Los registros SPF son un tipo de registro DNS TXT comúnmente utilizado para la autenticación de correo electrónico. Incluyen una lista de direcciones IP y dominios autorizados para enviar correos electrónicos desde ese dominio.
Después de leer este artículo podrás:
Copiar enlace del artículo
Un registro de marco de políticas del remitente (SPF) es un tipo de registro DNS TXT que enumera todos los servidores autorizados para enviar correos electrónicos desde un dominio concreto. Un registro DNS TXT ("texto") permite que el administrador de un dominio introduzca texto arbitrario en el Sistema de nombres de dominio (DNS). Los registros TXT se crearon inicialmente con el propósito de incluir notificaciones importantes relativas al dominio, pero desde entonces han evolucionado y se utilizan para otros propósitos.
Los registros SPF se crearon originalmente porque el protocolo estándar utilizado para el correo electrónico, el protocolo simple de transferencia de correo (Simple Mail Transfer Protocol o SMTP) no autentica intrínsecamente la dirección que aparece en "de" en los correos electrónicos. Eso implica que sin el SPF u otro registro de autenticación, un atacante en ruta puede hacerse pasar por un remitente y engañar al destinatario para que comparta información o haga algo que en realidad no haría.
Los registros SPF pueden compararse con una lista de invitados gestionada por un portero. Si alguien no está en la lista, no le permitirá entrar. Del mismo modo, si el registro SPF no tiene la dirección IP o el dominio del remitente en su lista, el servidor de destino (el portero) no entregará esos correos electrónicos o los marcará como correo no deseado.
Los registros SPF son solo uno de los muchos mecanismos basados en el DNS que pueden ayudar a los servidores de correo electrónico a confirmar si un correo proviene de una fuente de confianza. La autenticación de mensajes, informes y conformidad basada en dominios (DMARC) y el estándar DomainKeys Identified Mail (DKIM) son otros dos mecanismos usados para la autenticación de correo electrónico.
Conviene señalar que, en un momento dado, los registros SPF contaron con un tipo de registro DNS exclusivo. Este se ha quedado obsoleto y ya solamente pueden usarse registros TXT.
Los servidores de correo llevan a cabo un proceso relativamente sencillo cuando comprueban un registro SPF:
Los registros SPF deben seguir ciertos estándares para que el servidor entienda cómo interpretar sus contenidos. Este es un ejemplo de los principales componentes de un registro SPF:
v=spf1 ip4:192.0.2.0 ip4:192.0.2.1 include:examplesender.email -all
Este ejemplo informa al servidor del tipo de registro, indica las direcciones IP y las terceras partes aprobadas para el dominio y da instrucciones al servidor sobre qué hacer con los correos electrónicos que no cumplen los requisitos. Vamos a detallar por separado los elementos que lo llevan a cabo:
v=spf1
informa al servidor de que se trata de un registro SPF. Todos los registros SPF comienzan con esta cadena.ip4=192.0.2.0
e ip4=192.0.2.1
tienen autorización para enviar correos electrónicos en nombre del dominio. include:examplesender.net
es un ejemplo de la etiqueta "include", que indica al servidor las organizaciones de terceros autorizadas para enviar correos electrónicos en nombre del dominio. Esta etiqueta señala que el contenido del registro SPF relativo al dominio incluido (examplesender.net) debe verificarse y las direcciones IP que contiene deben considerarse autorizadas también. Pueden incluirse varios dominios en un registro SPF, pero esa etiqueta solo funcionará con los dominios válidos. -all
indica al servidor que las direcciones no incluidas en el registro SPF no están autorizadas para enviar correos electrónicos y deben rechazarse. ~all
, que indica que los correos electrónicos no incluidos se marcarán como inseguros o no deseados pero se seguirán aceptando y, con menor frecuencia, +all
, que significa que cualquier servidor puede enviar correos electrónicos en nombre de tu dominio. Aunque el ejemplo que aparece en este artículo es bastante sencillo, los registros SPF pueden ser mucho más complejos. Para asegurarse de que los registros SPF sean válidos, hay que tener en cuenta, entre otras cosas, lo siguiente:
all
o incluir un componente redirect=
(que indica que el registro SPF se aloja en otro dominio). Consulta la documentación oficial de los registros SPF para más información.
Hay muchas razones por las cuales los operadores de dominios usan los registros SPF:
Para configurar fácilmente los registros SPF en Cloudflare, utiliza el Asistente de DNS de Email Security.
Más información sobre los registros DNS para correo electrónico: