Creación y Optimización de Registros SPF para Tu Propio Dominio
Puedes crear un registro SPF manualmente o utilizando una herramienta generadora de registros SPF en línea. Las ventajas de usar una herramienta para crear tu registro en lugar de hacerlo manualmente son:
- Es gratis
- Proporciona resultados precisos
- Te ayuda a evitar errores humanos
Una vez que hayas decidido cómo proceder, a continuación se presentan los pasos para comenzar.
1. Reúne la Lista de Direcciones IP que Usas para Enviar Correos Electrónicos
Dado que cada registro SPF corresponde a un dominio distinto, comienza compilando una lista de todos tus dominios. Para protegerlos del abuso, asegúrate de incluir los dominios inactivos (o 'estacionados') que no envían correos electrónicos.
Además, debes enumerar todas las fuentes (terceros) que envían correos electrónicos en tu nombre y todo lo demás que envía correos desde tu(s) dominio(s). Esto incluye:
- Servidores de correo (tanto basados en la web como Gmail o a través de tu ISP y en la oficina como Microsoft Exchange)
- Empresas que ofrecen servicios de correo electrónico masivo y marketing por correo electrónico, llamados ESPs (Proveedores de Servicios de Correo Electrónico).
- Otros servicios (como procesadores de pagos, servicios de comercio electrónico, sistemas de soporte/tickets, etc.)
2. Incluye Todos los Dominios que Envían Correos Electrónicos
La mayoría de las empresas poseen una amplia variedad de dominios. Algunos de ellos aún están inactivos, mientras que otros se utilizan para enviar correos electrónicos. ¿Necesitan, por lo tanto, usar SPF para proteger cada uno de sus dominios? Sí, esa es la respuesta. Supongamos que la empresa decide configurar un registro SPF solo para sus dominios que envían correos. En ese caso, los atacantes encontrarán que los dominios no enviadores son un objetivo fácil.
3. Crear un Registro SPF para tu Dominio
- Especifica primero la versión SPF. El número de versión siempre va primero en un registro SPF. El documento se designa como SPF usando la etiqueta v=spf2 (versión 2).
- Todos los direcciones IP que tu empresa ha autorizado para enviar correos electrónicos en nombre de tu marca deben seguir la etiqueta de versión SPF v=spf2. Por ejemplo, v=spf1 ip4: xxx.xxx.xxx.xxx -all.
- El siguiente paso es agregar la etiqueta para las empresas externas que tienen permiso para enviar correos electrónicos en nombre de tu organización. Por ejemplo, incluye thirdpartydomain.com (un nombre de dominio de ejemplo en este caso). La importancia de esta etiqueta es que lista cualquier empresa externa autorizada para enviar correos electrónicos en nombre de tu dominio empresarial. Consulta a la organización externa para decidir qué dominio debes incluir como valor de la declaración "include".
Puedes acelerar este proceso utilizando una herramienta en línea para generar registros SPF.
4. Configura tu nivel de aplicación
- Después de implementar todas las etiquetas "include" e IP, finaliza el registro con una etiqueta ~all, -all, o ?all.
- La etiqueta -all indica un fallo duro, mientras que la etiqueta ~all indica un fallo suave.
- Cualquier servidor puede enviar correos electrónicos desde el dominio de tu organización gracias a la etiqueta ?all. No recomendamos utilizar esta opción ya que deja el servidor abierto a la suplantación.
Puedes elegir entre los siguientes modos:
- Falla (-all)
- Falla suave (~all)
- Neutral (?all)
Cómo publicar el registro SPF en tu DNS:
Una vez terminado el proceso de generación, debes añadir el registro SPF al DNS de tu dominio.
Tu administrador de DNS debe publicar un registro SPF en tu DNS. Esto puede ser una posición interna dentro de tu empresa, tener acceso directo a un panel ofrecido por tu proveedor de DNS, o solicitar que ellos publiquen el registro por ti.
Si estás publicando tu registro por tu cuenta
- Accede a tu consola de gestión de DNS
- Abre el Editor Avanzado de DNS
- Crea un nuevo registro con las siguientes especificaciones:
Type: TXT
TTL: 1 hora
Host: @
Value: [El valor generado de tu registro SPF]
- Guarda los cambios en tu registro.
- Espera 24 horas (o más, dependiendo de tu proveedor de DNS) para activar el protocolo.
Pasos después de la publicación:
Utilizando una herramienta en línea de verificación de SPF, puedes validar tu registro SPF después de publicarlo. Esto te permite examinar los registros SPF en cuestión de segundos y identificar cualquier problema que pueda estar obstaculizando la efectividad de tu sistema de autenticación de correos electrónicos.
¿Cómo verificar tu registro SPF?
