Fusionar varios registros SPF

En este artículo le explicaremos cómo fusionar varios registros SPF.

¿Por qué debería fusionar varios registros SPF?

Los registros SPF se usan para certificar que la dirección IP emisora tiene derecho a enviar e-mails. Ayuda a evitar el uso fraudulento de su nombre de dominio y es especialmente eficaz contra los ataques de phishing.

Cada dominio solo puede tener un registro SPF. Tener más de un registro SPF puede repercutir negativamente en la reputación de su dominio, además de provocar problemas de entregabilidad y oportunidades de fraude. En caso de que necesite incluir varios registros SPF para su dominio, debe fusionarlos en un único registro.

Sintaxis de un registro SPF

Veamos las diferentes partes de un registro SPF en el siguiente ejemplo:

mceclip1.png

🟢 Versión

Un registro SPF siempre comienza con el número de versión «v=spf1» (versión 1). Esta parte define el registro como SPF. Había una segunda versión de SPF (llamada «SenderID»), pero se ha dejado de utilizar.

🔵 Mecanismo

La segunda parte del registro SPF consiste en los mecanismos. En ellos se especifican las diferentes reglas sobre cómo comprobar el SPF y también pueden incluir un prefijo (llamado «calificador»).

  • ip4: especifica el rango de red IPv4 que está autorizado para enviar e-mails, por ejemplo, ip4:<dirección-ip4> o ip4:<dirección-ip4>/<longitud-prefijo>.
    Si no se indica ninguna longitud de prefijo, se asume que es /32 (señalando una dirección de host concreta). Asegúrese de incluir una longitud de prefijo superior a /16, ya que la entrega a algunos receptores menores puede verse afectada.
  • ip6: especifica el rango de red IPv6 que está autorizado para enviar e-mails, por ejemplo, ip6:<dirección-ip6> o ip6:<red-ip6>/<longitud-prefijo>.
    El argumento del mecanismo «ip6» es un rango de red IPv6. Si no se da ninguna longitud de prefijo, se asume que es /128 (señalando una dirección de host concreta).
  • a: especifica el nombre de dominio del servidor de correo que está autorizado a enviar e-mails haciendo referencia a un registro A del dominio, por ejemplo, a:brevo.com.
    Los registros A tienen que coincidir exactamente con la IP del cliente a menos que se proporcione una longitud de prefijo. En ese caso, cada dirección IP devuelta por la búsqueda A se expandirá a su correspondiente prefijo CIDR, y se buscará la IP del cliente dentro de esa subred.
  • mx: Especifica el servidor de correo que debe utilizarse para transmitir los e-mails haciendo referencia a un registro MX del dominio, por ejemplo, mail.brevo.com.
    Los registros A tienen que coincidir exactamente con la IP del cliente a menos que se proporcione una longitud de prefijo. En ese caso, cada dirección IP devuelta por la búsqueda A se expandirá a su correspondiente prefijo CIDR, y se buscará la IP del cliente dentro de esa subred.
  • include: Especifica el servidor de correo al que se le permite enviar e-mails en nombre del dominio (remitentes de correo de terceros). Debe colocarse siempre en el centro del registro SPF.
    Se busca una coincidencia en el dominio especificado. Si el resultado de la búsqueda no es una coincidencia o es un error, se pasa a la siguiente directiva. Si el dominio no tiene un registro SPF válido, el resultado es un error permanente. Algunos receptores de correo lo rechazarán basándose en un PermError.
  • all: Coincide con todos los servidores de correo y especifica cómo debe tratarse un e-mail cuando un remitente no coincide con ninguno de los mecanismos anteriores. Se utiliza con un calificador y debe colocarse siempre al final del registro SPF.
🔴 Calificador

Un calificador es un prefijo que puede incluirse delante de un mecanismo y que especifica cómo debe tratarse un e-mail cuando el remitente no coincide con ninguno de los mecanismos anteriores.

Aquí están los calificadores disponibles:

  • +:  es el calificador predeterminado y se refiere que se Supera la autenticación. El servidor con una dirección IP o un dominio que coincida con un mecanismo con este calificador pasará el SPF y recibirá la autorización de envío para ese dominio.
  • -: se refiere a que No se supera la autenticación. El servidor con una dirección IP o un dominio que coincida con un mecanismo con este calificador fallará en el SPF y no tendrá la autorización de envío para ese dominio.
  • ~: se refiere a que Se supera la autenticación con reservas. El servidor con una dirección IP o una dirección de dominio que coincida con un mecanismo con este calificador fallará ligeramente en el SPF y podría tener la autorización de envío para ese dominio. El servidor del destinatario aceptará el e-mail pero lo etiquetará como un fallo SPF.
  • ?: se refiere a Neutral, ni se supera ni se falla la autenticación. El servidor con una dirección IP o un dominio que coincida con un mecanismo con este calificador ni superará ni fallará el SPF, ya que el registro no declara explícitamente si la dirección IP o el dominio tienen autorización de envío para ese dominio.

Fusionar varios registros SPF

Para fusionar varios registros SPF, debe combinar las diferentes partes de los registros. A continuación se explica cómo combinar los siguientes registros SPF de ejemplo para Google Workspace y Brevo:

v=spf1 include:_spf.google.com ~all
v=spf1 include:spf.brevo.com mx ~all
  1. Un registro SPF siempre comienza con la versión.
    v=spf1
  2. A continuación, añadimos ambos mecanismos de «include» a nuestro nuevo registro.
    v=spf1 include:_spf.google.com include:spf.brevo.com
  3. El registro SPF de Brevo contiene un mecanismo «mx», por lo que debemos incluirlo también en nuestro nuevo registro.
    v=spf1 include:_spf.google.com include:spf.brevo.com mx
  4. Por último, tenemos que definir cómo deben tratarse los e-mails cuando un remitente no coincide con ninguno de los mecanismos anteriores. Esto se hace utilizando el mecanismo «all».
    v=spf1 include:_spf.google.com include:spf.brevo.com mx ~all

Este nuevo registro SPF sustituye ahora al antiguo. Permite que tanto Google Workspace como Brevo envíen e-mails utilizando su nombre de dominio, mientras que todos los demás remitentes son bloqueados utilizando «~all».

💡 Información relevante
Una vez que haya hecho sus cambios, use un comprobador de registros SPF para validar su nuevo registro SPF.

🤔 ¿Tiene alguna duda?

Si tiene alguna pregunta, no dude en ponerse en contacto con nuestro equipo de asistencia mediante la creación de un ticket desde su cuenta. Si todavía no tiene una cuenta, puede ponerse en contacto con nosotros aquí.

💬 ¿Fue útil este artículo?

Usuarios a los que les pareció útil: 43 de 65