNS, que contiene una lista de todos los servidores de correo autorizados que pueden enviar correos electr\u00f3nicos en nombre de tu dominio. Es una implementaci\u00f3n de SPF que debe a\u00f1adirse a tu DNS<\/a> para ayudar a identificar y mitigar que los spammers env\u00eden correos electr\u00f3nicos maliciosos con direcciones falsas en nombre de tu dominio.<\/p>\n Los emisores de spam llevan a cabo la suplantaci\u00f3n del correo electr\u00f3nico creando un correo electr\u00f3nico con direcciones de remitente falsas, ya que la mayor\u00eda de los servidores de correo electr\u00f3nico no realizan la autenticaci\u00f3n. A continuaci\u00f3n, editan la direcci\u00f3n del remitente de un correo electr\u00f3nico falsificando las cabeceras del mismo<\/a>, haciendo que parezca que el correo electr\u00f3nico se env\u00eda desde tu dominio.<\/p>\n Este proceso se denomina spoofing, y permite a los spammers estafar a los usuarios y obtener sus datos privados y causar da\u00f1os en la reputaci\u00f3n.<\/p>\n Hoy en d\u00eda, casi todos los correos electr\u00f3nicos maliciosos llevan direcciones falsas. Como resultado, las personas cuyas direcciones de correo electr\u00f3nico han sido robadas por los atacantes sufren da\u00f1os en su reputaci\u00f3n, pierden tiempo en arreglar los mensajes devueltos, sus direcciones IP entran en la lista negra, etc.<\/p>\n Por lo tanto, es necesario configurar los registros SPF para mejorar seguridad y la entregabilidad del correo electr\u00f3nico<\/a>.<\/p>\n En general, un registro SPF se define mediante un tipo de registro TXT (que no debe confundirse con el antiguo registro de tipo archivo SPF).<\/p>\n Un registro SPF comienza con una \u00abv\u00bb, que indica la versi\u00f3n SPF utilizada. Actualmente, esta versi\u00f3n debe ser \u00abspf1\u00bb, ya que es reconocida por la m\u00e1s amplia gama de servidores de intercambio de correo.<\/p>\n Despu\u00e9s de esto, siguen otros t\u00e9rminos que definen las reglas para los hosts que env\u00edan correos electr\u00f3nicos desde el dominio dado. Estos t\u00e9rminos tambi\u00e9n pueden proporcionar m\u00e1s informaci\u00f3n para el procesamiento del registro SPF.<\/p>\n Este es el aspecto de un registro SPF y el significado de cada una de sus partes:<\/p>\n Cualquier ordenador puede enviar correos electr\u00f3nicos afirmando que proceden de cualquier direcci\u00f3n permitida por el SMTP<\/a>. Los atacantes y estafadores se aprovechan de esto utilizando direcciones falsificadas, que son dif\u00edciles de rastrear.<\/p>\n Una t\u00e9cnica similar se utiliza en los ataques de phishing, en los que los atacantes enga\u00f1an a los usuarios para que revelen su informaci\u00f3n personal o empresarial imitando un sitio o servicio genuino que los usuarios frecuentan.<\/p>\n Para contrarrestar esto, el SPF permite al propietario de un dominio definir qu\u00e9 ordenadores tienen autorizaci\u00f3n para enviar correos electr\u00f3nicos desde ese dominio, mediante registros DNS. Adem\u00e1s, los receptores pueden rechazar un correo electr\u00f3nico de una fuente no autorizada tras verificar su direcci\u00f3n a partir de los registros SPF, antes de recibir el cuerpo del correo.<\/p>\n Como hemos visto en el ejemplo anterior, un registro SPF tiene la forma de una entrada TXT que enumera todas las direcciones IP de los servidores de correo electr\u00f3nico autorizados por ti. Puedes tener una o varias direcciones IP autorizadas para enviar correos electr\u00f3nicos en una entrada SPF.<\/p>\n Cuando un usuario autorizado env\u00eda un correo electr\u00f3nico con un registro SPF activado, el servidor de correo del destinatario realiza una b\u00fasqueda en el DNS para detectar la entrada TXT y determinar si la direcci\u00f3n IP<\/a> del remitente est\u00e1 autorizada.<\/p>\n Si no encuentra ning\u00fan registro SPF, enviar\u00e1 un mensaje de \u00abfallo grave\u00bb (hard fail) o \u00abfallo leve\u00bb (soft fail) al remitente.<\/p>\n Si el servidor del receptor rechaza ese dominio, el usuario o cliente no autorizado debe recibir un mensaje de rechazo (\u00abhard fail\u00bb). Pero si el cliente resulta ser un agente de transferencia de mensajes (MTA), en este caso, se generar\u00e1 un correo electr\u00f3nico de rebote a la direcci\u00f3n real del sobre (\u00absoft fail\u00bb).<\/p>\n Los registros SPF se componen de varias partes diferentes, empezando por el n\u00famero de versi\u00f3n.<\/p>\n Todos los registros SPF comienzan con un n\u00famero de versi\u00f3n, que debe ser autorizado por los mecanismos que definen los remitentes v\u00e1lidos. El n\u00famero de versi\u00f3n SPF, como spf1, va seguido de una cadena que incluye mecanismos, cuantificadores y modificadores.