Volver a 'Significados'¿Qué es SPF?
Última actualización:
Además del registro DMARC que explicamos en nuestro artículo '¿Qué es DMARC?', un registro SPF también es bien conocido en el mundo del correo electrónico. Puedes pensar en el registro SPF como complemento de DMARC. Muestra qué servidores están autorizados para enviar correos electrónicos desde tu dominio. En Lettermint, usamos SPF de una manera ligeramente diferente para enviar correos transaccionales. En este artículo, explicaremos qué es SPF y cómo lo usamos en Lettermint.
¿Qué es SPF?
SPF significa Sender Policy Framework (Marco de Políticas del Remitente). Es un método de verificación de correo electrónico desarrollado en 2006 para prevenir la suplantación de correo. Con un registro SPF, determinas qué servidores de correo están autorizados para enviar correos electrónicos en nombre de tu dominio.
Piénsalo como una lista de remitentes aprobados. Cuando alguien envía un correo desde tu dominio, el servidor de correo receptor verifica esta lista. ¿Está el servidor remitente en la lista? Entonces el correo está permitido. Si no, el servidor de correo puede rechazar el correo o marcarlo como spam.
SPF trabaja junto con DMARC para proteger tu dominio. Mientras DMARC establece la política, SPF proporciona la verificación técnica de los servidores de envío. Esta combinación hace difícil que los actores maliciosos se hagan pasar por tu empresa.
Cómo funciona SPF
SPF funciona a través del sistema DNS. Cuando un servidor de correo recibe un correo electrónico, realiza los siguientes pasos:
- El servidor mira el dominio del remitente (la parte después de @ en la dirección de correo)
- Luego consulta el registro SPF del DNS de ese dominio
- El servidor verifica si la dirección IP del servidor remitente está en el registro SPF
- Basándose en esta verificación, el correo es aceptado, rechazado o marcado como spam
Este proceso ocurre automáticamente en segundos. Por eso es tan importante configurar tu SPF correctamente. Un error y tus correos importantes podrían no llegar - definitivamente no quieres eso.
Cómo configurar SPF
Un registro SPF es un registro TXT en tu DNS. Siempre comienza con v=spf1 y termina con una acción que indica qué debe suceder con los servidores que no están en la lista.
Un registro SPF simple se ve así:
CODE BLOCK HERE
Este registro indica que solo Google puede enviar correos en nombre de tu dominio. El -all al final significa que otros servidores son rechazados (fallo estricto).
Mecanismos y modificadores SPF
SPF usa dos tipos de instrucciones: mecanismos y modificadores.
Los mecanismos son las reglas que determinan qué servidores pueden enviar correos. Se ejecutan de izquierda a derecha y se detienen tan pronto como se encuentra una coincidencia. Estos son los principales mecanismos:
| Mecanismo | Descripción | Ejemplo |
|---|---|---|
| include | Agregar registro SPF de otro dominio | include:_spf.lettermint.co |
| ip4 | Permitir dirección IPv4 específica | ip4:192.168.1.1 |
| ip6 | Permitir dirección IPv6 específica | ip6:2001:db8::1 |
| a | Permitir registro A del dominio | a:mail.example.com |
| mx | Permitir servidores MX del dominio | mx:example.com |
| all | Coincidir con todas las direcciones | ~all, -all, +all |
Los modificadores son instrucciones opcionales que proporcionan información adicional pero no determinan directamente si un servidor puede enviar. El modificador más importante es all, que aparece al final de tu registro SPF:
- -all (fallo estricto): Rechazar correos de servidores no autorizados
- ~all (fallo suave): Marcar como sospechoso pero entregar de todos modos
- +all (éxito): Aceptar todos los correos (no recomendado)
- ?all (neutral): Sin juicio
Otros modificadores son redirect (redirigir al registro SPF de otro dominio) y exp (proporcionar explicación para un fallo), pero estos rara vez se usan.
Límites SPF
SPF tiene varias limitaciones técnicas que debes considerar:
- Máximo 1 registro SPF por dominio
Solo puedes tener un registro SPF en tu DNS. Múltiples registros SPF hacen tu configuración inválida. Todos los servicios deben incluirse en este único registro. - Máximo 10 consultas DNS por verificación SPF
Una consulta DNS es una petición al sistema DNS para obtener información. Cada vez que usas include, a, mx, exists o redirect, cuenta como una consulta. El servidor de correo receptor puede realizar un máximo de 10 de estas consultas para verificar tu registro SPF. - El registro SPF puede contener un máximo de 255 caracteres por línea
Para registros más largos, debes dividirlos en varias líneas. - Con varias líneas: máximo 512 caracteres en total
Este es el límite absoluto para la longitud total de tu registro SPF. - Máximo 2 consultas vacías permitidas
Una consulta vacía es una petición DNS que no devuelve ningún resultado. Demasiadas consultas fallidas hacen que tu registro SPF sea inválido.
Estos límites son importantes cuando usas múltiples servicios. Cada include cuenta como una consulta DNS. Con demasiadas consultas, la verificación SPF falla.
Atención: ¡Cuenta tus includes cuidadosamente! Si excedes las 10 consultas DNS, tu registro SPF puede volverse inválido y los correos podrían no llegar.
Configurar SPF
Coloca tu registro SPF como registro TXT en el DNS de tu dominio. Para el dominio example.com, coloca el registro directamente en example.com, no en un subdominio como con DMARC.
¿Usas múltiples servicios de correo? Agrégalos todos a un registro SPF. Solo puedes tener un registro SPF por dominio.
Ejemplo con múltiples servicios:
CODE BLOCK HERE
SPF en Lettermint
En Lettermint, hacemos las cosas de manera diferente. Usamos una solución inteligente para evitar los límites SPF conocidos: el método Return-Path. En lugar de que tengas que agregar include:_spf.lettermint.co a tu registro SPF, aplicamos una técnica diferente.
¿Cómo funciona Return-Path?
Cuando Lettermint envía un correo en nombre de tu dominio, usamos un Return-Path especial. Esta es la dirección donde se envían los mensajes de error (rebotes). Al usar un Return-Path que termina con lettermint.co, el servidor de correo receptor verifica el registro SPF de Lettermint en lugar del de tu dominio.
Esto significa que:
- No necesitas agregar un include para Lettermint a tu registro SPF
- Te mantienes bajo el límite de 10 consultas DNS
- Tu configuración SPF existente permanece intacta
- Los correos siguen siendo autenticados correctamente
Return-Path es una técnica SPF oficial utilizada por los principales proveedores de correo. Tus correos permanecen completamente autenticados y seguros.
¿Por qué este enfoque?
Muchos de nuestros clientes usan múltiples servicios de correo. Al usar el método Return-Path, evitamos que alcances los límites SPF. Puedes usar Lettermint junto con Google Workspace, Microsoft 365 u otros servicios sin preocuparte por el número máximo de consultas DNS.
Cuando agregas un dominio a Lettermint, te pedimos que agregues tres registros DNS: DMARC, DKIM y un registro de rebote. Estos trabajan juntos con nuestra configuración Return-Path para garantizar una autenticación de correo adecuada, sin tener que modificar tu registro SPF.
Verificación SPF
Verifica abajo si tu dominio tiene un SPF válido. Nota: Lettermint usa Return-Path para autenticación, por lo que no aparecerá en esta verificación.
Conclusión
SPF es una parte esencial de la seguridad del correo electrónico. Trabaja junto con DMARC para proteger tu dominio contra abusos. En Lettermint, garantizamos que tu configuración continúe funcionando óptimamente a través de nuestra implementación Return-Path, sin alcanzar los límites técnicos.
Un SPF correctamente configurado (también vía Return-Path) garantiza que:
- Tus correos lleguen de manera confiable
- Los actores maliciosos no puedan abusar de tu dominio
- Los servidores de correo reconozcan tus correos como legítimos
Siempre prueba tu SPF después de la configuración con nuestro verificador SPF. Así sabrás con certeza que todo funciona correctamente. Porque al final, se trata de una sola cosa: que tus correos lleguen de forma segura donde deben estar.