Back to Course
Լight modeDark mode

Fallos de autenticación SPF

¿Por qué falla la autenticación SPF? : None, Neutral, Hardfail, Softfail, TempError, y PermError?

Las fallas de autenticación SPF pueden ocurrir por las siguientes razones:

  • El MTA receptor no encuentra un registro SPF publicado en tu DNS.
  • Tienes múltiples registros SPF publicados en tu DNS para el mismo dominio.
  • Tus ESP han cambiado o agregado sus direcciones IP, las cuales no se han actualizado en tu registro SPF.
  • Si excedes el límite de 10 consultas DNS para SPF.
  • Si excedes el límite máximo de 2 consultas nulas permitidas.
  • La longitud de tu registro SPF aplanado excede el límite de 255 caracteres SPF.

Tipos de Calificadores de Falla SPF

Los siguientes son tipos de calificadores de falla SPF, cada uno de los cuales se agrega como un prefijo antes del mecanismo de falla SPF:

  • “+” “Pass”
  • “-” “Fail”
  • “~” “Softfail”
  • “?” “Neutral”

¿Cómo importan estos? En una situación en la que tu correo electrónico falle la verificación SPF, puedes elegir qué tan estrictamente deseas que los receptores lo manejen. Puedes especificar un calificador para “pasar” mensajes que fallen la verificación (entregarlos),“fallar” la entrega o tomar una posición “neutral” (no hacer nada).

Caso 1: Se devuelve el resultado SPF None

En el primer caso, si el servidor de correo electrónico receptor realiza una búsqueda DNS y no puede encontrar el nombre de dominio en el DNS, se devuelve un resultado de None. También se devuelve None en caso de que no se encuentre un registro SPF en el DNS del remitente, lo que implica que el remitente no tiene la autenticación SPF configurada para este dominio. En este caso, la autenticación SPF para tus correos electrónicos falla.

Caso 2: Se devuelve el resultado SPF Neutral

Al configurar SPF para tu dominio, si has añadido un mecanismo ?all a tu registro SPF, esto significa que, independientemente de las verificaciones de autenticación SPF para tus correos electrónicos salientes, el MTA receptor devolverá un resultado neutral. Esto ocurre porque cuando tienes tu SPF en modo neutral, no estás especificando las direcciones IP autorizadas para enviar correos electrónicos en tu nombre y permites que direcciones IP no autorizadas también los envíen.

Caso 3: Resultado SPF Softfail

Similar al resultado SPF neutral, el resultado SPF softfail se identifica con el mecanismo ~all, lo que implica que el MTA receptor aceptará el correo y lo entregará en la bandeja de entrada del destinatario, pero lo marcará como spam en caso de que la dirección IP no esté listada en el registro SPF encontrado en el DNS. Esta puede ser una razón por la cual la autenticación SPF falla para tu correo electrónico. A continuación se muestra un ejemplo de SPF softfail: 

v=spf1 include:spf.google.com ~all

Caso 4: Resultado SPF Hardfail

SPF hardfail, también conocido como SPF fail, ocurre cuando los MTA receptores descartan correos electrónicos que provienen de cualquier origen de envío que no esté listado dentro de tu registro SPF. Te recomendamos configurar SPF hardfail en tu registro SPF si deseas protección contra la suplantación de dominio y el spoofing de correo electrónico. A continuación se muestra un ejemplo de SPF hardfail: 

v=spf1 include:spf.google.com -all

Caso 5: SPF TempError (Error Temporal SPF)

Una de las razones más comunes y a menudo inofensivas por las cuales falla la autenticación SPF es SPF TempError (error temporal),que se produce debido a un error DNS, como un tiempo de espera de DNS, mientras se realiza una verificación de autenticación SPF por parte del MTA receptor. Por lo tanto, como sugiere el nombre, generalmente es un error temporal que devuelve un código de estado 4xx que puede causar un fallo temporal de SPF, aunque puede resultar en un paso SPF cuando se intenta nuevamente más tarde.

Escenario 6: SPF PermError (Error Permanente SPF)

Otro resultado común con el que se enfrentan los errores de dominio es el Error Permanente SPF (SPF PermError). Esta es la razón por la cual falla la autenticación SPF en la mayoría de los casos. Esto ocurre cuando tu registro SPF es invalidado por el MTA receptor. Hay varias razones por las cuales SPF puede romperse y ser considerado inválido por el MTA al realizar búsquedas DNS:

  • Superar el límite de 10 consultas SPF
  • Sintaxis incorrecta del registro SPF
  • Más de un registro SPF para el mismo dominio
  • Exceder el límite de longitud del registro SPF de 255 caracteres
  • Si tu registro SPF no está actualizado con los cambios realizados por tus ESPs

Nota: Cuando un MTA realiza una verificación SPF en un correo electrónico, consulta el DNS o realiza una búsqueda DNS para verificar la autenticidad del origen del correo electrónico. Idealmente, en SPF se permiten un máximo de 10 búsquedas DNS, superar las cuales causará que SPF falle y devuelva un resultado PermError.

Fundamentos Basicos de SPF >Fallos de autenticación SPF
Course content
Curso de Fundamentos Básicos de Autenticación de Correo Electrónico