<\/p>\n Los mecanismos describen los hosts designados como remitentes salientes autorizados para un determinado dominio. Un registro SPF puede tener cero o varios mecanismos. Algunos de los mecanismos habituales en los registros SPF son<\/p>\n Definen todas las direcciones IP que est\u00e1n autorizadas a enviar correos electr\u00f3nicos desde el dominio.<\/p>\n Los mecanismos tienen un cuantificador para definir c\u00f3mo pueden tratar una coincidencia.<\/p>\n Un servidor de correo electr\u00f3nico compara la direcci\u00f3n IP del remitente con la lista de direcciones IP autorizadas en los mecanismos. Cuando encuentre una coincidencia para la direcci\u00f3n IP en uno de los mecanismos SPF, aplicar\u00e1 la regla para el tratamiento del resultado. Y la regla por defecto para esto es Los cuatro cuantificadores son los siguientes<\/p>\n Cuando no veas ning\u00fan cuantificador en un registro SPF, significa que se aplica el cuantificador Los modificadores te permiten ampliar el framework. Son pares de valores o nombres separados por el signo Los dos modificadores m\u00e1s utilizados son:<\/p>\n Si tu dominio tiene un registro SPF, disminuir\u00e1 las posibilidades de recibir correos electr\u00f3nicos maliciosos y falsificados, mejorando la seguridad de tu correo electr\u00f3nico y protegi\u00e9ndolo contra ciberatacantes y spammers<\/a>.<\/p>\n Un registro SPF tambi\u00e9n aumenta la credibilidad de tu dominio y reduce las posibilidades de que sea eliminado de la lista por los filtros de spam. Esto ayuda a que los correos electr\u00f3nicos leg\u00edtimos lleguen a ti m\u00e1s r\u00e1pidamente.<\/p>\n Adem\u00e1s, a\u00f1adir registros SPF en tu dominio es cada vez m\u00e1s importante para verificar qu\u00e9 remitentes pueden enviar correos electr\u00f3nicos en nombre de tu dominio. Ofrece muchas ventajas, que exploraremos a continuaci\u00f3n.<\/p>\n Los registros SPF ayudan a aumentar la seguridad del correo electr\u00f3nico tanto para los particulares como para las empresas. En la era de la ciberseguridad, en la que usuarios de todo el mundo se ven afectados por ciberdelitos, debes tomar medidas para proteger tu bandeja de entrada.<\/p>\n A\u00f1adir registros SPF es una forma de hacerlo. Al dificultar el paso de los atacantes del correo electr\u00f3nico, es menos probable que los mensajes de spam lleguen a tu bandeja de entrada; por lo tanto, aumenta la seguridad de tu correo electr\u00f3nico.<\/p>\n Si un dominio no tiene un registro SPF, sus correos electr\u00f3nicos pueden rebotar, o los servidores pueden marcarlos como spam. Y si esto ocurre repetidamente, se reduce su capacidad de enviar correos electr\u00f3nicos con \u00e9xito a su audiencia (tambi\u00e9n conocida como entregabilidad).<\/p>\n Esto se convierte en un obst\u00e1culo para las personas y empresas que utilizan estos dominios para llegar a sus clientes, empleados, proveedores y otras personas asociadas.<\/p>\n Si tus usuarios reciben constantemente correos electr\u00f3nicos de atacantes que se hacen pasar por tu empresa<\/a>, la credibilidad de tu dominio est\u00e1 en peligro. Los delincuentes tambi\u00e9n pueden perjudicar a tus clientes y empleados exponiendo sus datos personales, lo que da\u00f1ar\u00e1 a\u00fan m\u00e1s tu reputaci\u00f3n<\/a>.<\/p>\n Por eso es esencial proteger tu dominio de estos incidentes con la ayuda de los registros SPF. Al restringir el env\u00edo de correos electr\u00f3nicos s\u00f3lo a las direcciones IP autorizadas que figuran en los registros, evitar\u00e1s los mensajes de spam y reducir\u00e1s la probabilidad de tales ataques.<\/p>\n El sistema de verificaci\u00f3n del correo electr\u00f3nico DMARC garantiza que s\u00f3lo los usuarios autorizados env\u00eden correos electr\u00f3nicos en nombre de tu dominio.<\/p>\n Sus pol\u00edticas tambi\u00e9n instruyen a los servidores sobre c\u00f3mo manejar los correos electr\u00f3nicos con comprobaciones DKIM y SPF fallidas. El DMARC indica que esos correos electr\u00f3nicos deben marcarse como rechazados, spam o entregados.<\/p>\n Tambi\u00e9n permite a los administradores de los dominios recibir informes que destacan las actividades del correo electr\u00f3nico y hacer ajustes en sus pol\u00edticas en consecuencia.<\/p>\n Necesitas configurar un registro SPF para tu dominio<\/a> si env\u00edas correos electr\u00f3nicos comerciales y transaccionales a tus clientes, empleados o proveedores. El uso de diferentes soluciones de seguridad para el correo electr\u00f3nico hace que la entregabilidad y la seguridad de tu correo sean s\u00f3lidas.