El Sender Policy Framework (SPF) es un protocolo de seguridad que comprueba la legitimidad de un remitente de correo electrónico. Funciona como un pasaporte para tus correos electrónicos, verificando la identidad del remitente y que el correo electrónico procede de una fuente autorizada.
Un SPF contribuye a la seguridad y confidencialidad de las comunicaciones por correo electrónico al confirmar que todos los correos electrónicos no proceden de impostores. Sin embargo, un correo electrónico puede fallar en la validación SPF.
Cuando un SPF falla por IP, el correo electrónico no procede de una fuente autorizada. Es comparable a alguien que intenta entrar en un país con un pasaporte falso.
También significa un correo de bandera roja, ya sea un correo malicioso o un ataque de phishing.
Entonces, ¿por qué fallan los correos electrónicos en la validación SPF? ¿Cuáles son sus consecuencias? Lee este artículo para saber más sobre el SPF, los fallos SPF, la solución de problemas básicos y avanzados, y cómo evitarlos.
¿Qué es el SPF o Marco de Política del Remitente?
Un SPF es uno del trío de protocolos de seguridad del correo electrónico (SPF, DKIM y DMARC) que abordan un aspecto algo diferente del rompecabezas del correo electrónico para evitar el spam y la suplantación de identidad por correo electrónico.
Los tres trabajan juntos mediante herramientas de encriptación y autenticación estándar para autenticar los correos electrónicos de un dominio.
El SPF, en concreto, es un protocolo de autenticación de correo electrónico utilizado por los servidores de correo de los destinatarios para verificar la autenticidad de un correo electrónico comprobando si el remitente coincide con su nombre de dominio en el campo «De». Para ello, el SPF enumera las aplicaciones y servidores que pueden enviar correos electrónicos desde un dominio.
Canva/ anyaberkut
Cómo funciona el FPS
Vamos a suponerlo:
– El dominio de tu empresa es onlinesportshop.com, y envías correos electrónicos a tus clientes y empleados desde support@onlinesportshop.com;
– Tu servidor de entrega de correo electrónico -un software que envía y recibe correo electrónico y un sistema informático equivalente al cartero de tu barrio- utiliza una dirección IP de 192.168.0.1;
– Un spammer utiliza un servidor fraudulento con una dirección IP de 1.2.3.4 para enviar spam o correos electrónicos falsos. Estos correos electrónicos pueden contener información falsa, enlaces maliciosos, sutiles falsedades o mentiras descaradas destinadas a hacer que el remitente parezca comprometido por malware o inseguro.
Estos correos electrónicos pueden afectar negativamente a tu reputación como supuesto remitente y perjudicar tus perspectivas sociales y tu negocio en general.
– Tu servidor de entrega de correo electrónico se conecta al de tus destinatarios. Ese servidor de correo electrónico que sirve el buzón del destinatario extraerá tu nombre de dominio(onlinesportshop.com) como remitente.
– El servidor de correo electrónico del destinatario también comprobará si la dirección IP del host de conexión aparece en el registro SPF de onlinesportshop.com. Ese registro enumera todos los dominios y direcciones IP autorizados a enviar correos electrónicos desde ese dominio.
– La comprobación SPF pasa si la dirección IP está en la lista.
– Tu registro SPF puede tener este aspecto: v=spf1 ip4:192.168.0.1 -all
– Significa que sólo los correos electrónicos de 192.168.0.1 pasan la comprobación SPF, y todas las demás direcciones IP fallarán.
DKIM y SPF se complementan y están interrelacionados debido a sus funciones de protección en la seguridad del correo electrónico. Quizá te interese leer DKIM vs SPF – ¿Cuál es la diferencia?
Canva/ Prostock-studio
¿Qué es un fallo del FPS y por qué es importante?
Un error «SPF Authentication Fail» significa que el host remitente no está autorizado a utilizar el dominio. Informalmente se denomina «fallo duro».
Un fallo SPF puede deberse a incoherencias en la configuración de los registros SPF o a que se ha superado el límite de diez búsquedas.
Otras razones que conducen a un fracaso del SPF son:
- Hay varios registros SPF en tu registro DNS para el mismo dominio.
- Las direcciones IP no aparecen en el registro SPF o no se han actualizado.
- El Agente de Transferencia de Correo (MTA) receptor no puede encontrar el registro SPF publicado en el DNS.
- El registro SPF aplanado supera el límite de 255 caracteres SPF.
- La búsqueda de vacíos SPF excede de dos (límite permitido).
- El registro es sintácticamente incorrecto.
Cuando se produzca alguno de estos motivos de fallo de SPF, los resultados de la autenticación SPF se pasarán al protocolo de autenticación, notificación y conformidad de mensajes basados en dominios (DMARC). DMARC es un protocolo de autenticación de correo electrónico que especifica cómo autenticar correos electrónicos utilizando DKIM o SPF.
Tras pasar por DMARC, la autenticación dará como resultado un SPF Ninguno, Neutro, Fallo suave, Fallo duro, Temperror (error temporal) o Permerror (error permanente). A continuación explicaremos en profundidad cada uno de ellos.
