Optimización de SPF con PowerSPF

¿Qué es PowerSPF?

Un registro SPF es esencialmente una lista de todas las direcciones IP y servidores de correo que tienen permitido enviar correos electrónicos en nombre de un dominio particular. También contiene información sobre si aprobar o rechazar correos electrónicos que provienen de tu dominio pero desde una dirección IP no autorizada.

Los registros SPF utilizan mecanismos para especificar cómo el servidor receptor maneja los correos electrónicos entrantes. Estos son:

• a
• mx
• include
• ptr (no recomendado) 
• exists
• redirect

Cada vez que tu registro SPF utiliza uno de los mecanismos mencionados anteriormente, se realiza una búsqueda DNS. Para evitar ataques de Denegación de Servicio (DoS),el número de búsquedas DNS por registro SPF está limitado a 10. Ten en cuenta que los mecanismos ip4 e ip6 no contribuyen al límite de 10 búsquedas DNS.

Si tu organización requiere que varios proveedores externos utilicen tu dominio para enviar correos electrónicos desde direcciones IP separadas, el número de mecanismos que necesitas utilizar aumentará, y podría incluso superar el límite. El servidor de correo receptor puede entonces no autenticar las fuentes de envío que has autorizado en tu registro SPF, lo que hace que tu correo electrónico falle la verificación SPF. 

Para prevenir esto, PowerDMARC ofrece la función PowerSPF con un solo clic que optimiza tu registro SPF actual para siempre tener menos de 10 búsquedas DNS. Es una solución fácil e instantánea que evita el permerror SPF. 

¿Cómo usar el Aplanamiento Automático con PowerSPF?

Paso 1: El primer paso para comenzar con tu implementación de PowerSPF sería registrarte en PowerDMARC para obtener acceso al panel de control de PowerDMARC.

Después de iniciar sesión, la primera vista disponible será el panel de control de PowerDMARC. 

Paso 2: En el menú del lado izquierdo, navega y haz clic en la pestaña PowerSPF, como se muestra a continuación: 

Paso 3: Agrega tus dominios haciendo clic en el botón + Agregar Dominio en la parte superior de la página de PowerSPF (si aún no has agregado tu dominio). Asegúrate de agregar solo un dominio por línea. 

Una vez que hayas agregado tu dominio, debes proceder a publicar el registro DNS TXT que generamos para que puedas configurar tu dominio con PowerSPF. Sigue los pasos mencionados a continuación:   

Paso 1: Ahora puedes ver tus dominios activos registrados en la página de PowerSPF desplegando el menú desplegable de Dominios Activos, como se muestra a continuación: 

Paso 2: Tan pronto como hagas clic en tu dominio deseado de la lista, la página se abrirá para mostrar toda la configuración actual del registro SPF de ese dominio, como se muestra a continuación: 

En esta página, puedes ver tu registro SPF activo que está publicado en el DNS de tu dominio, todos tus mecanismos activos y su modo. 

Paso 3: Puedes agregar mecanismos a tu registro SPF navegando a la sección Agregar nuevo mecanismo. 

Paso 4: Elige la forma en que deseas autorizar las fuentes de envío en tu registro SPF seleccionando los mecanismos del menú desplegable, como se muestra a continuación:

Paso 5: Después de seleccionar el mecanismo deseado, por ejemplo IP v4, deberás escribir la dirección IP en el campo en blanco y hacer clic en el botón +Agregar. 

Paso 6: Verás que tu mecanismo recién agregado ahora se muestra en la lista de mecanismos activos. Ahora puedes hacer clic en Guardar registro SPF para guardar los cambios. 

Paso 7: Haz clic en el botón 'Habilitar PowerSPF' si aún no está habilitado para tu dominio.

