Entregabilidad
Cómo utilizar el SPF y los 4 pasos para crear un registro SPF
¿Sabías que los hackers pueden utilizar tu dominio para enviar spam? En este artículo, aprenderás a proteger tu dominio con el marco de directivas de remitente (SPF).
Entregabilidad
A la hora de lidiar con los spammers, ¿alguna vez te ha dado la sensación de que son como una hidra?
Los spammers están evolucionando constantemente. En cuanto encuentras una manera de evitar una de sus artimañas, cambian de táctica y te toca enfrentarte a algo nuevo. Eso sí, a diferencia de lo que ocurre con la hidra, hay maneras fiables de deshacerse de los estafadores digitales de una vez por todas.
Aquí es donde entra el protocolo SPF, una técnica que te permitirá proteger tu reputación como remitente. En este artículo te explicaremos cómo funciona el SPF con el email, por qué deberías utilizarlo y qué ocurrirá cuando lo hagas.
Pero antes de entrar en eso, tenemos que hablar sobre los registros SPF y cómo afectan a tu entregabilidad.
El SPF (del inglés Sender Policy Framework, o marco de directivas de remitente) es la regla o método de autenticación que examina la dirección IP de un remitente de email para asegurarse de que se encuentre en la lista de direcciones IP que tienen permiso para enviar emails dentro de un dominio específico.
Si lo utilizas junto con otros protocolos de autenticación de correo electrónico, como los registros DKIM y DMARC, el SPF optimizará la entregabilidad del email ayudándote a proteger tus envíos de emails de los intentos de spoofing (o suplantación de identidad). La adopción del SPF es cada vez más habitual gracias al apoyo de aquellos que quieren protegerse de los emails falsos y peligrosos.
Pero ¿cómo te ayuda esta medida de seguridad a proteger el servidor de correo receptor y tu dominio?
Los registros SPF realizan un seguimiento de todas las fuentes autorizadas que pueden enviar emails desde tu nombre de dominio. El SPF funciona porque los administradores de dominio crean un registro SPF en el que especifican qué hosts tienen permiso para enviar emails desde ese dominio.
Si no existieran los registros SPF, los agentes malintencionados que suplantan tu nombre de dominio para enviar emails de phishing “de tu dirección” podrían llegar a las bandejas de entrada de tus suscriptores y dañar tu negocio y tu reputación.
Básicamente, los registros SPF actúan como un filtro antispam que mantiene a los emails peligrosos fuera de las bandejas de entrada de tus suscriptores.
Los marcos de directivas de remitente (SPF) se comunican con el servidor de email receptor y al servidor SMTP que verifique el valor del return path o ruta de devolución del encabezado de cada email.
Cuando hay un registro SPF en vigor, el servidor de email receptor puede escanear los emails para buscar un registro TXT de SPF en el sistema de nombres de dominio (DNS) del remitente. Gracias a esto, verifica de qué dirección IP proviene cada correo electrónico.
A continuación, el servidor de email receptor coteja las IP de los nuevos emails con su lista de remitentes aprobados en nombre de tu dominio. Si alguna IP no está en el registro SPF, la verificación falla y el email se marca como no autenticado.
Eso sí, cada proveedor de buzones de email es distinto. Y aunque algunos servidores receptores reboten los emails que no están autenticados, puede que otros actúen de forma diferente.
Con los emails no autenticados, los proveedores de buzones pueden hacer lo siguiente:
Sabemos que es difícil digerir tantos tecnicismos, pero este diagrama lo resume bastante bien.
Si crees que has entendido cómo modifica el SPF la entrega de los emails, pasemos a la siguiente cuestión: cómo confirmar visualmente que un DNS tiene un registro SPF vigente.
Para poder responder a esta pregunta, primero debemos hablar de la guía telefónica de internet, también conocida como el sistema de nombres de dominio (DNS), que se encarga de organizar y reconocer los dominios.
Cuando alguien escribe un nombre de dominio o una URL en la barra de búsqueda de su navegador web, el DNS escanea la dirección IP donde se encuentra ese nombre de dominio o esa URL.
En esencia, los registros SPF son líneas de texto escritas con caracteres específicos que denotan información detallada que les permite hacer su trabajo. Estos módulos de texto se pueden dividir en dos grupos: mecanismos y calificadores.
Cuando un email activa un mecanismo de registro SPF, el operador de la red habrá incluido uno de los cuatro calificadores para indicar qué acción se debe realizar. Si lees el texto de un SPF, podrás reconocer el calificador como el prefijo del mecanismo.
En la siguiente tabla podemos ver los cuatro tipos de calificadores y su función:
| Símbolo | Calificador | Resultado | Acción |
|---|---|---|---|
| + | Aprobado | Se puede entregar el email | Aceptar |
| – | Fallo | No se puede entregar el email | Rechazar |
| ~ | Fallo leve | El SPF no rechaza con firmeza al host, pero el email tampoco recibe el aprobado | Aceptar, pero lo etiqueta como fallo leve de SPF |
| ? | Neutro | El email se puede entregar o rechazar, el servidor receptor decide qué hacer con él | Aceptar |
Esperamos que estés preparado porque esto solo ha sido el calentamiento. Ahora vamos a analizar un ejemplo de registro TXT de SPF que podrías encontrarte en un DNS:
v=spf1 a ip4:12.34.56.78/28 include:marketingemailserver.com ~all
Antes de que intentes leer eso en voz alta (¿vespfip a ipcuatro?), veamos cómo podemos dividir esta línea de texto en partes digeribles:
v=spf1 es la forma estándar con la que empiezan la mayoría de las líneas de TXT de los registros SPF.
Un registro SPF empieza por v= para que los lectores y el DNS sepan cuál es la versión de SPF que se está utilizando. La primera vez que se implementa un SPF, la autoridad de la red siempre debería utilizar spf1, ya que es el SPF más frecuente para las interacciones de emails.
La letra a precede a una dirección IP que el servidor receptor está intentando cotejar con los emails recibidos. Cuando el servidor receptor encuentra a o aaaa delante del dominio del remitente, marca el email como una coincidencia.
Esto le indica al DNS que la siguiente dirección IP de tipo IPv4 tiene autorización para enviar emails.
Este es el servidor autorizado para enviar emails. Observa el sufijo /28, que informa al DNS sobre los segmentos de la red que también tienen autorización para enviar emails al destinatario.
Puede que una empresa utilice un sufijo como este para acortar la longitud del texto utilizado para su SPF. Si no te parece corto, ten en cuenta lo abrumador que podría resultar el registro TXT si incluyera todos los segmentos de IP de una megacorporación. Así que sí, un sufijo como este es el menor de los males.
También podría ser ip6 e ir seguida de una dirección de IP de tipo IPv6.
Al incluir este elemento, tu registro SPF permitirá que otro servidor envíe emails a otro dominio de internet. Un ejemplo de esto sería un servidor de email marketing.
A esta línea ondulada delante de la palabra «all» se la conoce como tilde o virgulilla. Y aquellos que hayáis estado muy atentos seguramente os habréis fijado en que este símbolo aparecía en la tabla que hemos mostrado antes para explicar cómo funcionaban los calificadores de SPF.
Entonces, como ya sabemos que ~ significa fallo leve o soft fail, esto indica que se pueden enviar o recibir los emails que provengan de direcciones IP que no haya marcado el SPF.
Por lo tanto, este registro SPF permite que pasen los emails enviados desde 12.34.56.78/28 y marketingserver.com y bloquea o marca como fallo leve los emails que provenga de cualquier otro lugar.
Un Mail Exchange o MX le indica al DNS a qué destinatarios se deberían enviar los emails. Gracias a los registros MX del dominio, los DNS pueden actuar de acuerdo con el protocolo simple de transferencia de correo (SMTP).
Si añades un MX a tu registro SPF, podrás actualizar tu DNS sin tener que reescribir completamente tu registro SPF.
Aquí tenemos un ejemplo en el que utilizamos una parte del registro SPF que analizamos antes:
v=spf1 a ip4:12.34.56.78/28 MX:ejemplo.com ~all
“Exists” comprueba si existe un registro de un dominio específico. Si existe, entonces pasa el registro SPF. Este es otro elemento más que confirma si el email de un remitente se está enviando desde una dirección IP que tu dominio reconoce.
For example:
v=spf1 MX -exists:reallygoodart ~all
La respuesta corta es: para hacer tus envíos más seguros.
Ahora bien, si elaboramos un poco esa respuesta, tener configurados los registros SPF del dominio es importante por dos razones principales:
A estas alturas es probable que ya hayas entendido qué son y cómo funcionan los registros SPF. Pero antes de que vayas a pedir a tu departamento de informática que cree este TXT para proteger tus dominios, te enseñaremos a realizar una comprobación de SPF para que puedas averiguar si ya tienes uno o no.
Este paso es sencillo porque lo único que tienes que hacer es acceder al servidor de registros DNS que utiliza tu email o el email de tu empresa y buscar un registro TXT. O aún más fácil: utiliza una herramienta rápida de comprobación de DNS y busca ahí tu dominio si no tienes permisos de revisor o editor en tu dominio DNS.
El registro debería empezar como la mayoría de las líneas de registro SPF de los TXT que, por si no lo recuerdas, es v=spf1.
Si no tienes configurado ningún registro SPF, sigue los siguientes pasos y tu actividad de envíos será mucho más segura.
Configurar un registro SPF no tiene por qué ser difícil si tienes los elementos adecuados. Así que toma nota, porque necesitarás lo siguiente antes de empezar: el proveedor de alojamiento o la dirección IP que actúa como tu servidor de correo electrónico, una lista de los otros servidores autorizados y los datos de acceso a tu DNS.
Esperamos que ahora estés más familiarizado con los registros SPF y entiendas por qué debes utilizarlos. Sin embargo, queremos mencionar que, a pesar de que son una técnica de seguridad del email eficaz, los registros SPF no deberían ser tu única red de seguridad.
Recuerda que los registros SPF tienen limitaciones, como el hecho de no incluir los subdominios automáticamente o tener un límite de caracteres en sus TXT.
Una vez que confirmes que tienes un registro SPF o que accedas y escribas el TXT tú mismo, deberías plantearte configurar también registros DKIM y DMARC.
Ahora sal ahí fuera y mantén a raya a los estafadores. Y si tienes cualquier pregunta sobre este tema o sobre alguna otra necesidad del email marketing, en Mailjet siempre estaremos encantados de ayudarte.
