Protocolo SPF : Verificar configuracion en nuestro Dominio

Fecha Publicación:       28 de Mayo de 2019
Fecha Modificación:       24 de Abril de 2024

Cómo evitar que mi correo electrónico sea etiquetado como SPAM

→ Viene del tutorial  Cómo evitar que mi correo electrónico sea etiquetado como SPAM

Importante: Se recomienda implementar un registro SPF con el servicio MailChannels - Ver tutorial mas abajo

Que es el protocolo o registro SPF

El protocolo SPF o registro SPF (Sender Policy Framework) es un protocolo de autenticación de correo electrónico que permite al dueño de un dominio especificar qué servidores de correo utiliza para enviar correos desde ese dominio.

El registro SPF determina qué servidores de correo y dominios tienen permitido enviar correo en nombre de tu dominio. También indica a los servidores que reciben tu correo qué hacer con los mensajes una vez comprobados. Esos servidores comprueban tu registro SPF para confirmar que los mensajes que parecen proceder de tu organización se han enviado desde servidores autorizados. Los dominios solo pueden tener un registro SPF. Sin embargo, en el registro SPF de un dominio se pueden especificar varios servidores y terceros que tengan permitido enviar correo en nombre del dominio.

Para configurar SPF, añade un registro TXT de DNS al proveedor de tu dominio.

SPF (Convenio de Remitentes, del inglés Sender Policy Framework) es una protección contra la falsificación de direcciones en el envío de correo electrónico.[1]​ Identifica, a través de los registros de nombres de dominio (DNS), a los servidores de correo SMTP autorizados para el transporte de los mensajes. Este convenio busca ayudar para disminuir abusos como el spam y otros males del correo electrónico.

Referencia : Wikipedia Sender Policy Framework (SPF)

El registro SPF no es 100% efectivo, ya que no todos los proveedores de correo electrónico lo verifican. Sin embargo, un gran porcentaje lo comprueba y notará una disminución significativa en la cantidad de correos rebotados y marcados como spam.

SPF es un protocolo o temas de politicas que se publican en nuestros servidor de dominios. 

SPF ayuda a validar el correo electrónico saliente enviado desde su dominio personalizado (si proviene de quien dice ser)

¿Qué hace realmente la autenticación de correo electrónico con un registro SPF?

Un registro SPF identifica qué servidores de correo pueden enviar correo en su nombre. Básicamente, SPF, junto con DKIM, DMARC , ayudan a prevenir la suplantación de identidad y el phishing. SPF se agrega como un registro TXT que es usado por DNS para identificar qué servidores de correo pueden enviar correo en nombre de su dominio personalizado. Los sistemas de correo del destinatario se refieren al registro TXT de SPF para determinar si un mensaje de su dominio personalizado proviene de un servidor de mensajería autorizado.

El envío SMTP entre servidores

Cuando se envía un correo desde un programa cliente de correo electrónico, éste conecta con un servidor SMTP (a través del puerto TCP 25) al que le deja el mensaje para su envío a una o varias cuentas de correo destinatarias. Este servidor (servidor del remitente) es el encargado de conectar con el servidor donde está alojada la cuenta de correo del destinatario (servidor del destinatario) y de transmitir el mensaje para su almacenamiento y posterior descarga por el destinatario.

En el protocolo SMTP, obviamente, es imposible tener autenticación acordada entre todos los servidores de correo. Este inconveniente permite que cualquier servidor remitente pueda identificarse como el transportista en origen de un nombre de dominio. Esto lo aprovechan los suplantadores de identidad de direcciones de correo electrónico para llevar a cabo su fin.

En el envío de correos no solicitados (conocido como correo basura) y otras malas artes como la suplantación de identidad o envío de virus por correo, en casi la totalidad de los casos, interesa ocultar el remitente real o utilizar una dirección que al cliente le podría resultar familiar o confiable.

Un primer intento de controlar esta laguna técnica es el seguimiento de la ruta de direcciones IP por las que se envía el correo, de tal manera, que se mantiene unas listas de IP's de servidores que envían correos falseados (listas negras). Esto, aparte de requerir un proceso manual por parte del destinatario, tiene efectos no deseados sobre otros usuarios del servidor que envían correos "reales".

Referencia : Wikipedia Sender Policy Framework (SPF)

SPF la solución para evitar falsas identidades

SPF extiende el protocolo SMTP para permitir comprobar las máquinas autorizadas a enviar correo para un dominio determinado. La idea es identificar las máquinas autorizadas por su dirección IP, y que esta identificación la haga el responsable del dominio que recibirá el correo.

Una aproximación a la solución podría suponer que el remitente del correo, hace los envíos desde la misma máquina que los recibe. Como se puede resolver la dirección IP a donde se enviarían correos al remitente a través del registro MX del servicio DNS (RMX, del inglés Reverse MX), si esta dirección coincide con la que genera el envío, se puede entender que es el remitente real. Pero esta suposición no siempre es cierta, especialmente en grandes proveedores de soluciones de correo como Yahoo!, Hotmail, o GMail.

Otra propuesta, la DMP (Protocolo de Servidores de Correo Identificados, del inglés Designated Mailer Protocol), consiste en que los proveedores de servicios de internet identifiquen las máquinas responsables del envío del correo. Esta solución es válida, pero para que sea efectiva requiere que todos los proveedores la adopten e implementen.

Como mezcla de estas dos propuestas, surge la idea de usar registros DNS para identificar las máquinas autorizadas para envío de correo (sean del proveedor de servicios de internet que sean). Esto es lo que se propone en la solución SPF.

Referencia : Wikipedia Sender Policy Framework (SPF)

El proceso de verificación SPF

El proceso de verificación SPF en el servidor de correo del destinatario consiste en comprobar los registros DNS del dominio del remitente. Si la dirección IP del servidor que ha conectado encaja en la especificación de direcciones permitidas en el registro SPF entonces se añade una cabecera de título Received-SPF indicando el resultado positivo de la comprobación.

Los programas lectores de correo harán uso de SPF para clasificar el correo justo al contrario del criterio de la carpeta de spam, llevando a la carpeta de entrada el correo verificado por el servidor del destinatario. Examinando las cabeceras de un mensaje verificado por SPF podría observarse la cabecera Received-SPF:

Received-SPF: 
pass (domain of rafacouto@gmail.com designates 64.233.182.193 as permitted sender)

Referencia : Wikipedia Sender Policy Framework (SPF)

¿Como funciona?

  1. El emisor o sender envía el correo.
  2. El mensaje llega al servidor de correo entrante del destinatario o receiver, el cual llama a su Sender ID Framework (SIDF).
  3. El SIDF consulta el registro SPF del dominio que el emisor esta utilizando para enviar el correo y determina si pasa o no pasa.
  4. Al final si el correo no es devuelto se le pasa a los filtros de reputación para que lo clasifiquen como le corresponda.
  5. Se entrega el correo al destinatario..

Parametros de un registro SPF

Un registro SPF es una línea de texto sin formato que incluye una serie de etiquetas y valores. Las etiquetas se denominan mecanismos. Los valores suelen ser direcciones IP y nombres de dominio.

El registro SPF se añade al proveedor del dominio en forma de registro TXT de DNS.

Los registros SPF pueden tener hasta 255 caracteres. En cuanto al tamaño, el archivo del registro TXT no debe tener más de 512 bytes.

Un registro SPF está conformado por el número de versión SPF seguido por cadenas de caracteres formados por mecanismos, calificadores y —en algunas ocasiones— modificadores. Los clientes SPF ignoran los registros TXT que no comienzan con la frase

"v=spf1 ..."

v=  Define la versión usada de SPF (versión 1).

Los registros SPF pueden definir cero o más mecanismos. Los mecanismos pueden ser utilizados para describir el conjunto de hosts que se designan como remitentes de correo "autorizados" para su dominio.

Mecanismos de los registros SPF

Crea tu registro SPF con los mecanismos que se indican en la tabla de abajo. Los servidores que reciben correo comprueban si los mensajes concuerdan con los distintos mecanismos en el orden en que aparecen dentro del registro SPF.

Recuerda:

La siguiente lista muestra algunos mecanismos comunes incluidos en un registro SPF:

all | ip4 | ip6 | a | mx | ptr | exists | include

Mecanismos


Mecanismos

Descripción
v

Versión de SPF. Esta etiqueta es obligatoria y tiene que ser la primera del registro. Debe tener este valor:

v=spf1

ip4

Especifica una sola dirección IPv4 o un rango aceptable de direcciones IPv4. Se asume una máscara /32 si no se incluye una longitud de prefijo de red. Ejemplo: 

ip4:192.168.0.1  

ip4:192.0.2.0/24

ip6

El mismo concepto encontrado en ip4, pero —obviamente— con direcciones IPv6 en su lugar. Si no se incluye una longitud de prefijo de red, entonces se asume una máscara /128 (señalando una dirección de host individual).

Ejemplo: v=spf1 ip6:1080::8:800:200C:417A/96 -all.

a

Especifica todas las IPs en el registro A del DNS.

Autoriza a servidores de correo por su nombre de dominio. Por ejemplo:

Ejemplo: v=spf1 a:domain.com -all.

mx

Especifica todos los registros A para cada registro MX del host.

Autoriza a uno o varios servidores de correo por el registro MX del dominio. Por ejemplo:

Ejemplo: v=spf1 mx mx:domain.com -all.

Si no incluyes este mecanismo en tu registro SPF, el valor predeterminado son los registros MX del dominio en el que se usa el registro SPF.

ptr Especifica todos los registros A para cada registro PTR del host. Ejemplo: "v=spf1 ptr:domain.com -all.
exists Especifica uno o más dominios generalmente señalados como excepciones a las definiciones SPF. Se realiza una solicitud A en el dominio provisto; si el resultado se encuentra ocurre una coincidencia. Ejemplo: v=spf1 exists:domain.com -all.
include

Especifica otros dominios que son dominios autorizados.

Autoriza a remitentes de correo externos por su dominio. Por ejemplo:

Ejemplo: v=spf1 include:outlook.microsoft.com -all.

all

Indica que todos los mensajes entrantes coinciden. Te recomendamos que siempre incluyas este mecanismo en tu registro SPF.

Tiene que ser el último mecanismo del registro SPF. Todos los mecanismos que haya después de all se ignorarán.

¿Debo usar ~all o -all?

Cuando un registro SPF incluye ~all (calificador de que se supera la autenticación con reservas), los servidores que reciben correo suelen aceptar los mensajes de remitentes que no figuran en el registro SPF, pero los marcan como sospechosos.

Cuando un registro SPF incluye -all (calificador de fallo), puede que los servidores que reciben correo rechacen los mensajes de remitentes que no figuren en el registro SPF. Si tu registro SPF no está bien configurado y usas el calificador de fallo, puede que se marquen como spam más mensajes de tu dominio.

Nota: Para evitar el spoofing de dominios que no envían correo, usa este registro SPF en el dominio: vspf1 ~all

El mecanismo "all"

El mecanismo all va normalmente al final del registro SPF y está precedido con un calificador, por ejemplo:

 

"v=spf1 mx -all" Permite que los hosts MX del dominio envíen correos electrónicos de parte del dominio. Se prohíben todos los otros hosts.
"v=spf1 -all" El dominio no envía correos electrónicos en lo absoluto.
"v=spf1 +all" Esta configuración de SPF es inútil, ya que no limita los hosts que están autorizados a enviar correos electrónicos.

Calificadores de los registros SPF

Un calificador es un prefijo opcional que se puede añadir a cualquier mecanismo de los registros SPF. Los calificadores indican a los servidores que reciben correo si deben considerar que un mensaje está autenticado o no cuando detectan que coincide con el valor de un mecanismo. Por ejemplo:

v=spf1 include:_spf.google.com -all

En este ejemplo, el registro SPF autoriza solo a Google Workspace a enviar correo en nombre de tu dominio. El mecanismo all tiene un calificador de fallo (-), por lo que los mensajes que provengan de otros remitentes no superarán la comprobación de SPF y, en consecuencia, puede que el servidor que los reciba los rechace.

Los mecanismos se comprueban por orden de aparición en el registro SPF. Si un mecanismo no tiene calificador y un mensaje coincide, de forma predeterminada el mensaje supera la autenticación. Si un mensaje no coincide con ningún mecanismo, de forma predeterminada se considera que el mensaje no supera ni falla la autenticación.

Si quieres, puedes incluir los siguientes calificadores para indicar a los servidores que reciben correo qué hacer con los mensajes que coincidan con alguno de los mecanismos de tu registro SPF.

Los mecanismos pueden ser precedidos con alguno (solo uno) de los cuatro calificadores:


Calificador

Descripción
+

Se supera la autenticación. Se autoriza a los servidores cuya dirección IP coincida a enviar correo en nombre del dominio. Se autentican los mensajes. Es lo que ocurre de forma predeterminada cuando los mecanismos no incluyen ningún calificador.

Aprobado ("pass"): la dirección aprobó la prueba y se acepta el mensaje.

Ejemplo: v=spf1 +all.

-

No se supera la autenticación. No se autoriza a los servidores cuya dirección IP coincida a enviar correo en nombre del dominio. El registro SPF no incluye la dirección IP ni el dominio del servidor remitente, por lo que los mensajes no superan la autenticación.

Fallo severo (hard fail): la dirección fallo la prueba; se hace rebotar cualquier correo electrónico que no cumpla las condiciones.

Ejemplo: v=spf1 -all.

~

Se supera la autenticación con reservas. Es poco probable que los dominios cuya dirección IP coincida estén autorizados a enviar correo en nombre del dominio. El servidor que recibe correo suele aceptar estos mensajes, pero los marca como sospechosos.

Fallo simple (soft fail): la dirección falló la prueba, pero el resultado no es definitivo; se acepta y se etiqueta cualquier mensaje que no cumpla las condiciones.

Ejemplo: v=spf1 ~all.

?

Neutral. Ni se supera ni se falla la autenticación. El registro SPF no indica de forma explícita si la dirección IP está autorizada a enviar correo en nombre del dominio. Los registros SPF con resultados neutrales suelen incluir ?all

Neutro (neutral): la dirección no pasó la prueba o la falló; hacer cualquier cosa (probablemente se aceptará el correo).

Ejemplo: v=spf1 ?all.

 

Nota : Si no se incluye un calificador, el calificador  +  estará implícito.

Fuente:

Cómo usar el registro SPF para evitar el spoofing y mejorar la fiabilidad del correo electrónico

Google Workspace Definir el registro SPF: configuración avanzada

¿Qué significa SPF Include?

En la sintaxis de su registro SPF, el mecanismo "include" nos sirve para incluir cuales son los servidores de correos que tengo autorizados para enviar correos a nombre mio.

¿Cómo funciona el FPS include?

El mecanismo de inclusión SPF permite al propietario de un dominio delegar la responsabilidad de enviar correos electrónicos a otro dominio. Suele utilizarse cuando el propietario de un dominio desea autorizar a un servicio o proveedor externo a enviar correos electrónicos en su nombre.

Así es como funciona el mecanismo de inclusión SPF:

  • El propietario del dominio publica un registro SPF
  • El mecanismo de inclusión en el registro SPF especifica otro dominio o dirección IP que está autorizado a enviar correos electrónicos en su nombre.
  • Durante el proceso de búsqueda, el registro SPF se recupera del DNS del dominio del remitente.
  • El servidor de correo electrónico receptor evalúa el registro SPF para determinar si el servidor remitente está autorizado a enviar correos electrónicos para ese dominio. Si el registro SPF incluye un mecanismo de "inclusión", el servidor receptor procede a comprobar también el registro SPF del dominio incluido.
  • El servidor receptor realiza una búsqueda recursiva consultando al DNS el registro SPF del dominio incluido. Este proceso continúa si hay varias capas de mecanismos de inclusión.

SPF include Ejemplo: 

Por ejemploSi tiene "include:_spf.google.com" en su registro SPF, y se envían correos electrónicos desde una dirección IP de Google, se considerará un remitente de correo electrónico autorizado porque la IP de origen se encuentra dentro del mecanismo "include" del registro SPF de ese dominio. Como resultado, el correo electrónico pasará correctamente por el servidor antes de llegar a su destinatario.

Para autorizar a google como fuente de envío verificada, esta debe ser la sintaxis de su registro SPF: 

v=spf1 include:_spf.google.com ~all

¿Por qué no se recomiendan los FPS de inclusión múltiple?

Múltiples registros SPF confunden al servidor destinatario con respecto a qué registro TXT debe tener en cuenta durante una búsqueda, y demasiados spf incluyen la adición de múltiples búsquedas DNS que superarán rápidamente el límite de búsqueda de 10.