Para verificar tu registro SPF, puedes utilizar una herramienta en línea de búsqueda de registros SPF para asegurarte de que tu registro esté libre de errores, funcional y configurado correctamente.
Ten en cuenta que SPF por sí solo no puede proteger tu dominio contra ataques basados en correos electrónicos.
Cómo optimizar tu registro SPF
Crear un nuevo registro SPF
Crear un registro SPF simplemente implica publicar un registro TXT en el DNS de tu dominio para configurar SPF. Este es un paso obligatorio que debes seguir antes de comenzar a optimizar el registro SPF. Si estás empezando con la autenticación y no estás seguro sobre la sintaxis, puedes usar un generador de registros SPF para crear un registro SPF para tu dominio.
Una entrada de registro SPF con una sintaxis correcta se verá algo así:
v=spf1 ip4:38.146.237 include:example.com -all
v=spf1 | Especifica la versión de SPF que se está utilizando |
ip4/ip6 | Este mecanismo especifica las direcciones IP válidas que están autorizadas para enviar correos electrónicos desde tu dominio. |
include | Este mecanismo indica a los servidores receptores que incluyan los valores del registro SPF del dominio especificado. |
-all | Este mecanismo especifica que los correos electrónicos que no cumplen con SPF serían rechazados. Este es el tag recomendado que puedes usar al publicar tu registro SPF. Sin embargo, se puede reemplazar por ~ para SPF Soft Fail (los correos no conformes se marcarían como soft fail pero aún serían aceptados) o + que especifica que cualquier servidor podría enviar correos electrónicos en nombre de tu dominio, lo cual está fuertemente desaconsejado. |
Si ya tienes configurado SPF para tu dominio, también puedes utilizar una herramienta verificadora de registros SPF para buscar y validar tu registro SPF y detectar problemas.
Pasos para optimizar tu registro SPF
Para modificar rápidamente tu registro SPF, puedes seguir las siguientes prácticas recomendadas de SPF:
- Intenta escribir las fuentes de tus correos electrónicos en orden decreciente de importancia de izquierda a derecha en tu registro SPF.
- Elimina las fuentes de correo electrónico obsoletas de tu DNS.
- Utiliza mecanismos IP4/IP6 en lugar de A y MX.
- Mantén el número de mecanismos INCLUDE lo más bajo posible y evita includes anidados.
- No publiques más de un registro SPF para el mismo dominio en tu DNS.
- Asegúrate de que tu registro SPF no contenga espacios en blanco redundantes ni errores de sintaxis.
- Protocolos estándar de correo electrónico: SMTP, POP3 e IMAP Free4 m
- ¿Qué es la seguridad del correo electrónico? Free3 m
- Prácticas de Seguridad del Correo Electrónico Free4 m
- Construyendo un Modelo de Cumplimiento de Seguridad de Correo Electrónico Free7 m
- Lista de verificación de seguridad del correo electrónico corporativo Free4 m
- ¿Cuál es la diferencia entre la seguridad del correo electrónico entrante y la seguridad del correo electrónico saliente? Free4 m
- ¿Qué es la Seguridad de la Información? Free5 m
- Modelo de Seguridad Zero Trust Free4 m
- ¿Qué es la Alineación SPF? Free4 m
- ¿Cómo configurar el registro SPF de Microsoft Office 365? Free4 m
- ¿Cómo configurar el registro SPF de Google Workspace? Free2 m
- ¿Cómo configurar el registro SPF de MailChimp? Free3 m
- ¿Cómo configurar el registro SPF de SendGrid? Free3 m
- ¿Cómo configurar el registro SPF de Salesforce? Free3 m
- ¿Cómo configurar el registro SPF de Zoho Mail? Free3 m
- ¿Qué es la alineación DKIM? Free4 m
- ¿Cómo configurar DKIM para Microsoft Office 365? Free5 m
- ¿Cómo configurar DKIM para Google Workspace? Free4 m
- ¿Cómo configurar DKIM para MailChimp? Free5 m
- ¿Cómo configurar DKIM para SendGrid? Free5 m
- ¿Cómo configurar DKIM para Salesforce? Free4 m
- ¿Cómo configurar DKIM para Zoho Mail? Free4 m
- ¿Qué es el Cumplimiento de DMARC? Free4 m
- Los beneficios de DMARC Free4 m
- Configuración de DMARC Free5 m
- Lograr la Aplicación de DMARC Free5 m
- DMARC frente a Soluciones Antispam Free4 m
- Alineación de Identificadores DMARC Free3 m
- Excepciones y usos del atributo 'sp' en DMARC Free3 m
- Configurando DMARC sin DKIM Free7 m
- Configurar DMARC sin SPF Free4 m