1. Centro de Ayuda
  2. DMARC: conceptos básicos

¿Qué es SPF (Sender Policy Framework)?

Obtén una mirada general sobre el Sender Policy Framework y cómo afecta tu correo.

El Sender Policy Framework (SPF) es una de las técnicas de autenticación que permite la Autenticación, Reporte y Conformidad basados en Dominio (DMARC). DMARC es un protocolo que ayuda a los remitentes y receptores de correo electrónico a verificar la identidad y la legitimidad de los mensajes que intercambian. DMARC previene el spoofing de correo electrónico, el phishing y el spam utilizando dos métodos de autenticación: SPF y DomainKeys Identified Mail (DKIM). 

¿Qué es SPF?

SPF permite que un propietario de dominio declare públicamente qué servidores o direcciones IP pueden enviar correos electrónicos en su nombre. Por ejemplo, si un propietario de dominio utiliza una aplicación para enviar sus correos electrónicos de notificación y otra para enviar sus correos electrónicos de marketing, necesitaría incluir ambos servicios como sus remitentes aprobados en su registro SPF. Un registro SPF es una entrada de texto en el Sistema de Nombres de Dominio (DNS) que especifica los remitentes autorizados para un dominio.

¿Cómo funciona SPF?

Cuando un servidor recibe un correo electrónico, verifica el registro SPF del dominio del remitente para ver si el correo electrónico proviene de una fuente autorizada. Si la dirección IP del remitente coincide con una de las entradas en el registro SPF, el correo electrónico pasa la verificación de SPF y se considera auténtico. Si la dirección IP del remitente no coincide con ninguna de las entradas en el registro SPF, el correo electrónico falla en la verificación de SPF y se considera no auténtico. El servidor receptor puede entonces decidir cómo manejar el correo electrónico basado en su política DMARC, que puede ser aceptar, poner en cuarentena o rechazar el mensaje.

¿Por qué es importante SPF?

SPF es importante porque ayuda a proteger tanto a los remitentes como a los destinatarios de correo electrónico de correos electrónicos fraudulentos y maliciosos. Al usar SPF, los remitentes de correo electrónico pueden mejorar su reputación y entregabilidad, así como reducir el riesgo de que su dominio sea puesto en la lista negra o suplantado. Los destinatarios de correo electrónico también pueden beneficiarse de SPF, ya que pueden filtrar mensajes no deseados y maliciosos, y asegurarse de recibir comunicaciones solo de fuentes legítimas y confiables.

¿Cuáles son las limitaciones de SPF?

  • SPF solo verifica la dirección del envelope-from, no la dirección del remitente del encabezado. Envelope-from es la dirección que el sistema de entrega de correo utiliza, mientras que el remitente del encabezado es la dirección que ve el destinatario del correo electrónico. Estas dos direcciones pueden diferir, y los spammers pueden explotar esto utilizando un envelope-from válido y un remitente del encabezado falsificado. Por lo tanto, SPF no previene ataques de phishing que intentan engañar al destinatario con un remitente de cabecera falso.
  • SPF no protege contra el reenvío de correos electrónicos. Cuando un tercero reenvía un correo electrónico, el remitente de sobre original permanece sin cambios, pero la dirección IP del reenviador se añade al camino de entrega. Esto puede hacer que la verificación de SPF falle, incluso si el remitente original está autorizado. Esto puede resultar en falsos positivos, donde correos electrónicos auténticos son marcados como no auténticos y rechazados o puestos en cuarentena.
  • SPF no encripta ni firma el contenido del correo electrónico. SPF solo valida la fuente del correo electrónico, pero no asegura la integridad o confidencialidad del contenido del correo electrónico. Los spammers aún pueden alterar o manipular el contenido del correo electrónico, o interceptar y leer el correo electrónico en tránsito. Por lo tanto, SPF no previene ataques basados en el contenido, como malware, ransomware o robo de datos.
  • SPF viene con un límite de solo 10 búsquedas DNS SPF por registro SPF. Si eres propietario de un dominio y planeas agregar un registro SPF a la base de datos DNS, asegúrate de que este límite no se exceda, o de lo contrario la verificación de tu registro SPF fallará.