Nota: Si PowerSPF está deshabilitado para tu dominio, aún puedes agregar nuevas fuentes a través del portal y tu registro PowerSPF anterior seguirá activo en tu DNS, pero los cambios que realices no se reflejarán en el registro PowerSPF

Paso 8: Una vez que guardes los cambios y habilites PowerSPF, los cambios que hayas realizado se reflejarán en el registro SPF aplanado manualmente, como se muestra a continuación:

Eliminar un Mecanismo

Tú, como usuario, también puedes eliminar un mecanismo que hayas agregado previamente simplemente navegando a la sección de Mecanismos en la página de PowerSPF y desmarcando la casilla junto al mecanismo deseado que deseas eliminar de tu registro SPF. Haz clic en Guardar registro SPF para guardar los cambios. 

Una vez que guardes los cambios, los cambios que hayas realizado se reflejarán en el registro SPF aplanado manualmente, como se muestra a continuación:

Sin embargo, como usuario, NO se supone que publiques este registro SPF aplanado manualmente. 

¿Por qué no se recomienda el aplanamiento manual?

El problema con este aplanamiento "manual" es que los proveedores de servicios de correo electrónico pueden cambiar o agregar direcciones IP sin avisarte. Esto puede llevar finalmente a fallos en SPF y problemas en la entrega de correos electrónicos. Con el aplanamiento manual, necesitas monitorear constantemente a tus proveedores de servicios para estos cambios, lo cual es problemático y no recomendado.  

Paso 9: Haz clic en Configuración Automática y reemplaza tu registro SPF existente con el registro SPF generado automáticamente. Notarás que este registro SPF es mucho más corto, ya que con PowerSPF eliminamos automáticamente todas las declaraciones include que tienen direcciones IP anidadas para ti, como se muestra a continuación:

Ahora, como usuario, todo lo que necesitas hacer es publicar este registro SPF generado automáticamente en lugar del generado manualmente.

Ten en cuenta que los proveedores de servicios de bandeja de entrada pueden cambiar sus mecanismos y direcciones IP de envío de correos electrónicos sin notificártelo como usuario. Es por eso que en PowerSPF verificamos continuamente para asegurarnos de que las últimas direcciones IP estén autorizadas en tu registro SPF. Nuestras verificaciones se ejecutan cada 5 minutos y actualizan dinámicamente tu registro de políticas de envío (SPF) sin ningún requerimiento o intervención de tu parte. Te ayudamos a mantener siempre menos de 10 consultas DNS para evitar errores, garantizando la autenticación y la entregabilidad de correos electrónicos.

Macros: Un Enfoque Mejorado

Los macros SPF son una característica efectiva e importante del Marco de Políticas de Envío (SPF) que se utiliza cuando los propietarios de dominios requieren un registro SPF más dinámico y escalable para autenticar sus dominios de correo electrónico. La función de macros SPF es parte de la sintaxis del registro SPF, definiendo secuencias de caracteres que se reemplazan por metadatos de correos electrónicos individuales que requieren validación SPF. Esto ayuda a crear registros SPF simplificados, evitando la generación de registros SPF largos y complicados.

En PowerDMARC hemos diseñado nuestra solución de gestión SPF aclamada por la crítica, PowerSPF, de manera que utiliza las tecnologías de Aplanamiento SPF y Macros SPF para ofrecer una flexibilidad extensa en cuanto a la autenticación SPF y la optimización de registros. Con el paso de los años, PowerSPF se ha convertido en el favorito de los clientes debido a su facilidad de uso y efectividad. 

Explicación de los Macros SPF

Los macros SPF son secuencias de caracteres que se pueden utilizar para simplificar la configuración de tu registro SPF mediante el reemplazo de mecanismos definidos dentro del registro SPF DNS TXT, como se explica en el RFC 7208, sección 7.

Los registros SPF son generalmente simples, y las instrucciones para los servidores receptores respecto al tratamiento de correos electrónicos ilegítimos que provienen de tu dominio se pueden establecer mediante mecanismos SPF, calificadores y modificadores. Sin embargo, existen ciertas situaciones donde los mecanismos SPF no son suficientes y es necesario introducir los macros SPF. 

Los macros SPF se representan con un signo de porcentaje (%) e incluyen una combinación de dos o más letras, modificadores y delimitadores. Durante el proceso de autenticación SPF, los macros SPF se evalúan y se reemplazan con sus valores correspondientes. 

Por ejemplo, %s y %d representan la dirección y el nombre de dominio del remitente asociados con la identidad verificada, respectivamente. 

Los modificadores como r, l u o se aplican para extraer elementos específicos de la dirección o el dominio, y los delimitadores como - o . ayudan a separar diferentes elementos dentro del macro.

Tipos de Macros SPF

Los macros SPF se denotan con diferentes letras o caracteres individuales que están encerrados entre llaves { }y precedidos por un signo de porcentaje (%),que se refieren a mecanismos específicos dentro de tu registro SPF. Aquí están los macros principales. 

• %{s}:  El macro "s" representa la dirección de correo electrónico del remitente. Ejemplo:Mark@domain.com.
• %{l}: Se usa para denotar la parte local del remitente. Ejemplo: Mark..
• %{o}: Destaca el dominio del remitente. Ejemplo: domain.com.
• %{d}:  Similar a "o", este macro representa el dominio de envío autoritativo. En la mayoría de los casos es igual al dominio del remitente, aunque puede ser diferente en algunos casos.
• %{i}: Se utiliza para extraer la dirección IP del remitente del mensaje, por ejemplo, 192.168.1.100.
• %{h}: TEl nombre de host especificado por el comando HELO o EHLO utilizado durante la conexión SMTP cuando se envía el mensaje se referencia con el macro %{h}.

Existen muchos más macros que se pueden especificar en tu registro, sin embargo, hemos enumerado algunos comunes.

¿Cómo funcionan los Macros SPF?

Con los macros SPF, los propietarios de dominios pueden especificar referencias a ciertos mecanismos dentro de su registro SPF, reemplazando así estos mecanismos. Durante una consulta DNS realizada por el MTA receptor, las referencias se utilizan para extraer los mecanismos y expandir tu registro, lo que ayuda a crear registros SPF más manejables y adaptables.

A continuación se muestra un ejemplo de Macros utilizados en un registro SPF:

“v=spf1 include:%{i}_.%{d}._spf.powerdmarc.com ~all”

• Aquí, el mecanismo include: contiene los macros SPF.
• Hay dos macros SPF, cada uno representado por una secuencia de caracteres de signo de porcentaje, llave izquierda, letra de macro y llave derecha. En el ejemplo anterior, %{i}denota la dirección IP del remitente y %{d}representa el dominio del remitente obtenido del comando ‘MAIL FROM’.
• Considerando que la dirección IP 192.168.1.100 es la dirección IP del dominio remitente, cuando se envía un correo electrónico desde esta IP, el servidor receptor inicia una consulta DNS para buscar el registro SPF del dominio.
• Una vez que el receptor consulta el registro SPF del dominio remitente, encuentra macros SPF que luego son sustituidos por sus valores correspondientes.
• Este registro SPF expandido se examina para determinar si el correo electrónico logra pasar la validación SPF o falla en la verificación. 

¿Cuándo se utilizan los Macros en tu Registro SPF?

Los macros SPF pueden utilizarse en una variedad de escenarios diferentes según las necesidades de los propietarios de dominios. Pueden ser útiles si deseas simplificar una infraestructura compleja de autenticación de correo electrónico, utilizar varios servicios de manejo de correo electrónico de terceros o simplemente reducir el tamaño de tu registro SPF.

A continuación se presentan algunos casos comunes donde los macros SPF pueden resultar ventajosos:

Organizaciones con Infraestructuras de Multi-Dominio

Las organizaciones a nivel empresarial que operan múltiples dominios son los usuarios más adecuados para los macros SPF, aunque también pueden ser utilizados por organizaciones de todos los tamaños. Los macros proporcionan mucha más flexibilidad y una optimización efectiva de los registros SPF en comparación con los métodos tradicionales de aplanamiento, para garantizar que SPF funcione sin problemas incluso en entornos de múltiples dominios. Esto también elimina la necesidad de crear múltiples registros SPF.

