Back to Course
Լight modeDark mode

Etiquetas SPF: Sintaxis de tu Registro SPF

La sintaxis del registro SPF consta de varios elementos: directivas, calificadores y mecanismos.
 

Las directivas son la primera parte de la sintaxis de un registro SPF. Indican cómo interpretar el resto del registro. En un registro SPF pueden aparecer tres directivas: v=spf1, a y MX. La directiva v indica que este registro es un registro SPFv1; la directiva a indica que este registro es un informe de error de autenticación estilo SPFv2; la directiva mx especifica una lista de servidores de intercambio de correo para un dominio.

 

Los calificadores especifican en qué parte de la zona DNS desea colocar los registros SPF: exim4, enduser o _spf. Estos calificadores indican a los receptores de correo dónde buscar sus registros SPF cuando los comprueban con sus registros DNS.
 

Los mecanismos se utilizan para indicar cómo desea tratar las direcciones de correo electrónico que no superan la comprobación SPF. Puede elegir entre varios mecanismos: all, none, softfail, neutralizar o rechazar.
 

  • El mecanismo all aceptará todos los correos electrónicos de remitentes que hayan pasado tu verificación SPF.
     
  • none rechazará todo desde remitentes que hayan pasado tu verificación SPF.
     
  • softfail aceptará correos electrónicos de remitentes que han fallado en la verificación SPF, pero los marcará como sospechosos.
     
  • neutral indica que ni se rechazan ni se aceptan mensajes enviados desde tu dominio; es básicamente una postura de "sin opinión" sobre si el mensaje debe ser aceptado o rechazado.
     
  • reject rechazará correos electrónicos que hayan fallado en la verificación SPF.

Calificadores de Sintaxis del Registro SPF

Los "calificadores" en la sintaxis de un registro SPF ayudan a indicar el alcance del registro SPF. Principalmente se utilizan para indicar si una dirección IP específica está autorizada para enviar correos electrónicos en nombre de tu dominio.
 

Calificador

Result Code

Explicacion

+

Pass

El único calificador sin connotación negativa. Indica que el registro de seguridad del nombre de dominio no contiene errores ni advertencias y se considera seguro.

-

Fail

Indica que el registro de seguridad del nombre de dominio contiene errores o advertencias que impiden considerarlo seguro.

 

~

Softfail

Indica que el registro de seguridad del nombre de dominio contiene errores o advertencias que no impiden considerarlo seguro, pero que pueden indicar problemas con la resolución DNS u otros asuntos relacionados con los anclajes de confianza DNS.

?

Neutral

Indica que el dominio no tiene un registro SPF, o que su registro era sintácticamente correcto pero no coincidía con ningún servidor emisor al ser verificado contra uno (o más) servidores emisores en tu lista de direcciones IP confiables para ese dominio.

Mecanismos de Sintaxis del Registro SPF

Los mecanismos se utilizan en la sintaxis del registro SPF para indicar al servidor receptor qué tipo de mecanismo de autenticación debe utilizarse. Hay dos tipos de mecanismos:

  • El remitente puede especificar un conjunto específico de mecanismos.
  • O puede especificar que se permiten todos los mecanismos.

Mecanismo

Propósito

Directiva se aplica cuando

Implementation

a

Define el registro A DNS del dominio como autorizado. Si esta directiva no está especificada, se utiliza el dominio actual..

 

 

Se puede aplicar cuando se consulta para un registro A o AAAA en un dominio que contiene la dirección IP del remitente.

a

a/<prefix-length>

a:<domain>

a:<domain>/<prefix-length>

all

La directiva all siempre se cumple y define la política para todas las demás fuentes.

Este mecanismo siempre debe aplicarse, y siempre se cumple.

all

exists

Verifica si un registro A es válido para un dominio dado. Funciona examinando todos los registros A en ese dominio y viendo si alguno de ellos cumple con los criterios establecidos en tu registro SPF.

Se aplica cuando hay algún registro A en dicho dominio o si otros criterios, según RFC7208, están autorizados.

exists:<domain>

include

El propósito de este mecanismo es especificar el dominio y buscar una coincidencia, así como devolver un error permanente si el dominio no tiene un registro SPF válido.

El mecanismo "include" en los registros SPF se utiliza para incluir otros registros SPF dentro del registro de un dominio. Si un dominio no tiene un registro SPF, pero otro dominio sí lo tiene y ese otro dominio tiene una dirección IP que coincide con la dirección IP del remitente, entonces el mecanismo "include" hará que se utilice el dominio con la dirección IP coincidente para fines de autorización.

 

include:<domain>

ip4

Puedes especificar un rango IPv4 con la directiva "ip4", junto con un prefijo que indica la longitud del rango. Si no se especifica un prefijo, se asume /32.

El mecanismo "ip4" se aplicará si alguna de estas condiciones es verdadera:

 

- La dirección IPv4 especificada coincide con la de una dirección IP en tu registro SPF.

 

- La subred IPv4 especificada contiene la dirección IP del remitente.

ip4:<ip4-address>

ip4:<ip4-network>/<prefix-length>

ip6

Puedes especificar un rango IPv6 con la directiva "ip6", junto con un prefijo que indica la longitud del rango. Si no se especifica un prefijo, se asume /128

El mecanismo "ip6" se aplicará si alguna de estas condiciones es verdadera:

 

- La dirección IPv6 especificada coincide con la de una dirección IP en tu registro SPF.

 

- La subred IPv6 especificada contiene la dirección IP del remitente.

ip6:<ip6-address>

ip6:<ip6-network>/<prefix-length>

mx

El mecanismo "mx", como se define en el registro SPF, especifica el registro de intercambio de correo (MX) del Sistema de Nombres de Dominio (DNS) de un dominio como autorizado.

El registro MX (Mail Exchanger) del DNS determina qué servidor es responsable de aceptar mensajes de correo electrónico en nombre del dominio. El registro MX del DNS contiene una dirección IP y un valor de prioridad para cada servidor que puede ser utilizado para aceptar mensajes.

 

Cuando un registro MX de un dominio contiene una dirección IP que coincide con la dirección IP del remitente, esto indica que este remitente está autorizado para enviar correos electrónicos en nombre de este dominio.

mx

mx/<prefix-length>

mx:<domain>

mx:<domain>/<prefix-length>

ptr

El mecanismo "ptr" utiliza el nombre de host inverso o subdominio de la dirección IP remitente para definir el nombre de dominio objetivo.

Se aplica únicamente si hay al menos un registro MX para el dominio consultado o especificado, y ese registro MX contiene un registro PTR con un nombre de dominio completo (FQDN) para la dirección IP del remitente

ptr

ptr:<domain>

Modificadores de la Sintaxis del Registro SPF

En la sintaxis del registro SPF, los modificadores se pueden utilizar para cambiar el comportamiento predeterminado de un registro SPF. Los modificadores pueden usarse para especificar excepciones a las reglas, o para proporcionar información adicional al receptor.
 

Modificador

Proposito

Implementacion

exp

El modificador 'exp' es un valor que especifica una explicación de por qué un mensaje fue rechazado. Está destinado a ayudar a los remitentes a evitar ciertos tipos de problemas y puede usarse para informarles sobre la razón específica por la cual su mensaje no fue aceptado por el servidor receptor.

exp=<domain>

redirect

El modificador 'redirect' es una cadena que reemplaza todo el nombre de dominio en el registro SPF. El propósito de este modificador es redirigir todo el correo enviado al dominio a otro servidor. Esto puede ser útil para dominios con múltiples registros MX o para dominios que han sido reasignados a otra empresa pero que aún utilizan las mismas direcciones de correo electrónico.

redirect=<domain>

 

Fundamentos Basicos de SPF >Etiquetas SPF: Sintaxis de tu Registro SPF
Course content
Curso de Fundamentos Básicos de Autenticación de Correo Electrónico