<\/p>\n Por lo tanto, si quieres que tus correos electr\u00f3nicos lleguen con \u00e9xito al destino previsto, el uso de registros SPF te lo garantizar\u00e1 y proporcionar\u00e1 una mayor seguridad a tus dominios y correos electr\u00f3nicos. Filtrar\u00e1 los correos electr\u00f3nicos falsos de los phishers y spammers y proteger\u00e1 tu reputaci\u00f3n.<\/p>\n A continuaci\u00f3n te explicamos c\u00f3mo puedes a\u00f1adir, crear y editar tus registros SPF.<\/p>\n Antes de empezar a crear un registro SPF, es necesario entender si tu configuraci\u00f3n de env\u00edo de correo electr\u00f3nico requiere que lo hagas en primer lugar.<\/p>\n As\u00ed que, en primer lugar, hay que entender la Ruta de Retorno (Return Path). SPF gira en torno al dominio utilizado en la ruta de retorno, en lugar del dominio FROM. Por lo tanto, al principio, hay que averiguar la ruta de retorno que se utiliza para el env\u00edo de correo.<\/p>\n Adem\u00e1s, algunos servicios de env\u00edo de correo electr\u00f3nico (ESPs) como Google pueden utilizar tu nombre de dominio en su Return-Path. Esto requiere que crees un registro SPF propio para tu dominio.<\/p>\n Sin embargo, otros ESPs, como Postmark, pueden utilizar su dominio en la ruta de retorno, por lo que no es necesario que configures un SPF por ti mismo, sino que debe hacerlo tu ESP.<\/p>\n As\u00ed que, ahora que sabes por qu\u00e9 necesitas configurar un registro SPF, vamos a entender el proceso paso a paso de c\u00f3mo hacerlo.<\/p>\n Las organizaciones pueden tener varios lugares desde los que env\u00edan un correo electr\u00f3nico. As\u00ed que, en el primer paso para crear un registro SPF, debes identificar qu\u00e9 direcciones IP utilizas desde tu dominio para enviar los correos electr\u00f3nicos. Enumera todas tus direcciones IP y los servidores de correo correspondientes en un documento de texto u hoja de c\u00e1lculo.<\/p>\n Adem\u00e1s, averigua qu\u00e9 v\u00edas se utilizan para enviar correos electr\u00f3nicos en nombre de tu marca. Puede ser un servidor web, un servidor de correo electr\u00f3nico de la oficina como Microsoft Exchange, el servidor de correo de tu ESP, un servidor de correo perteneciente al proveedor de buzones de tu cliente o un servidor de correo de terceros<\/a>.<\/p>\n Pero si no est\u00e1s seguro de tus direcciones IP, puedes ponerte en contacto con tu ESP y obtener la lista completa con todas las direcciones IP relacionadas con tu cuenta. Otra opci\u00f3n podr\u00eda ser hablarlo con tu Administrador del Sistema. Ellos pueden hacer una lista de todas las direcciones IP que utiliza tu empresa.<\/p>\n Una organizaci\u00f3n puede tener muchos dominios. De ellos, pueden dedicar algunos de sus dominios al env\u00edo de correos electr\u00f3nicos y otros para fines diferentes.<\/p>\n En el paso n\u00famero 2, tendr\u00e1s que crear un registro SPF para cada dominio que poseas, tanto si los dominios se utilizan para enviar correos electr\u00f3nicos como para cualquier otro fin.<\/p>\n Esto se debe a que los ciberdelincuentes pueden intentar suplantar los otros dominios que no se utilizan para enviar sus correos electr\u00f3nicos, ya que no estar\u00e1n protegidos con SPF mientras que otros utilizados para enviar correos electr\u00f3nicos s\u00ed lo est\u00e1n.<\/p>\n El SPF compara la direcci\u00f3n IP del servidor de correo del remitente con una lista que contiene direcciones IP de remitentes autorizados publicada por el remitente en su registro DNS<\/a> para validar la identidad de un remitente y mantener tus correos electr\u00f3nicos seguros.<\/p>\n Para crear un registro SPF, debes escribir una etiqueta Adem\u00e1s, en caso de que utilices una soluci\u00f3n de terceros para enviar correos electr\u00f3nicos en nombre de tu dominio:<\/p>\n Ahora, tu SPF puede tener el siguiente aspecto<\/p>\n Esto es para tus dominios que est\u00e1n autorizados a enviar correos electr\u00f3nicos en tu nombre. Pero para tus otros dominios, debes excluir los modificadores (excepto Este es el aspecto de tu registro SPF para los dominios que no utilizas para enviar correos electr\u00f3nicos As\u00ed es como puedes crear tu registro SPF. Despu\u00e9s, simplemente publ\u00edcalo.<\/p>\n Una vez definido el registro SPF, el siguiente paso es publicarlo en tus DNS. Hay dos m\u00e9todos para hacerlo:<\/p>\n Esto permitir\u00e1 que los receptores del buz\u00f3n, como Gmail<\/a>, Hotmail, Mailbird, etc., soliciten el registro SPF.