Utiliza el comprobador de spam gratuito de InboxAlly para evitar fallos de SPF. Mostrará elementos de tu correo electrónico que un filtro de spam podría interpretar como spam y validará tus campañas antes de enviarlas.
Variación del Error de Fallo SPF: La diferencia entre el fallo blando y el fallo duro del FPS
Un fallo duro SPF se produce cuando un MTA receptor descarta o bloquea un correo electrónico de la fuente remitente que no figura en tu registro SPF.
Ejemplo de fallo grave del FPS
v=spf1 ip4 132.45.55.65 -todos
El signo de guión delante de «todos» en este ejemplo indica que cualquier remitente que no figure en este registro SPF se tratará como «hard fail» o no aprobado. Por tanto, los correos electrónicos de esos remitentes no aprobados deben eliminarse.
En cambio, un fallo suave SPF se produce cuando el MTA no acepta correo no autorizado. Sin embargo, los correos con direcciones IP no incluidas en el registro SPF no se bloquearán automáticamente, sino que se marcarán como spam o sospechosos.
Ejemplo de SPF soft fail
v=spf1 include:spf.protection.outlook.com ~todos
En este registro SPF válido, el guión delante de «todos» indica que los servidores que no figuran en el registro SPF se tratan como «fallo suave».
Canva/ photobuay
Otros casos en los que falla la autenticación SPF
SPF Ninguno
Este calificador significa que ha fallado la comprobación de autenticación SPF y también se trata como un fallo en DMARC. Normalmente significa que un dominio no contiene un registro SPF.
SPF Neutro
El registro SPF no indica si la dirección IP está autorizada. Dependiendo de cómo esté configurado el DMARC en el servidor, puede interpretarse como apto o no apto.
SPF Error temporal
También conocido como temperror SPF, este calificador en fallo de autenticación SPF significa un error transitorio, como un tiempo de espera del DNS durante la comprobación. Hace que el servidor de correo electrónico falle temporalmente.
SPF Error permanente
La mayoría de las autenticaciones SPF fallan debido al Permerror SPF. Se produce cuando el MTA receptor invalida el registro SPF durante las búsquedas DNS.
El error SPF permanente suele producirse porque el límite de búsqueda es superior a diez o porque el registro SPF es sintácticamente incorrecto. Lee Límite SPF: No es tan difícil como crees para saber más.
Fallos del registro SPF y su impacto
Un fallo de SPF puede afectar a tus esfuerzos de marketing por correo electrónico.
Podría significar para los servidores destinatarios que tus correos electrónicos proceden de una fuente no autorizada y podrían ser maliciosos o un ataque de phishing.
Solución básica de problemas de SPF
Sigue los siguientes pasos básicos para solucionar el fallo del SPF:
- Comprueba que el SPF está configurado correctamente y que los mensajes salientes pasan la comprobación de autenticación SPF.
- Crea una lista de servidores de correo electrónico autorizados para enviar correos electrónicos en tu nombre, o actualiza tu registro SPF con una lista de autorización de correo electrónico adecuada. A continuación, utiliza la bandera de fallo duro «-todos».
- Ten un registro SPF defensivo, incluso para un dominio de tu organización que no envíe correos electrónicos. Las partes malintencionadas pueden imitar un dominio para enviar correos electrónicos maliciosos o suplantados.
- Activa una política DMARC y configúrala para que rechace o ponga en cuarentena los correos electrónicos si proceden de fuentes no autorizadas.
Canva/ Getty Images Firmas
Solución avanzada de problemas de SPF
Si los pasos básicos de solución de problemas no han resuelto el problema, prueba estos pasos:
- Comprueba los resultados de autenticación SPF en las cabeceras de tus mensajes. Normalmente encontrarás esa parte del mensaje, ya que comienza con el texto Authentication-Results. La nota que aparece al lado es la entrada SPF.
- El contenido de la cabecera del mensaje puede indicar que no hay entrada SPF, que incluye el registro de mejor suposición, que el resultado es error temporal o error permanente, o que el resultado SPF es neutro, softfail o hardfail.
- También puedes comprobar si tu registro de texto SPF admite hasta 10 búsquedas.
- Obtén información detallada sobre la autenticación y la entrega de correo electrónico de tu dominio. Puedes utilizar las herramientas de informes de Google Workspace:
- Informe de autenticación
- Herramientas Postmaster
- Herramientas de investigación de seguridad y
- Búsqueda en el registro de correo electrónico
Cómo evitar los fallos del FPS
Asegúrate de que tu registro SPF enumera todas las aplicaciones y herramientas que utilizas para enviar correos electrónicos desde tu dominio.
Si recibes una notificación de fallo SPF, averigua el origen del correo electrónico y resuelve el problema. Además, puedes utilizar herramientas para supervisar tu SPF y otros protocolos de autenticación de correo electrónico.
También puedes utilizar InboxAllyuna herramienta única de entregabilidad, para auditar y comprobar la entregabilidad de tus correos electrónicos. Esta herramienta enseña a los proveedores de bandejas de entrada, como Yahoo Mail y Gmail, a entender que los correos electrónicos procedentes de tus dominios son importantes y deben aterrizar en la bandeja de entrada principal desde el principio.