Registro SPF: entender y aplicar SPF

Como receptor, para averiguar si el correo en cuestión realmente proviene del remitente indicado, puedes recurrir a SPF o Sender Policy Framework, que los servidores de correo usan para verificar la autenticidad de las direcciones de los emisores. Mediante el SPF Check puedes comprobarlo.

El problema: ¿es “auténtico” el remitente?

En teoría, la comprobación de los correos electrónicos entrantes es muy sencilla, dado que el servidor de correo receptor conoce el dominio del remitente. Ejemplo: si entra un correo electrónico de hans.muster@gmx.com, el receptor puede averiguar la dirección IP en gmx.com. La dirección es 213.165.64.8 y aparece en el encabezado del correo, al igual que la dirección IP del remitente.

No obstante, las empresas grandes no usan un solo servidor de correo. El proveedor de servicios de correo electrónico gmx.com, por ejemplo, usa más de media docena de servidores diferentes. A esto hay que añadir que muchos proveedores grandes hacen uso de servidores de filtrado de correo especializados (p. ej., mailchannels.com) para evitar que su sistema se use para enviar correos de spam. En este caso, al receptor le aparece la dirección IP del servidor de filtrado y no la del remitente auténtico.

Por ello, se requiere un método para que el receptor pueda averiguar qué direcciones IP corresponden al “auténtico” remitente. Dicho de otra manera, se trata de averiguar si el servidor de correo que realiza el envío (y cuya dirección IP aparece en el encabezado) realmente está operando “por orden” del remitente indicado. Hoy en día, el método más empleado para esta tarea es SPF.

La solución: SPF

SPF son las siglas de Sender Policy Framework. Con este método, los servidores de correo electrónico pueden comprobar si un correo recibido realmente proviene del servidor host indicado. Este SPF Check se realiza íntegramente en un segundo plano; tú, como usuario final, no tienes constancia del proceso.

Dicho de forma más general, el SPF determina qué servidores de correo electrónico pueden enviar correos para el dominio. En este proceso, los servidores de correo electrónico se identifican por su nombre o su dirección IP.

Ejemplo: un correo electrónico del remitente hans.muster@gmx.com solo se debe enviar a través de una de las siguientes direcciones IP: 213.165.64.0, 74.208.5.64, 74.208.122.0, 212.227.126.128, 212.227.15.0, 212.227.17.0, 74.208.4.192, 82.165.159.0, 217.72.207.0. Es decir, en el registro SPF del dominio gmx.com aparecen estas direcciones IP registradas. Ahora, el servidor de correo electrónico receptor puede comprobar si la dirección IP del encabezado del correo está en esta lista o no.

La lista de servidores de correo autorizados se almacena en el servidor de nombres (DNS) del dominio emisor, en nuestro ejemplo gmx.com, y cualquier servidor de correo receptor puede acceder a ella.

El registro SPF

El llamado SPF Record se registra como DNS Record en la zona de dominio del DNS (servidor de nombres) responsable del dominio como TXT Record. El registro contiene una lista de direcciones IP desde las que se pueden enviar correos electrónicos de ese dominio. A este se añaden otros registros, p. ej., para los servidores de filtrado de correo que mencionamos antes y por los que tiene que pasar un correo antes de llegar al receptor. Este tipo de “estaciones intermedias” a menudo se registran con la indicación include. A continuación, te explicamos los parámetros más comunes del SPF Record.

Código Significado
v Versión del registro; v=SPF1 marca la versión actualmente vigente.
ip4 Dirección IP; “IP4” es la denominación de la forma conocida de la dirección IP. También existen las direcciones IP6 más recientes, pero, de momento, están menos extendidas.
-all Los emisores restantes que no aparecen enumerados aquí no están autorizados y deben rechazarse.
include Indica otros dominios a cuya entrada también se debe acceder.

Aparte del parámetro -all indicado anteriormente, también existe la versión con virgulilla ~all. Este parámetro indica que ninguno de los remitentes restantes está autorizado, pero que se deben aceptar. La declaración “Soft Fail” se ha incorporado originariamente para hacer pruebas, pero hoy en día la usan diferentes proveedores de hosting.

Ejemplo: la entrada SPF de gmx.com

spf-record.png
Ejemplo de un registro SPF, en este caso, del dominio gmx.com
Consejo

¿Utilizas buzones de correo de IONOS y deseas crear un registro SPF para tu dominio? En el Centro de ayuda de IONOS encontrarás información sobre cómo crear un registro SPF en IONOS.

Comprobar el registro SPF (SPF Record Check)

La manera más sencilla para que compruebes si tu correo electrónico se ha verificado con un registro SPF es la herramienta de mxtoolbox:

  1. Envía un correo electrónico a ping.tools.mxtoolbox.com.
  2. En breve, recibirás un correo de respuesta de abuse@mxtoolbox.com.
  3. Este correo ya aporta las primeras conclusiones e incluye un enlace a los resultados detallados.

Ten en cuenta que pueden transcurrir hasta 24 horas hasta que se active un registro SPF. Si el SPF Record Check indica un error, repite la prueba al día siguiente.

También puedes comprobar el registro SPF en el correo electrónico enviado:

  1. Envíate un correo electrónico a tu propia dirección de correo.
  2. Abre el correo electrónico y revisa el encabezado del correo o el código fuente. En función del proveedor de servicios de correo electrónico, este proceso se realiza a través del menú “Vista” o el menú contextual (botón derecho del ratón).
  3. El registro SPF aparece marcado con la indicación “Received”.
Consejo

Si aún no cuentas con un servidor de correo electrónico, puedes alojar tu propio servidor de correo profesional con IONOS. Gracias a los más altos estándares de seguridad, así como al certificado SSL, tus correos electrónicos estarán protegidos en todo momento del acceso no autorizado.

¿Qué aporta el registro SPF? Ventajas y desventajas

Cada vez más proveedores de servicios de Internet exigen el registro SPF por motivos de seguridad. Esto significa que el servidor de correo receptor no entrega los correos al usuario final sin la autorización correspondiente o solo lo hace con la advertencia (“no seguro”).

La mayor ventaja del registro SPF es su sencilla aplicación: basta con un simple registro TXT. En la mayoría de los casos, el proveedor de servicios puede generar este registro de forma automática.

Pero, aunque el registro SPF es muy importante, no conviene sobrevalorar su efecto protector.

  • El SPF no sirve como protección ante el spoofing. Un estafador puede usar un nombre de remitente falso a pesar de SPF.
  • SPF no mejora la reputación del remitente. Los usuarios que envían mensajes de spam con frecuencia también pueden usar SPF.
  • SPF no sirve como protección ante un emisor no autorizado de correo electrónico. Si alguien envía correos sin autorización a través de tu servidor, SPF no actúa.

Normalmente, el registro SPF se usa en combinación con otros mecanismos de seguridad, sobre todo, con DKIM y DMARC.

¿Le ha resultado útil este artículo?
Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración de su navegador en nuestra. Política de Cookies.
Page top