<\/p>\n Adem\u00e1s, si quieres actualizar los registros DNS:<\/p>\n Una vez que hayas creado tu registro SPF y lo hayas publicado, puedes utilizar un comprobador de registros SPF para probar el registro SPF. Hay muchas opciones disponibles en el mercado de comprobadores de registros SPF, como Dmarcian, Agari, Mimecast, etc.<\/p>\n Realizar una prueba te ayudar\u00e1 a comprobar la validez de tu registro SPF y a ver la lista que contiene todos los servidores autorizados que pueden enviar correos electr\u00f3nicos en nombre de tu dominio. Si no ves una direcci\u00f3n IP leg\u00edtima en la lista, puedes incluir la direcci\u00f3n IP de env\u00edo que te queda y actualizar tu registro.<\/p>\n Debes acceder al panel de control DNS de tu dominio para a\u00f1adir un registro SPF. Si utilizas un proveedor de servicios de alojamiento web, como Kinsta, el proceso de a\u00f1adir un registro SPF a tus DNS ser\u00e1 m\u00e1s sencillo. Puedes consultar la documentaci\u00f3n y seguir los pasos para hacerlo.<\/p>\n En general, los proveedores de servicios de correo electr\u00f3nico publican registros SPF para poder enviar correos electr\u00f3nicos desde sus dominios. Pero si no tienes ni idea de ello o tu ISP gestiona tus registros DNS, puedes dirigirte a tu departamento de inform\u00e1tica.<\/p>\n Aunque a\u00f1adir registros SPF te proporcionar\u00e1 beneficios en t\u00e9rminos de seguridad del correo electr\u00f3nico, capacidad de entrega<\/a> y mucho m\u00e1s, existen ciertas limitaciones en ellos. Vamos a hablar de esas limitaciones.<\/p>\n Las versiones anteriores de SPF se utilizaban para comprobar la configuraci\u00f3n en los registros TXT de DNS del dominio del remitente, con el fin de facilitar un despliegue y unas pruebas m\u00e1s r\u00e1pidas. Los registros TXT del DNS se dise\u00f1aron como texto de forma libre, sin ninguna sem\u00e1ntica asociada a ellos.<\/p>\n Sin embargo, la IANA asign\u00f3 un registro de recursos de tipo 99 al SPF en 2005. Esto hizo que se redujera el uso del SPF, ya que los usuarios se sent\u00edan abrumados por los dos mecanismos, que les resultaban confusos. En 2014 se dej\u00f3 de utilizar.<\/p>\n El SPF se dise\u00f1\u00f3 originalmente para evitar que los atacantes suplantaran la direcci\u00f3n de origen de un correo electr\u00f3nico. Pero ahora muchos s\u00f3lo lo hacen en el campo \u00abDe\u00bb de la cabecera del correo, que es visible para los destinatarios en lugar de ser procesado por su MTA. Esto aumenta los riesgos de suplantaci\u00f3n.<\/p>\n Aunque puedes utilizar SPF con DMARC para comprobar el campo \u00abDe\u00bb de la cabecera del correo, es posible que necesites alguna soluci\u00f3n avanzada y m\u00e1s fuerte para estar protegido de la suplantaci\u00f3n de nombres de usuario en lugar de SPF.<\/p>\n Adem\u00e1s, es dif\u00edcil actualizar los registros SPF si a\u00f1ades flujos de correo electr\u00f3nico o cambias de ISP. Los registros SPF tambi\u00e9n pueden romper el reenv\u00edo de un mensaje simple, y no garantiza la autentificaci\u00f3n del correo electr\u00f3nico.<\/p>\n Antes de descubrir las mejores pr\u00e1cticas para crear y mantener los registros SPF, primero hablemos de algunas pr\u00e1cticas generales.<\/p>\n Despu\u00e9s de estas pr\u00e1cticas generales, hablemos de algunas de las mejores pr\u00e1cticas de los registros SPF.<\/p>\n El SPF incluye un mont\u00f3n de mecanismos potentes y complejos, pero no es necesario utilizarlos todos en tus registros SPF. Mant\u00e9n tus registros SPF simples y define s\u00f3lo el n\u00famero necesario de registros SPF, no m\u00e1s que eso.<\/p>\n Esto tambi\u00e9n es v\u00e1lido para el mecanismo A\u00f1ade los rangos en notaci\u00f3n CIDR, porque un solo error puede alterar dr\u00e1sticamente el valor. As\u00ed que, si un atacante logra comprometer algunos de tus sistemas y uno de ellos tiene la direcci\u00f3n IP perteneciente a este rango, podr\u00eda ser fatal. Pueden hacer un mal uso de la direcci\u00f3n IP correctamente autentificada para enviar correos electr\u00f3nicos de spam. Podr\u00eda da\u00f1ar tu reputaci\u00f3n, provocar la p\u00e9rdida de datos y hacer que tu dominio sea marcado como spam por los proveedores de correo<\/a>.<\/p>\n Dado que este riesgo es muy frecuente, los proveedores de correo se han vuelto vigilantes y bloquean los dominios que les parecen sospechosos para evitar que se produzcan. Limitan los rangos de tama\u00f1o CIDR permitidos para ser considerados v\u00e1lidos en los registros SPF.