Sintaxis de SPF

v=spf1 [mechanisms] [qualifiers]

v=spf1

La parte v=spf1 indica la versión y el protocolo del registro SPF. Solo hay una versión de SPF, y el protocolo siempre es spf1.

[mechanisms]

Los mecanismos son las reglas que definen cómo coincidir la dirección IP o el host del remitente con la política SPF. Hay varios tipos de mecanismos, tales como:

a: coincide la dirección IP del remitente con los registros A o AAAA del dominio

mx: coincide la dirección IP del remitente con los registros MX del dominio

ip4: coincide la dirección IPv4 del remitente con un rango específico

ip6: coincide la dirección IPv6 del remitente con un rango específico

include: incluye la política SPF de otro dominio

all: coincide cualquier dirección IP del remitente

[calificadores o qualifiers]

Los calificadores son las acciones que indican cómo manejar los correos electrónicos que coinciden o no coinciden con los mecanismos. Hay cuatro tipos de calificadores, tales como:

+: pass, el correo electrónico es aceptado (NO RECOMENDADO)

?: neutral, el correo electrónico ni se acepta ni se rechaza (NO RECOMENDADO)

-: fail, el correo electrónico es rechazado

~: softfail, el correo electrónico es aceptado pero marcado como sospechoso

- Un ejemplo de un registro SPF simple sería:

v=spf1 mx -all

Esto significa que solo las direcciones IP que corresponden a los registros MX del dominio están autorizadas para enviar correos electrónicos en nombre del dominio, y cualquier otra dirección IP es rechazada.

¿Cómo elegir el calificador SPF correcto?

La elección del calificador SPF depende de la preferencia del propietario del dominio y su tolerancia al riesgo. Generalmente, se recomienda usar el calificador Hard Fail (-) para dominios que envían correos electrónicos críticos o sensibles, como servicios financieros o legales. De esta manera, el propietario del dominio puede asegurarse de que solo los servidores autorizados puedan enviar correo electrónico en su nombre, y que cualquier correo electrónico suplantado sea rechazado por el servidor receptor. Sin embargo, el propietario del dominio también debe asegurarse de que su registro SPF sea preciso y esté actualizado, y que incluya todas las fuentes legítimas de correo electrónico para su dominio, como hosts web, proveedores de correo electrónico, servicios de terceros, etc. De lo contrario, podrían arriesgarse a perder algunos correos electrónicos válidos que fallen en la verificación SPF.
Por otro lado, el calificador Soft Fail (~) puede ser una buena opción para dominios que envían correos electrónicos menos críticos o sensibles, como boletines informativos, marketing o redes sociales. De esta manera, el propietario del dominio aún puede indicar su preferencia por servidores autorizados, pero también permitir cierta flexibilidad al servidor receptor para decidir cómo manejar el correo electrónico. Esto puede reducir las posibilidades de perder correos electrónicos válidos que fallen en la verificación SPF, pero también puede aumentar las posibilidades de recibir correos electrónicos suplantados que pasen la verificación SPF.
Los calificadores Neutral (?) y Allow all (+) no se recomiendan para ningún dominio, ya que no proporcionan ningún beneficio o protección contra ataques de suplantación de correo electrónico y phishing. Esencialmente desactivan el mecanismo SPF y permiten que cualquier servidor envíe correo electrónico en nombre del dominio. Esto puede dañar la reputación y la entregabilidad del dominio, así como exponer a los usuarios del dominio a correos electrónicos maliciosos.

SPF Redirect

El modificador de redirección permite a un dominio apuntar al registro SPF de otro dominio y usarlo como propio. Por ejemplo:

v=spf1 redirect=ejemplo.com

Esto significa que el dominio usará el registro SPF de example.com como propio, e ignorará cualquier otro mecanismo o modificador en su registro.

¿Necesitas ayuda?

soporte@sendmarc.com está disponible para asistirte.