Otros problemas poco frecuentes del registro SPF

En ocasiones anteriores, hemos hablado de los registros SPF o Sender Policy Framework, ese mecanismo de autenticación para que nuestros correos electrónicos no sean blanco de spoofing y phishing, así como la forma de evitar que estos caigan en el correo no deseado o correo basura. En la siguiente nota conocerás otros problemas que puede surgir a raíz del registro de SPF, como el error de las múltiples búsquedas DNS.

Si aún no sabes qué es un registro SPF, te invitamos a visitar nuestro artículo: Qué son y cómo activar los registros SPF, DKIM y DMARC para correos electrónicos.

Tener el registro SPF válido, siempre será una buena practica para mantener una capa de seguridad en el correo electrónico de nuestro sitio web. A medida que avanzamos con este tema, se suele editar el registro SPF para darle cierta prioridad a otros servicios de correo más grandes como los de Google Workspace, Gmail, Hotmail o Outlook, entre otros.

A continuación, presentamos un ejemplo visual y común de cómo es el registro SPF de Google Workspace::

v=spf1 include:_spf.google.com ~all

El registro SPF trae ciertas reglas, que muchos webmasters o administradores de paginas web, las pasan desapercibidas. Añadir un nuevo fragmento al registro SPF, puede conllevar a generar múltiples búsquedas de DNS y generar un error permanente del registro SPF. Uno de los limites de búsquedas de DNS es de 10 consultas, sobrepasar esta regla podría provocar un fallo en el DMARC, haciendo que tu correo termine en la carpeta de correo no deseado del destinatario.

Error mayor a 10 consultas.

En el ejemplo anterior, utilizamos una herramienta online mencionada en nuestro artículo, ¿Cómo evitar que tu correo sea clasificado de spam?. La cual nos ha funcionado para determinar si nuestro hosting a caído en una Lista Negra y no referimos a MX Toolbox. Esta vez usaremos la opción de “SuperTool” con la selección de “SPF Record Lookup”. Donde nos muestra en este caso un problema con 11 consultas. Como no nos muestra más detalles en la versión libre, vamos hacer uso de otra utiliza online que si nos brindará un poco más de información y esta nos los va a dar EasyDmarc con la herramienta SPF Record Checker.

Una vez escaneado nuestro sitios web, podremos ver indicio del error:

Donde nos confirma que hemos excedido el limites de consultas DNS. Si seguimos leyendo el reporte, nos brindara un árbol detallado de todas las consultas que se hacen.

Una peculiaridad que podemos observar que detrás del fragmento del SPF de Google, se pueden visualizar otro más:

Esto quiere decir que, solo el fragmento de SPF de Google usa 4 consultas. Ahora bien, vamos a comentar como reducir un poco esta lista de consultas y no podamos exceder el limite.

Un registro SPF básico, es así:

v=spf1 +mx +a ip4:192.168.0.1 include: -all

La primera recomendación para los problemas de consultas de DNS es reducir los includes, que no sean necesario o sean redundante.

Otra aclaración que pueden considerar, los métodos ip4 y/o ip6 no entran en las consultas.

Un ejemplo de ellos seria sustituir el _spf.google.com por:

v=spf1 ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16 ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all

Esto nos reduciría tres consultas. Hay otro caso es eliminar el método +a, si este esta definido en correctamente en la zona DNS de tu hosting, ya que es redundante.

Esperamos que este artículo le haya ayudado a cómo configurar, editar y verificar correctamente el registros SPF para evitar problemas de múltiples búsquedas de DNS o SPF Permerror

Si te ha gustado este artículo, suscríbete a nuestro canal de YouTube  para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en  Twitter, Facebook e Instagram.

Qué son y cómo activar los registros SPF, DKIM y DMARC para correos electrónicos

Si sabe que el correo electrónico puede desempeñar un papel fundamental en la captación y retención de clientes, probablemente haya oído hablar de SPF y DKIM. Incluso puede saber que SPF y DKIM son componentes fundamentales de la autenticación de correo electrónico y ayudan a proteger a los remitentes y destinatarios de correo electrónico del spam, la suplantación de identidad y el phishing.

Pero, ¿qué significan realmente estos términos y cómo se relacionan con la capacidad de entrega de los correos electrónicos? Comencemos con algunas definiciones.

Tabla de contenido

Sender Policy Framework (SPF)

El marco de políticas del remitente (SPF) permite al propietario del dominio autorizar las direcciones IP que pueden enviar correo electrónico para el dominio. Los servidores receptores pueden verificar que los mensajes que parecen provenir de un dominio específico se envían desde servidores permitidos por el propietario del dominio.

La creación de un registro SPF lo acercará un paso más a garantizar que el correo electrónico legítimo que proviene de su dominio se entregue correctamente en las bandejas de entrada de los clientes.

DomainKeys Identified Mail (DKIM)

DKIM es una forma de autenticación de correo electrónico que permite al dominio remitente “firmar” la autoría de un mensaje de manera que el destinatario pueda validarlo.

En pocas palabras, agrega una firma digital (de clave pública) a cada mensaje enviado. Los servidores de recepción utilizan la firma para verificar que los mensajes sean auténticos y que no hayan sido falsificados ni cambiados durante el tránsito.

Cuando estos métodos de autenticación de correo electrónico se implementen correctamente, estará un paso más cerca de mejorar la capacidad de entrega de su correo electrónico y enviar correos electrónicos seguros.

Evitando la suplantación de identidad y el phishing con DMARC

Nuestro registro DMARC le dice a los servidores de correo entrantes qué hacer cuando reciben un mensaje nuestro que no pasa las verificaciones de autenticación. Es posible que los mensajes que no estén autenticados se hagan pasar por su organización o que se envíen desde servidores no autorizados.

DMARC siempre se utiliza con los métodos SPF y DKIM. Por tal motivo deben estar configurados previamente.

¿Cómo funciona?

  1. DMARC pasa o falla un mensaje en función de si el encabezado From: del mensaje coincide con el dominio de envío, y cuando SPF o DKIM (o ambos) verifican el mensaje. A esto se le llama alineación.
  2. Si un servidor de correo recibe un mensaje de un dominio que no pasa la verificación SPF o DKIM (o ambos), nuestro registro DMARC le dice al servidor qué hacer con el mensaje. Hay tres opciones posibles, definidas por su política DMARC:
    • La política está configurada como ninguna:  no realiza ninguna acción en los mensajes y entrega normalmente.
    • La política está configurada en cuarentena:  marca los mensajes como spam y los envía a la carpeta de spam de los destinatarios o a la cuarentena.
    • La política está configurada para rechazar: rechaza  los mensajes y no se los entrega a los destinatarios.
  3. Obtener informes periódicos de los servidores receptores que reciben correo electrónico de su dominio. Los informes DMARC contienen información sobre todas las fuentes que envían correo electrónico para su dominio, incluidos sus propios servidores de correo y los servidores de terceros.

Estos informes ayudan a:

  • Conocer todas las fuentes que envían correo electrónico de su organización.
  • Identifique las fuentes no autorizadas que envían correos electrónicos que parecen provenir de su organización.
  • Identifique qué mensajes enviados desde su organización pasan o fallan las comprobaciones de autenticación (SPF o DKIM, o ambos).

Video tutorial: ¿Cómo configurarlos?

Ya sea que tengas tu cuenta en el servicio de Alojamiento Web de SitiosHispanos.Com o utilices otro servicio con cPanel, te indicamos como configurarlos.

Fuente: cPanel | Google