<\/p>\n Evita utilizar la declaraci\u00f3n La declaraci\u00f3n En general, los dominios s\u00f3lo tienen un registro SPF, lo que significa que s\u00f3lo puede almacenar un registro TXT que empiece por la declaraci\u00f3n Esta limitaci\u00f3n del SPF se viola con frecuencia. Muchos intentan a\u00f1adir varios registros porque pueden haber desplegado varios servicios en su dominio, donde cada proveedor de servicios puede exigirles que creen y a\u00f1adan un registro SPF a su dominio.<\/p>\n Los registros duplicados da\u00f1an la capacidad de entrega de tu correo electr\u00f3nico, invitan a riesgos de seguridad y pueden empa\u00f1ar tu reputaci\u00f3n. Los grandes proveedores de servicios de correo electr\u00f3nico, como Google y Microsoft, tienen t\u00e9cnicas para limitar estos da\u00f1os y arreglar autom\u00e1ticamente los registros duplicados. Pero los sistemas de correo electr\u00f3nico m\u00e1s peque\u00f1os pueden no hacerlo.<\/p>\n Cuando identifiques registros SPF duplicados, debes abordar inmediatamente el problema, que es bastante f\u00e1cil de solucionar. Las organizaciones con varios registros SPF pueden fusionarlos en una sola declaraci\u00f3n. Combinando dos registros SPF te asegurar\u00e1s de que Los registros SPF pueden tener hasta 255 caracteres para una sola cadena, seg\u00fan el RFC. Esta es una limitaci\u00f3n para todos los registros TXT de un DNS.<\/p>\n Como ya se ha explicado, cualquier registro SPF que no cumpla con esta directriz puede implicar errores permanentes o temporales en los sistemas de correo de los destinatarios. Aunque tu gestor de DNS puede evitar que superes este l\u00edmite, puede dar lugar a problemas al almacenar registros m\u00e1s largos.<\/p>\n Aunque puedes mantener los registros con s\u00f3lo 255 caracteres de longitud en una sola cadena, existe la opci\u00f3n de crear varias cadenas en un registro DNS. As\u00ed, cuando un servidor de correo del destinatario comienza a analizar el registro SPF y encuentra varias cadenas en un registro, las combina en un orden espec\u00edfico sin espacios.<\/p>\n Una vez hecho esto, el servidor de correo verificar\u00eda el contenido. De nuevo, ten en cuenta que sigue habiendo una limitaci\u00f3n en el n\u00famero total de caracteres de tu registro, aunque puedas a\u00f1adir varias cadenas. Entender este l\u00edmite puede ser un reto, pero garantiza que los paquetes DNS no superen los 512 bytes, que es la longitud de paquete UDP recomendada.<\/p>\n Sin embargo, si tu registro SPF supera este l\u00edmite, crea sub-registros y divide un \u00fanico registro en varios para evitar problemas de verificaci\u00f3n SPF. Al dividir tus registros SPF, incluye cada sub-registro en la parte principal. Ten cuidado, ya que podr\u00eda crear un n\u00famero abrumador de solicitudes DNS, lo cual es un problema de seguridad que necesita soluci\u00f3n.<\/p>\n Adem\u00e1s de mantener 255 caracteres en una cadena, tambi\u00e9n debes limitar el n\u00famero de b\u00fasquedas DNS. Las especificaciones de la RFC indican que no se realicen m\u00e1s de 10 b\u00fasquedas DNS en el registro. Esto ayuda a evitar problemas como los bucles DNS infinitos y los ataques de denegaci\u00f3n de servicio distribuidos (DDoS)<\/a>.<\/p>\n Pero, \u00bfqu\u00e9 ocurre realmente cuando haces m\u00e1s de 10 b\u00fasquedas en tu registro?<\/p>\n Se producir\u00e1 un error permanente durante la autentificaci\u00f3n SPF. Los mecanismos SPF – Sin embargo, los mecanismos \u2014 Adem\u00e1s, ten en cuenta las declaraciones de inclusi\u00f3n anidadas, como los subregistros que se utilizan para desintegrar un registro mayor. Esto puede aumentar las consultas DNS generadas por tu registro SPF. Por lo tanto, cuando utilices un servicio de terceros, aseg\u00farate de que no utilizan excesivas consultas DNS en los registros SPF.<\/p>\n Todas las entradas SPF se resuelven con una subred o direcci\u00f3n IP.<\/p>\n Es f\u00e1cil que se generen subredes y direcciones IP duplicadas al crear una lista de direcciones IP y sistemas autorizados para enviar correos electr\u00f3nicos. Normalmente, esto puede ocurrir cuando a\u00f1ades la declaraci\u00f3n La mejor pr\u00e1ctica a seguir aqu\u00ed podr\u00eda ser utilizar la notaci\u00f3n ip4 o ipv6, si la direcci\u00f3n IP del servidor cambia raramente. Esto permitir\u00e1 a los destinatarios evitar cualquier b\u00fasqueda de DNS. Adem\u00e1s, puedes especificar un rango de direcciones IP si tienes una lista larga de servidores de correo electr\u00f3nico saliente, ya que las b\u00fasquedas de DNS para cada registro SPF est\u00e1n limitadas a diez.<\/p>\n Aparte de esto, puedes tener en cuenta algunas cosas m\u00e1s:<\/p>\n El Correo Identificado por Clave de Dominio (DKIM) proporciona una clave de cifrado y una firma digital que verifica que un mensaje de correo electr\u00f3nico no ha sido falsificado o alterado. Como DKIM utiliza firmas digitales criptogr\u00e1ficas, debes seguir algunas buenas pr\u00e1cticas para asegurar tu dominio.<\/p>\n La autenticaci\u00f3n y conformidad de mensajes basada en el dominio (DMARC) unifica los mecanismos de autenticaci\u00f3n SPF y DKIM en un framework com\u00fan y permite a los propietarios de dominios declarar c\u00f3mo quieren que se trate un correo electr\u00f3nico de ese dominio si no supera una prueba de autorizaci\u00f3n.<\/p>\n El uso de DMARC tiene muchas ventajas. Te proporciona una funci\u00f3n de informaci\u00f3n y te permite indicar a los proveedores de servicios de correo que bloqueen los mensajes que no superen la autenticaci\u00f3n y se env\u00eden en nombre de tu dominio. Esto ayuda a identificar y bloquear los mensajes fraudulentos enviados desde tu dominio, lo que ayuda a salvaguardar a tus clientes y mejora la reputaci\u00f3n de tu dominio.<\/p>\n As\u00ed que, si todav\u00eda no utilizas DMARC, empieza a usarlo inmediatamente. Y si lo haces, aseg\u00farate de que tus mensajes incluyen la \u00abalineaci\u00f3n del identificador\u00bb Esta alineaci\u00f3n es esencial para que un correo electr\u00f3nico pase la verificaci\u00f3n de DMARC. Pero si no la incluyes al utilizar DMARC, enviar\u00e1 tus correos electr\u00f3nicos directamente a la lista de sospechosos.<\/p>\n Puedes utilizar algunas herramientas para comprobar los registros SPF. Estas herramientas se conocen como herramientas de comprobaci\u00f3n de registros SPF o comprobadores de registros SPF.<\/p>\n Un comprobador de registros SPF ayuda a garantizar la validez de un registro SPF mediante la comprobaci\u00f3n de varios par\u00e1metros:<\/p>\n Algunos ejemplos de comprobadores de registros SPF son Dmarcian, Agari y Mimecast, entre otros.<\/p>\n\n Dado que los riesgos de ciberseguridad est\u00e1n evolucionando y afectando tanto a los individuos como a las empresas, debes asegurarte de implementar tantas capas de seguridad como puedas para permanecer protegido. Puedes utilizar muchas t\u00e9cnicas, herramientas, soluciones y servicios de seguridad para proteger tus datos, red, aplicaciones y sistemas.<\/p>\n A\u00f1adir un registro SPF a tu dominio es una de esas t\u00e9cnicas que puede ayudar a salvaguardar los activos y la reputaci\u00f3n de tu empresa, impidiendo que los spammers env\u00eden correos electr\u00f3nicos en nombre de tu dominio.<\/p>\n El uso de un SPF por s\u00ed solo puede no ofrecerte una protecci\u00f3n completa; por ello, utiliza DKIM y DMARC con tus registros SPF. Esta estrategia es m\u00e1s eficaz a la hora de detectar riesgos de seguridad como la suplantaci\u00f3n de identidad del correo electr\u00f3nico, la inclusi\u00f3n en la lista negra de los servidores y el marcado como spam.<\/p>\n Por tanto, si utilizas estas t\u00e9cnicas, aseg\u00farate de seguir las mejores pr\u00e1cticas indicadas anteriormente para los registros SPF, DKIM y DMARC, y utiliza un comprobador de registros SPF para comprobar la validez de tu registro.<\/p>\n","protected":false},"excerpt":{"rendered":" Una tecnolog\u00eda de seguridad como el SPF (Sender Policy Framework) puede resultar imprescindible en un mundo plagado de ataques online y mensajes de spam. La ciberseguridad …<\/p>\n","protected":false},"author":164,"featured_media":55533,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_kinsta_gated_content":false,"_kinsta_gated_content_redirect":"","footnotes":""},"tags":[439,526,602,1120,1121],"topic":[1285,1323],"class_list":["post-55532","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","tag-dns","tag-email","tag-email-deliverability","tag-recor","tag-spf","topic-consejos-email-marketing","topic-consejos-seguridad"],"yoast_head":"\n
\n\u00bfQu\u00e9 Significa SPF?<\/h2>\n
![\"Se](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/spfrecord-1.png\")
\u00bfQu\u00e9 Es un Registro SPF?<\/h2>\n
![\"Mostrando](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/SPF-Record-1.png\")
Sintaxis del Registro SPF<\/h3>\n
Ejemplo de un Registro SPF<\/h3>\n
<v=\"spf1 a include:_spf.google.com -all\">\n<\/pre>\n
\n