Los registros SPF son registros de tipo TXT que comienzan con la cadena v=spf1. Indican a los servidores de correo electrónico qué reglas deben seguir para determinar si un determinado correo electrónico es o no spam. Las reglas incluyen:

  • Un servidor de correo receptor debe verificar que el dominio remitente es un destinatario autorizado de ese mensaje. Si se cumple esta regla, aceptará el mensaje y lo entregará al usuario.

  • Un servidor de correo receptor debe verificar que la dirección IP del dominio remitente coincide con una dirección IP autorizada para ese dominio y que la dirección IP pertenece a un remitente autorizado. Si se cumplen estas condiciones, el mensaje se entregará al usuario.

Por lo tanto, si tiene dos entradas de registro TXT SPF separadas en su servidor, sus correos electrónicos fallarán la autenticación SPF y devolverán un PermError. Esto se debe a que un servidor de correo receptor no sabrá qué regla debe seguir, simplemente ignorará ambos registros TXT.

¿Cómo incluir varios dominios, hosts o direcciones IP en el registro SPF?

Si desea incluir más de un registro SPF, puede tener problemas con la entrega del correo electrónico (por ejemplo correos electrónicos rechazados como spam). La solución consiste en eliminar los registros SPF infractores y fusionar los dominios o entradas de host en un único registro o línea mediante SPF include.

Considere el ejemplo del registro SPF con numerosos hosts y direcciones ip4 utilizado por uno de los famosos fabricantes de tecnología de electrónica de consumo del mundo, Lenovo.com.

Al realizar la Búsqueda de registros SPF para Lenovo.com, encontramos que ha fusionado 4 dominios:

  1. spf.messagelabs.com
  2. Bloques de red.eloqua.com
  3. spf.protection.outlook.com
  4. spf.pfpool.lenovo.com

y 5 direcciones IP4:

  1. 72.32.45.225
  2. 40.65.201.146
  3. 138.108.60.125
  4. 138.108.24.107
  5. 52.247.21.11

en un solo registro como este:

v=spf1 include:spf.messagelabs.com include:_netblocks.eloqua.com 
include:spf.protection.outlook.com include:spf.pfpool.lenovo.com 
ip4:72.32.45.225 ip4:40.65.201.146 
ip4:138.108.60.125 ip4:138.108.24.107 
ip4:52.247.21.11 ~all

Entender la semántica del registro SPF

Considerando el ejemplo anterior, hemos aprendido que la siguiente regla se aplica cuando se fusionan numerosos hosts o direcciones IP4 en un único registro SPF.

Un registro SPF debe tener 3 secciones para ser considerado válido: la declaración (inicio), el mecanismo de inclusión para los dominios y la etiqueta IP4 para las direcciones IP (centro), y una regla de aplicación (fin).

➜ Declaración: El registro debe comenzar con v=spf1 (no vuelva a utilizar esta cadena en la regla)

➜ Dominios permitidos: Añadir un include: para cada dominio (hay que utilizar el mecanismo SPF Include como include: con cada dominio, se añade en el registro SPF)

➜ IPs permitidas: Añadir una IP4 para cada dirección IP (tiene que utilizar la etiqueta IP4 antes de cada dirección IP que añada al registro SPF)

➜ Norma de aplicación: Terminar el registro con una ~todos (utilice esta cadena al final y sólo una vez)

Una nota importante sobre el FPS incluye

Es importante incorporar el mecanismo "include" en su registro SPF porque le permite incluir otros dominios y hosts en su registro SPF, lo que puede ser útil para verificar la autenticidad de sus mensajes.

Sin embargo, la siguiente regla se aplica al uso del número de búsquedas por registro SPF (como se menciona en la sección 10.1 del RFC 4408):

"Las implementaciones SPF DEBEN limitar el número de mecanismos y modificadores a un máximo de 10 por comprobación SPF, incluyendo cualquier búsqueda causada por el uso del mecanismo "include" o el modificador "redirect"."

Si su implementación de SPF no limita el número de mecanismos y modificadores, dormirá en las comprobaciones de hosts inalcanzables. Como estos hosts nunca se incluirán en sus comprobaciones, nunca recibirán correo de los clientes. Esto puede causar serios problemas con la entrega de correo.

SPF  diferencia entre el mecanismo  "incluye"  y el mecanismo "a"

El mecanismo "include" de SPF se utiliza para incluir registros SPF de otro dominio dentro del registro SPF del dominio actual, mientras que el mecanismo "a" de SPF se utiliza para especificar direcciones IP o nombres de host individuales (registros A) que están autorizados a enviar correos electrónicos para el dominio.

 

Referencia: ¿Qué significa SPF Include?

Ejemplos SPF

Esto está copiado del DNS de mi empresa, que tiene dominio propio alojado por gmail, por eso los remitentes admitidos son _spf.google.com, que son todas las IP de Gmail y la IP de mi empresa, que en el foro he sustituido por un valor imposible por seguridad. Lo último, el "-all", significa que se rechace por spam cualquier correo que llegue desde otro origen que no sea gmail o mi empresa.

"v=spf1 include:_spf.google.com ip4:888.777.999.111 -all"

Cuando vayas a probar recuerda que los cambios en los DNS tienen unos tiempos de propagación bastante altos, en el caso extremo son 48 horas, por lo que cambiar y probar inmediatamente suele ser engañoso. Recuerda también que con los SPF le PIDES al servidor de destino que rechace o acepte correos, pero no le OBLIGAS, ya que el servidor desstino hará lo que su administrador haya configurado.

Para ver si el spf está funcionando, más que mirar si el correo llega a spam o no, deberías ver las cabeceras del mensaje entrante (desde gmail se puede, desde thunderbird es una opción del menú). En la cabecera buscas "spf" y si va seguido de "pass" significa que el servidor receptor da el correo por bueno. Si va seguido de "failed" signifoca que el servidor destino considera el correo como originado en un sitio indebido, lo haya llevado a spam o no.

Ejemplo registro SPF

  

v=spf1 include:relay.mailchannels.net include:_spf.google.com ip4:75.102.22.54 ~all	

Referencia:

Ayuda con Emails enviados a cuentas GMAIL

Comprobar si tiene configurado el protocolo o registro SPF con las siguientes herramientas:

Mail-tester

→ Comprueba tus llaves SPF y DKIM con Mail-tester

whatsmydns.net

Alternativamente, puedes usar un servicio como whatsmydns.net para comprobar si tu dominio tiene registros SPF TXT. Para ello, introduce el nombre de tu dominio, selecciona la opción TXT y haz clic en Buscar para obtener una lista de registros TXT para tu dominio.

MxToolbox

→ Ir a la Página oficial   https://mxtoolbox.com/spf.aspx

PROOFPOINT

→ Ir a la Página oficial  https://stopemailfraud.proofpoint.com/spf/

 Ir a la seccion SPF Check

kitterman

→ Ir a la Página oficial  http://www.kitterman.com/spf/validate.html

Para comprobar si está creado correctamente introduce el nombre de tu dominio en la casilla Domain name: y pulsa en Get SPF Record (if any).

kitterman.com

Resultado: 

EASYDMARC

Comprobador de registros SPF de EASYDMARC

Comprobar si tiene configurado el protocolo o registro SPF en nuestro   cPanel

Tambien lo puedes verificar entrando en tu cPanel

→ Ir a Correo Electronico

→ Ir a Email Deliverability 

 

  Nota: Aqui esta el boton reparar pero generalmente no lo hace preferible es  generarlo con  spfwizard  y despues  lo ingresas en tu DNS de tu dominio como tipo TXT

Comprobador de registros SPF  antes de Ingresarlo en nuestro dominio

→  Verifica y valida el registro SPF de tu dominio de EasyDmarc

Implementar un registro SPF

Si tenemos Acceso a WHM

Si eres reseller puedes acceder a tu WHM en la parte:

Crear una cuenta nueva  (lado izquierdo).

Configuración DNS  (lado derecho).

→  Habilitar SPF en esta cuenta  (lado derecho).

por ejemplo para nuestros clientes es:  v=spf1 +a +mx include:relay.mailchannels.net ~all

Generadores de un protocolo o registro SPF

SPF Wizard 

→ Ir a la Página oficial SPF Wizard   

Nota: 

    1. Your Domain : Poner su dominio.  
    2. Direcciones IP en formato CIDR: Es la IP de tu hosting consulte con su proveedor de hosting

EasyDMARC

El generador de registros SPF de EasyDMARC es un servicio en línea gratuito que le permite generar rápida y fácilmente un registro SPF válido. Con sólo unos sencillos pasos, puede crear un registro SPF personalizado que protegerá la infraestructura de su dominio contra la suplantación de identidad.

