Sintaxis de SPF
El formato de un registro SPF es el siguiente:
v=spf1 [mechanisms] [qualifiers]Cada uno de los mecanismos se discute a continuación.
v=spf1
La etiqueta v=spf1 indica la versión y el protocolo del registro SPF. Solo hay una versión de SPF, y el protocolo siempre es spf1.
Mecanismos
Los mecanismos son las reglas que definen cómo hacer coincidir la dirección IP o el host del remitente con la política SPF. Hay varios tipos de mecanismos:
| Tag | Descripción |
|---|---|
| a | Coincide la dirección IP del remitente con los registros A o AAAA del dominio. |
| mx | Coincide la dirección IP del remitente con los registros MX del dominio. |
| ip4 | Coincide la dirección IPv4 del remitente con un rango específico. |
| ip6 | Coincide la dirección IPv6 del remitente con un rango específico. |
| include | Incluye la política SPF de otro dominio. |
Calificadores
Los calificadores son las acciones que indican cómo el receptor debe manejar los correos electrónicos que coinciden o no coinciden con los mecanismos. Hay cuatro tipos de calificadores:
| Tag | Descripción |
|---|---|
| + | Pass, el correo electrónico es aceptado (NO RECOMENDADO). |
| ? | Neutral, el correo electrónico no es aceptado ni rechazado (NO RECOMENDADO). |
| - | Fail, el correo electrónico es rechazado. |
| ~ | Softfail, el correo electrónico es aceptado pero marcado como sospechoso. |
Elegir el Calificador SPF Correcto
La elección del calificador SPF depende de la preferencia del propietario del dominio y su tolerancia al riesgo. Generalmente, se recomienda usar el calificador Hard Fail (-) para dominios que envían correos electrónicos críticos o sensibles, como servicios financieros o legales. De esta manera, el propietario del dominio puede asegurarse de que solo los servidores autorizados puedan enviar correos electrónicos en su nombre, y que cualquier correo electrónico falsificado sea rechazado por el servidor receptor. Sin embargo, el propietario del dominio también debe asegurarse de que su registro SPF sea preciso y esté actualizado, y que incluya todas las fuentes legítimas de correo electrónico para su dominio, como hosts web, proveedores de correo electrónico, servicios de terceros, etc. De lo contrario, pueden arriesgarse a perder algunos correos electrónicos válidos que no pasen la verificación SPF.
Por otro lado, el calificador Soft Fail (~) puede ser una buena opción para dominios que envían correos electrónicos menos críticos o menos sensibles, como boletines, marketing o redes sociales. De esta manera, el propietario del dominio aún puede indicar su preferencia por servidores autorizados, pero también permitir cierta flexibilidad para que el servidor receptor decida cómo manejar el correo electrónico. Esto puede reducir las posibilidades de perder correos electrónicos válidos que no pasen la verificación SPF, pero también puede aumentar las posibilidades de recibir correos electrónicos falsificados que pasen la verificación SPF.
Los calificadores Neutral (?) y Allow all (+) no se recomiendan para ningún dominio, ya que no proporcionan ningún beneficio o protección contra ataques de suplantación de identidad y phishing. Esencialmente desactivan el mecanismo SPF y permiten que cualquier servidor envíe correos electrónicos en nombre del dominio. Esto puede dañar la reputación y la capacidad de entrega del dominio, así como exponer a los usuarios del dominio a correos electrónicos maliciosos.
Ejemplo
Un ejemplo de un registro SPF simple es:
v=spf1 mx -allEsto significa que solo las direcciones IP que corresponden a los registros MX del dominio tienen permitido enviar correos electrónicos en nombre del dominio, y cualquier otra dirección IP es rechazada.
Temas Relacionados
- ¿Qué es SPF? - Introducción a SPF y su propósito
- ¿Cómo Funciona SPF? - Detalles técnicos sobre el funcionamiento de SPF
- ¿Por Qué es Importante SPF? - Beneficios e importancia de SPF
- Limitaciones de SPF - Restricciones y desafíos actuales
- Redirección SPF - Uso del modificador de redirección
- Configuración de SPF - Configurar la configuración de SPF