v=spf1<\/code> es el SPF versi\u00f3n 1, un componente que identifica un registro TXT como un registro SPF.<\/li>\na<\/code> autoriza al host detectado en el registro A del dominio a enviar los correos electr\u00f3nicos.<\/li>\ninclude:<\/code> se utiliza para autorizar los correos electr\u00f3nicos que el remitente puede enviar en nombre de un dominio (aqu\u00ed, google.com).<\/li>\n-all<\/code> indica al servidor del receptor que las direcciones que no figuran en este registro SPF no est\u00e1n autorizadas a enviar ning\u00fan correo electr\u00f3nico. Tambi\u00e9n indica a los servidores que rechacen dichas direcciones.<\/li>\n<\/ul>\n\u00bfC\u00f3mo Funciona un Registro SPF?<\/h2>\n
![\"Dirigiendo](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/SPF-Record-Works-1-1.jpg\")
Componentes de un Registro SPF<\/h2>\n
N\u00famero de versi\u00f3n<\/h3>\n
Mecanismos<\/h3>\n
\n
a<\/code>:<\/strong> Especifica todas las direcciones IP en un registro DNS A (ejemplo: v=spf1 a:google.com -all<\/code>). Se utiliza al final y define la regla para tratar una IP de remitente que no coincide con ning\u00fan mecanismo anterior.<\/li>\nmx<\/code>:<\/strong> Define todos los registros A hacia el registro MX pertenecientes a cada host. Ejemplo v=spf1 mx mx:google.com -all<\/code><\/li>\ninclude:<\/code>:<\/strong> Define otros dominios autorizados (ejemplo: v=spf1 include:outlook.microsoft.com -all<\/code>). Si la pol\u00edtica de ese dominio en particular se aprueba, entonces este mecanismo tambi\u00e9n se aprobar\u00e1. Necesitas la extensi\u00f3n de redirecci\u00f3n si quieres conseguir una delegaci\u00f3n completa con la pol\u00edtica de otro dominio.<\/li>\nptr<\/code>:<\/strong> Define todos los registros A hacia el registro PTR de cada host (ejemplo: v=spf1 ptr:domain.com -all<\/code>). Sin embargo, debes evitar este mecanismo, si es posible.<\/li>\nall<\/code>:<\/strong> Coincide con todas las direcciones IP remotas y locales y se utiliza en el extremo del registro SPF (ejemplo: v=spf1 +all<\/code>).<\/li>\nexists<\/code>:<\/strong> Especifica los dominios firmados como una excepci\u00f3n seg\u00fan la definici\u00f3n SPF. Cuando se ejecuta una consulta sobre un dominio determinado, \u00e9ste ser\u00e1 una coincidencia al obtener un resultado. Se utiliza raramente y ofrece coincidencias m\u00e1s complicadas, como las consultas DNSBL.<\/li>\nip4<\/code>:<\/strong> Se utiliza para definir una direcci\u00f3n IPv4, por ejemplo, v=spf1 ip4:192.0.0.1 -all.<\/li>\nip6<\/code>:<\/strong> Se utiliza para definir una direcci\u00f3n IPv6, por ejemplo, v=spf1 ip6:2001:db8::8a2e:370:7334 -all<\/li>\n<\/ul>\nCuantificadores<\/h3>\n
pass<\/code> o +<\/code>.<\/p>\n\n
+<\/code><\/strong> representa el resultado PASS. Si la direcci\u00f3n pasa la prueba, el mensaje debe ser aceptado (ejemplo: v=spf1 +all<\/code>). Puedes omitirlo porque, por ejemplo, +mx<\/code> y mx<\/code> son lo mismo.<\/li>\n-<\/code><\/strong> representa HARDFAIL, que indica que la direcci\u00f3n no ha superado la prueba y el correo electr\u00f3nico debe ser rechazado (ejemplo: v=spf1 -all<\/code>).<\/li>\n~<\/code><\/strong> representa SOFTFAIL y se pronuncia como una tilde. Significa que la direcci\u00f3n ha fallado la prueba; sin embargo, el resultado no es definitivo. Puedes aceptar y etiquetar un correo electr\u00f3nico no conforme (ejemplo: v=spf1 ~all<\/code>).<\/li>\n?<\/code><\/strong> significa NEUTRAL, donde la direcci\u00f3n no ha fallado ni superado la prueba y eres libre de aceptarla o rechazarla (ejemplo: v=spf1 ?all<\/code>).<\/li>\n<\/ul>\n+all<\/code>.<\/p>\nModificadores<\/h3>\n
=<\/code> y proporcionan m\u00e1s informaci\u00f3n. Los registros SPF tambi\u00e9n pueden tener cero, uno o dos modificadores, pero s\u00f3lo pueden aparecer una vez, hacia el final del registro.<\/p>\n\n
redirect<\/code>:<\/strong> Se utiliza para enviar una consulta a otros dominios. Este modificador es f\u00e1cil de entender en comparaci\u00f3n con otros mecanismos y modificadores, y se utiliza cuando tienes varios dominios y necesitas utilizar el mismo registro SPF en todas partes.<\/li>\nexp<\/code>:<\/strong> Se utiliza para dar una explicaci\u00f3n cuando se incluye un cuantificador FAIL en un mecanismo coincidente. Esta explicaci\u00f3n se colocar\u00e1 en el registro SPF.<\/li>\n<\/ul>\n\u00bfPor qu\u00e9 Necesitas Registros SPF?<\/h2>\n
Mayor Seguridad del Correo Electr\u00f3nico<\/h3>\n
![\"Dos](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/Email-Security.jpg\")
Mejora la Capacidad de Entrega del Correo Electr\u00f3nico<\/h3>\n
Mejora de la Reputaci\u00f3n del Dominio<\/h3>\n
![\"Se](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/Domain-Reputation.jpg\")
Cumplimiento de DMARC<\/h3>\n
\u00bfQui\u00e9n Necesita un Registro SPF?<\/h2>\n
\n
C\u00f3mo Crear, A\u00f1adir y Editar Registros SPF<\/h2>\n
C\u00f3mo Crear un Registro SPF<\/h3>\n
![\"Se](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/How-to-Create-.jpg\")
Paso 1: Identificar las Direcciones IP que Env\u00edan Correos Electr\u00f3nicos<\/h4>\n
Paso 2: Enumerar los Dominios de Env\u00edo<\/h4>\n
Paso 3: Configurar el Registro SPF<\/h4>\n
v=spf1<\/code>, seguida de las direcciones IP autorizadas para el env\u00edo de correos electr\u00f3nicos. Ejemplo v=spf1 ip4:192.0.0.1 -all<\/code><\/p>\n\n
include<\/code> en el registro SPF para especificar que el tercero es un remitente leg\u00edtimo. Por ejemplo, puedes escribir include:google.com<\/code><\/li>\n-all<\/code> o ~all<\/code>. Aqu\u00ed, la etiqueta -all<\/code> significa un FALLO SPF DURO, mientras que la etiqueta ~all<\/code> significa un FALLO SPF SUAVE. Sin embargo, para los principales proveedores de buzones, tanto -all<\/code> como ~all<\/code> dar\u00e1n lugar a un fallo SPF. Pero, en general, se utiliza con frecuencia -all<\/code>, ya que es m\u00e1s seguro.<\/li>\nv=spf1 ip4:192.0.0.1 include:google.com -all<\/code><\/p>\n-all<\/code>) en el registro SPF.<\/p>\nv=spf1 \u2013all<\/code><\/p>\nPaso 4: Publicar el Registro SPF<\/h4>\n
\n
\n
Paso 5: Probar el Registro SPF<\/h4>\n
C\u00f3mo A\u00f1adir un Registro SPF a tu Dominio<\/h3>\n
![\"Se](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/How-to-Add.jpg\")
Limitaciones de los Registros SPF<\/h2>\n
Registros SPF de DNS<\/h3>\n
Problemas con las Cabeceras<\/h3>\n
Mejores Pr\u00e1cticas de los Registros SPF<\/h2>\n
\n
+all<\/code>. La \u00fanica forma de utilizar de forma productiva all<\/code> es en los mecanismos ~all<\/code> o -all<\/code>.<\/li>\n<\/ul>\nUtilizar Registros SPF Limitados<\/h3>\n
include:<\/code>. Util\u00edzalo en un n\u00famero limitado y evita los includes anidados si puedes. As\u00ed evitar\u00e1s sobrepasar el l\u00edmite de 10 b\u00fasquedas DNS. Tambi\u00e9n puedes a\u00f1adir direcciones IP de gran alcance a la vez, en lugar de hacerlo todo individualmente. Esto simplifica el proceso y ahorra tiempo.<\/p>\nEspecificar Rangos en Notaci\u00f3n CIDR<\/h3>\n
Evitar el Uso de la Declaraci\u00f3n +all<\/h3>\n
+all<\/code> en tus registros SPF. Puede parecer demasiado permisivo, y detectar este tipo de problema de seguridad es dif\u00edcil porque estos registros SPF son sint\u00e1cticamente v\u00e1lidos. Incluso las herramientas y soluciones de prueba para comprobar los registros pueden no identificar los registros excesivamente permisivos.<\/p>\n+all<\/code> permite que el registro SPF permita literalmente a toda la web enviar correos electr\u00f3nicos en nombre de tu dominio, incluidos los maliciosos. De hecho, los dominios implicados en la distribuci\u00f3n de spam suelen tener registros SPF que terminan con +all<\/code>. Como resultado, pueden enviar correos electr\u00f3nicos de spam que contengan malware infectado<\/a> desde cualquier direcci\u00f3n IP.<\/p>\nCuidado con los Registros Duplicados<\/h3>\n
v=spf1<\/code>. Y si intentas a\u00f1adir varios registros en un dominio, puede dar lugar a errores permanentes.<\/p>\n![\"Se](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/duplicate-data-1-1.jpg\")
v=spf1<\/code> permanezca al principio del registro SPF y aparezca s\u00f3lo una vez, mientras que all<\/code> se mantenga al final.<\/p>\nL\u00edmite de Caracteres<\/h3>\n
Limita las B\u00fasquedas de DNS<\/h3>\n
include:<\/code>, a<\/code>, PTR<\/code>, mx<\/code>, exists<\/code>, y redirect<\/code> – dar\u00e1n lugar a una consulta DNS.<\/p>\nall<\/code>, ip4<\/code>, y ip6<\/code> \u2014 no cuentan para una consulta DNS.<\/p>\nEvita las Subredes y Direcciones IP Duplicadas<\/h3>\n
![\"Se](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/subnetduplicate-1.jpg\")
include:<\/code> en tu registro SPF, as\u00ed como en los registros MX del dominio para el proveedor de servicios de correo. Estas IPs pueden ser las mismas, pertenecientes a las subredes incluidas.<\/p>\n\n
include:<\/code>, y evita los includes anidados si puedes.<\/li>\n~all<\/code> o -all<\/code>, en lugar del mecanismo +all<\/code>.<\/li>\nexists<\/code> SPF, porque si no lo utilizas correctamente, los riesgos de seguridad pueden filtrarse a trav\u00e9s de los errores cometidos durante el proceso.<\/li>\nUsar DKIM con SPF<\/h3>\n
\n
Utilizar DMARC con SPF<\/h3>\n
C\u00f3mo Comprobar los Registros SPF<\/h2>\n
Comprobador de Registros SPF<\/h3>\n
![\"Se](\"https:\/\/kinsta.com\/wp-content\/uploads\/2022\/07\/checkspf.png\")
\n
Resumen<\/h2>\n