Entendiendo el Límite de 10 Consultas DNS para Registros SPF

• Tu límite de 10 consultas DNS para SPF puede impactar la autenticación. Cada vez que agregas un nuevo 'mecanismo' en tu registro, necesitas una nueva consulta DNS. Necesitas usar mecanismos para agregar nuevas direcciones IP, lo que aumenta el número de consultas para SPF.
• Si tu organización depende de varios proveedores externos para enviar correos electrónicos desde tu dominio, eso significa más direcciones IP para autorizar. Y cuantas más direcciones IP quieras autorizar, más mecanismos necesitas, lo que resulta en aún más consultas DNS. ¿Empiezas a ver el problema aquí?
• Una vez que tu registro SPF supera el límite de 10 consultas DNS, recibes un resultado de 'PermError SPF permanent error: too many DNS lookups'. Esto significa que el receptor del correo electrónico considera tu registro SPF inválido y lo bloquea automáticamente. Así es como PermError de SPF puede ser perjudicial para tu negocio. Podrías estar teniendo problemas de entrega de correos electrónicos sin siquiera saberlo.

¿Por qué el RFC especifica este estricto límite de consultas DNS para dominios SPF?

Aunque el límite SPF puede parecer una limitación no deseada, no es necesariamente así. El límite de consultas DNS de SPF se ha establecido para bloquear ataques de Denegación de Servicio (como se menciona en el RFC 7208).

Por ejemplo, un actor malicioso crea un registro SPF en un dominio falso con referencia a un dominio corporativo legítimo para enviar correos electrónicos en masa a varios servidores receptores. Debido al límite de 10 consultas DNS permitido por SPF (es decir, un ESP puede consultar el DNS del remitente un total de 10 veces por verificación SPF),puede ayudar a mitigar los ataques de Denegación de Servicio en el lado del receptor en estas situaciones.

Sin embargo, como se mencionó anteriormente, este límite de consultas DNS de SPF puede resultar en errores permanentes de SPF, causando más daño que beneficio, haciendo que soluciones como la aplanación de SPF sean una adición obligatoria.

¿Cómo impactan demasiadas consultas DNS a tus correos electrónicos?

La respuesta es simple: si excedes el límite de 10 consultas SPF, es decir, si tienes demasiados mecanismos en tu registro SPF de manera que superas el límite de 10 consultas por verificación SPF, esto provocará un fallo de SPF en tus correos electrónicos. Esto se debe a que tan pronto como excedes el límite SPF, tu registro se vuelve inválido. Esto devuelve un resultado de SPF PermError. Para evitar esto, la solución recomendada es aplanar (acortar) tu registro y eliminar redundancias.

Si tienes DMARC implementado para tus dominios, el error permanente de SPF es percibido por DMARC como un fallo de SPF. Esto puede provocar que el servidor receptor impida que el correo llegue a la bandeja de entrada del destinatario. La única manera de evitar este límite SPF es mantener tus consultas DNS SPF restringidas a un máximo de 10.

Sin embargo, esto no es tan fácil como parece. Esto se debe a que, si estás dirigiendo un negocio, inevitablemente estarías subcontratando tus campañas de marketing por correo electrónico, retransmitiendo mensajes a través de proveedores externos a diario.