Infraestructuras de Correo Electrónico Grandes

Las empresas con infraestructuras de correo electrónico complicadas pueden necesitar incorporar varios mecanismos SPF, mejor optimizados utilizando macros SPF. Estos macros proporcionarán una forma de definir referencias a mecanismos, asegurando que el registro no se haga demasiado largo y permanezca por debajo de la longitud especificada por el RFC de 512 octetos.

Servicios de Terceros

Las organizaciones que utilizan varios proveedores de correo electrónico de terceros ahora pueden estar tranquilas sabiendo que SPF no se romperá, gracias a la inclusión de macros SPF que facilitan la optimización fácil de las inclusiones de terceros, al mismo tiempo que aseguran que tu registro no exceda los límites permitidos para consultas DNS y búsquedas nulas.

Resolución de Desafíos SPF con Macros SPF

Puedes incluir múltiples macros SPF en un registro y eliminar problemas comunes destacados durante inspecciones SPF realizadas manualmente o mediante un verificador SPF. Aquí tienes lo que potencialmente puedes hacer:

1. Prevenir Registros SPF Largos que Causan Temperror

Cuando tu registro SPF tiene múltiples declaraciones include:, puede evitar que tu registro se vuelva demasiado largo. Sin embargo, esta no es una solución permanente. Al usar macros SPF en la configuración SPF de tu dominio, eliminas las posibilidades de que tu registro exceda el límite de longitud especificado por el RFC para registros DNS TXT (512 caracteres).

2. Limitar Consultas DNS y Búsquedas Nulas y Mitigar Permerror

Las organizaciones que utilizan múltiples fuentes de envío de terceros y proveedores de correo electrónico tienen la tendencia de exceder los límites de búsqueda especificados por el RFC para consultas DNS. Esto se debe a que cada proveedor agrega al menos una o varias búsquedas. Esto puede acumularse y hacer que tu registro SPF se rompa, lo que resulta en permerror SPF.

Al utilizar macros SPF para agregar referencias a direcciones IP o dominios de estos proveedores externos, puedes limitar las fuentes no autorizadas mientras te aseguras de mantenerse bajo los límites de búsqueda.

Aprovecha los Macros en la Configuración de tu SPF con PowerSPF

Los macros SPF han sido ampliamente respaldados por los MTA para permitir dinamismo y escalabilidad en términos de autenticación SPF, creación y gestión de registros. PowerSPF integra los macros SPF de manera transparente para que nuestros clientes puedan generar registros SPF con una flexibilidad mejorada.

¿Por qué el Aplanamiento de tu Registro SPF no es Suficiente?

El método tradicional de aplanamiento SPF resulta efectivo en la mayoría de los casos que involucran a organizaciones pequeñas y medianas con configuraciones más simples y menos mecanismos SPF. Sin embargo, las cosas pueden volverse progresivamente más difíciles cuando los mecanismos aumentan, lo que lleva a las siguientes situaciones desfavorables:

• El número de consultas DNS puede ser de hasta 10.
• La longitud del último registro DNS puede exceder los 512 caracteres (tamaño máximo permitido para un registro DNS TXT).
• Las IPs autorizadas y las fuentes de envío son visibles públicamente, lo que plantea preocupaciones de privacidad.

¿Por qué son Mejores los Macros SPF?

Diseñados pensando en las empresas con configuraciones complejas de SPF, pero igualmente efectivos para organizaciones pequeñas y medianas, los Macros en SPF te ayudan a optimizar y gestionar tus registros de manera más eficiente en comparación con el enfoque típico de aplanamiento. Así es como:

• Los Macros en SPF limitan tus consultas DNS y búsquedas nulas para mantenerse por debajo de los límites máximos de 10 y 2 respectivamente. 
• Mantiene la longitud de caracteres de tu registro, asegurando que no se exceda el límite de 512 caracteres.
• Las IPs autorizadas y las fuentes de envío son reemplazadas por referencias de caracteres, ocultándolas de los ojos del público. 

Aplanamiento SPF vs Macros SPF