Generador de registros SPF de EasyDMARC

Implementar  un registro SPF a tu servidor de correo desde cPanel

  1. Copias lo generado en SPF Wizard  en mi caso es el siguiente: 

    unidadvirtual.com.  IN TXT "v=spf1 mx a ip4:208.91.198.102 -all"


  2. Luego te diriges a tu cPanel
    1. Ir a Dominio
    2. Ir a Zone Editor DNS
      lo ingresas en tu DNS de tu dominio como tipo TXT 

¿Cómo se tratan los subdominios?

Es importante tener en cuenta que necesita crear un registro independiente para cada subdominio, ya que los subdominios no heredan el registro SPF de su dominio de nivel superior.

Se necesita un registro de SPF (*.) comodín para todos los dominios y subdominios para evitar que los atacantes envíen mensajes de correo electrónico desde subdominios inexistentes. Por ejemplo:

*.subdomain.dominioprincipal.com. IN TXT "v=spf1 -all"

Tambien podemos implementar un registro SPF con el servicio MailChannels

Nota : Se recomienda implementar un registro SPF con el servicio MailChannels

 → Documentación Oficial Añadir MailChannels a Tu Registro SPF TXT

Tambien podemos implementar un registro spf con el servico MailChannels.

Antes de retransmitir mensajes a través del filtro de salida de MailChannels, la autenticación SMTP debe configurarse para permitir que una IP propiedad de MailChannels entregue mensajes en nombre de sus dominios.

Se deben configurar registros precisos del marco de política del remitente (SPF) en la configuración de su zona DNS para garantizar que los receptores de Internet identifiquen y reciban correctamente sus mensajes de correo electrónico.

Registro(s) DNS TXT

Los siguientes registros son necesarios para que SPF funcione correctamente. Reemplace example.com con su propio nombre de dominio:

 

Ubicación Tipo Valor
ejemplo.com TXT    v=spf1 a mx include:relay.mailchannels.net ~all

 

Si ya tiene un registro SPF, simplemente agregue include:relay.mailchannels.net a esta entrada. Asegúrese de agregarlo ANTES del mecanismo "all", ya que "all" siempre coincide y, por lo general, va al final del registro SPF.

Devemos ingresar estos valores dese tu cPanel  →  seccion Dominios →  Zone Editor

Ejemplo cPanel -Dominios-Zone Editor

Ejemplo

v=spf1  ip4:75.102.22.59 include:relay.mailchannels.net  include:_spf.google.com +all

 

Nuestros SPF Predeterminados en unidadvirtual

v=spf1 +a +mx include:relay.mailchannels.net ~all

Nuestros MX Predetermiandos en unidadvirtual

Nombre TTL Tipo Registrar
zilingenieria.pe. 14400 MX Prioridad: 0
Destino: zilingenieria.pe

Nuestros CNAME Predetermiandos en unidadvirtual

Nombre TTL Tipo Registrar
mail.zilingenieria.pe. 14400 CNAME zilingenieria.pe

 

Verificamos el estado de servidor de correos de nuestro dominio 

Por ultimo verificamos el estado de servidor de correos de nuestro dominio  (con la herramienta Mail Tester,etc ) 

→  Ir al tutorial Cómo evitar que mi correo electrónico sea etiquetado como SPAM  

Pasos siguientes: DKIM y DMARC

SPF está diseñado para ayudar a evitar la suplantación de identidad, pero existen técnicas de suplantación de identidad contra las que SPF no puede protegerlo. Para defenderse de estos, una vez que haya configurado SPF, debe configurar DKIM y DMARC.

El objetivo de la autenticación de correo electrónico DKIM es demostrar que el contenido del correo no ha sido manipulado.

El objetivo de la autenticación de correo electrónico DMARC es asegurarse de que la información de SPF y DKIM coincida con la dirección De.

Referencia

Medidas anti-spam I, SPF: Que es, como funciona y como implementarlo

 

Articulo : 2981 - Veces Leidas
Compartir Articulo: