¿Qué es un registro SPF de DNS?

Los registros SPF son un tipo de registro TXT de DNS que se usan frecuentemente para la autenticación de correos electrónicos. Los registros SPF incluyen una lista de direcciones IP y dominios autorizados para enviar correos electrónicos desde ese dominio.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir un registro SPF de DNS
  • Explicar los beneficios de un registro SPF de DNS
  • Comprender los componentes de los registros SPF de DNS

Copiar el enlace del artículo

¿Qué es un registro SPF de DNS?

Un registro de marco de políticas del remitente (SPF) es un tipo de registro TXT de DNS que enumera todos los servidores autorizados a enviar correos electrónicos desde un dominio concreto. Un registro TXT ("texto") de DNS permite que un administrador de dominio ingrese texto arbitrario en un Sistema de nombres de dominio (DNS). En principio, los registros TXT se crearon con el propósito de incluir avisos importantes con relación al dominio, pero desde entonces han evolucionado para servir a otros fines.

Los registros SPF se crearon originalmente porque el protocolo estándar utilizado para el correo electrónico, el Protocolo simple de transferencia de correo (SMTP), por naturaleza, no autentifica la dirección "de envío" en un correo electrónico. Esto significa que sin SPF u otros registros de autenticación, un atacante puede hacerse pasar con facilidad por un remitente y engañar al destinatario para que realice una acción o comparta información que de otro modo no haría.

Considere que los registros SPF son como una lista de invitados que maneja un portero. Si alguna persona no está en la lista, el portero no la dejará entrar. Del mismo modo, si un registro SPF no tiene la dirección IP o el dominio de un remitente en su lista, el servidor receptor (portero) no entregará esos correos o los marcará como spam.

Los registros SPF son solo uno de los muchos mecanismos basados en DNS que pueden ayudar a los servidores de correo electrónico a confirmar si un correo electrónico procede de una fuente confiable. Los Informes y conformidad de autenticación de mensajes basados en dominios (DMARC) y el Correo identificado con DomainKeys (DKIM) son otros dos mecanismos utilizados para la autenticación del correo electrónico.

Cabe señalar que, en un momento dado, los registros SPF tenían un tipo de registro DNS específico. Este tipo de registro específico ha quedado desaprobado y solo deben utilizarse los registros TXT.

Informe
Radar GigaOm for DNS Security 2023
Ebook
Everywhere Security para cada fase del ciclo de vida útil de los ataques

¿Cómo comprueba un servidor de correo un registro SPF?

Los servidores de correo pasan por un proceso bastante sencillo cuando comprueban un registro SPF:

  • El servidor uno envía un correo electrónico. Su dirección IP es 192.0.2.0 y la ruta de retorno que utiliza el correo electrónico es email@returnpath.com. (Una dirección de retorno es diferente de la dirección "de envío" y se utiliza específicamente para recoger y procesar los mensajes devueltos).
  • El servidor de correo que recibe el mensaje (servidor dos) toma el dominio de la ruta de retorno y busca su registro SPF.
  • Si el servidor dos encuentra un registro SPF para el dominio de la ruta de retorno, busca en el registro SPF la dirección IP del servidor uno en su lista de remitentes autorizados. Si la dirección IP aparece en el registro SPF, la comprobación del SPF pasa y el correo electrónico será enviado. Si la dirección IP no figura en el registro SPF, la comprobación del SPF falla. En este caso, el correo electrónico se rechazará o se marcará como spam.
Me interesa
El DNS gratuito se incluye con cualquier plan de Cloudflare

¿Cómo es un registro SPF?

Los registros SPF deben seguir ciertas normas para que el servidor entienda cómo interpretar su contenido. Este es un ejemplo de los componentes principales de un registro SPF:

v=spf1 ip4:192.0.2.0 ip4:192.0.2.1 include:examplesender.email -all

Este ejemplo le permite al servidor saber qué tipo de registro es, indica las direcciones IP aprobadas y un tercero para este dominio, y le indica al servidor qué hacer con los correos electrónicos no conformes. Vamos a desglosar cómo los componentes individuales logran esto:

  • v=spf1 indica al servidor que contiene un registro SPF. Cada registro SPF debe comenzar con está cadena.
  • Luego viene la parte de la "lista de invitados" del registro SPF o la lista de direcciones IP autorizadas. En este ejemplo, el registro SPF indica al servidor que ip4:192.0.2.0 e ip4:192.0.2.1 están autorizados a enviar correos electrónicos en nombre del dominio.
  • include:examplesender.net es un ejemplo de la etiqueta "include", que le indica al servidor qué organizaciones de terceros están autorizadas a enviar correos electrónicos en nombre del dominio. Esta etiqueta indica que el contenido del registro SPF del dominio incluido (examplesender.net) se debe comprobar y que las direcciones IP que contiene también se deben considerar autorizadas. Se pueden incluir varios dominios en un registro SPF, pero esta etiqueta solo funcionará para los dominios válidos.
  • Por último, -all le indica al servidor que las direcciones que no figuran en el registro SPF no están autorizadas a enviar correos electrónicos y deben ser rechazadas.
    • Las opciones alternativas aquí incluyen ~all que establece que los correos electrónicos no listados se marcarán como inseguros o spam, pero aún así se aceptarán y, menos frecuentemente, +all que significa que cualquier servidor puede enviar correos electrónicos en nombre de su dominio.

Aunque el ejemplo utilizado en este artículo es bastante sencillo, los registros SPF pueden ser más complejos por cierto. A continuación, se indican algunas cosas que hay que tener en cuenta para asegurarse de que los registros SPF son válidos:

  • No puede haber más de un registro SPF asociado a un dominio.
  • El registro debe terminar con el componente all o incluir un componente redirect= (que indica que el registro SPF está alojado en otro dominio).
  • Un registro SPF no puede contener caracteres en mayúsculas.

Consulta la documentación oficial del registro SPF para obtener más información.

¿Por qué se usan los registros SPF?

Hay muchas razones por las que los operadores de dominios utilizan los registros SPF:

  • Prevenir ataques: si los correos electrónicos no están autenticados, las empresas y los destinatarios de estos corren el riesgo de sufrir ataques de phishing, recibir correos electrónicos no deseados y de suplantación de identidad. Con los registros SPF, es más difícil para los atacantes imitar un dominio, lo que reduce la probabilidad de estos ataques.
  • Mejorar la capacidad de entrega del correo electrónico: los dominios sin un registro SPF publicado pueden hacer que sus correos electrónicos reboten o se marquen como spam. Con el tiempo, los correos electrónicos rebotados o marcados como spam pueden perjudicar la capacidad de un dominio para llegar a las bandejas de entrada de su público, y poner en riesgo los esfuerzos de comunicación con los clientes, empleados y otras entidades.
  • Cumplir con DMARC: DMARC es un sistema de validación de correo electrónico que ayuda a garantizar que solo los usuarios autorizados envíen los correos electrónicos. Las políticas de DMARC indican lo que los servidores deben hacer con los correos electrónicos que no superan las comprobaciones de SPF y DKIM. Según las instrucciones de la política de DMARC, esos correos electrónicos se marcarán como spam, se rechazarán o se entregarán de forma normal. Los administradores de dominios reciben informes sobre su actividad de correo electrónico que les ayudan a realizar ajustes en su política.

Cómo configurar registros SPF en Cloudflare

Para configurar fácilmente los registros SPF en Cloudflare, utiliza el Asistente de DNS de Email Security.

Más información sobre los registros DNS para correos electrónicos: