DNS
      Volver al inicio
      1. Centro de ayuda
      2. Documentación Google
      3. DNS

      ¿Por qué falla la autenticación SPF?

      ¿Por qué falla la autenticación SPF? ¿Cómo solucionar el fallo de SPF?

      ¿Ha visto alguna vez que un correo electrónico falle el SPF? Si lo has hecho, te voy a decir exactamente por qué falla la autenticación SPF. Sender Policy Framework, o SPF, es uno de los estándares de verificación de correo electrónico que todos hemos utilizado durante años para detener el spam. Incluso si no eres consciente de ello, apuesto a que si comprobara la configuración de tu cuenta de inicio de sesión en Facebook, probablemente mostraría que has optado por el "correo electrónico sólo de amigos". Eso es efectivamente lo mismo que el SPF.

      ¿Qué es la autenticación SPF?

      SPF es un protocolo de autenticación de correo electrónico que se utiliza para verificar que el remitente del correo electrónico coincide con su nombre de dominio en el campo De: del mensaje. El MTA remitente utilizará el DNS para consultar una lista preconfigurada de servidores SPF para comprobar si la IP remitente está autorizada a enviar correo electrónico para ese dominio. Puede haber incoherencias en la configuración de los registros SPF, lo que es fundamental para entender por qué los correos electrónicos pueden fallar en la verificación SPF, y qué papel puede desempeñar usted para garantizar que no se produzcan problemas en sus propios esfuerzos de marketing por correo electrónico.

      Por qué falla la autenticación SPF : Ninguno, Neutral, Hardfail, Softfail, TempError y PermError

      Los fallos de autentificación SPF pueden ocurrir por las siguientes razones:

      • El MTA receptor no encuentra un registro SPF publicado en su DNS
      • Tiene varios registros SPF publicados en su DNS para el mismo dominio
      • Sus ISP han cambiado o añadido a sus direcciones IP que no han sido actualizadas en su registro SPF
      • Si supera el límite de 10 búsquedas de DNS para SPF
      • Si supera el límite de búsqueda de vacíos permitido de 2
      • La longitud de su registro SPF aplanado supera el límite de 255 caracteres SPF

      Los casos anteriores son varios de los motivos por los que falla la autenticación SPF. Puede supervisar sus dominios con un analizador DMARC para obtener informes sobre los fallos de autenticación SPF. Cuando tiene activados los informes DMARC, el MTA receptor devuelve cualquiera de los siguientes resultados de fallo de autenticación SPF para el correo electrónico, dependiendo del motivo por el que su correo electrónico falló SPF. Vamos a conocerlos mejor:

      Tipos de calificadores de fallo SPF

      Los siguientes son tipos de calificadores de fallo SPF, cada uno de los cuales se añade como prefijo antes del mecanismo de fallo SPF:

      "+" "Aprobado"
      "-" "Fallo"
      "~" "Softfail"
      "?" "Neutral"

      ¿Qué importancia tienen? Bueno, en una situación en la que su correo electrónico falle el SPF, puede elegir el grado de rigor con el que desea que los receptores lo manejen. Puede especificar un calificador para "pasar" los mensajes que fallan la comprobación (entregarlos), "Fallar" la entrega, o tomar un punto de vista "Neutral" (no hacer nada).

      Caso 1: Se devuelve el resultado SPF None

      En el primer caso, si el servidor de correo electrónico receptor realiza una búsqueda de DNS y no puede encontrar el nombre de dominio en el DNS, se devuelve un resultado de ninguno. También se devuelve ninguno en caso de que no se encuentre ningún registro SPF en el DNS del remitente, lo que implica que el remitente no tiene configurada la autenticación SPF para este dominio. En este caso la autenticación SPF para sus correos electrónicos falla.

      Genere ahora su registro SPF sin errores

      Ejemplos de como generar un correcto SPF

      Caso 2: Se devuelve el resultado neutro del FPS

      Al configurar el SPF para su dominio, si ha puesto un mecanismo ?all a su registro SPF, esto significa que, independientemente de lo que concluyan las comprobaciones de autenticación SPF para sus correos electrónicos salientes, el MTA receptor devuelve un resultado neutral. Esto sucede porque cuando tiene su SPF en modo neutral, no está especificando las direcciones IP que están autorizadas a enviar correos electrónicos en su nombre y permitiendo que las direcciones IP no autorizadas también los envíen.

      Caso 3: Resultado del SPF Softfail

      Al igual que el SPF neutro, el SPF softfail se identifica por el mecanismo ~all, que implica que el MTA receptor aceptaría el correo y lo entregaría en la bandeja de entrada del destinatario, pero se marcaría como spam, en caso de que la dirección IP no figure en el registro SPF que se encuentra en el DNS, lo que puede ser una razón por la que la autenticación SPF falle para su correo electrónico. A continuación se muestra un ejemplo de SPF softfail:

       v=spf1 include:spf.google.com ~all

      Caso 4: Resultado del SPF Hardfail

      SPF hardfail, también conocido como SPF fail es cuando los MTAs receptores descartan los correos electrónicos originados por cualquier fuente de envío que no esté listada en su registro SPF. Le recomendamos que configure el hardfail SPF en su registro SPF, si desea obtener protección contra la suplantación de dominio y el spoofing de correo electrónico. A continuación se muestra un ejemplo de SPF hardfail:

      v=spf1 include:spf.google.com -all

      Caso 5: SPF TempError (Error temporal del SPF)

      Una de las razones muy comunes y a menudo inofensivas por las que falla la autenticación SPF es el SPF TempError (error temporal) que se produce debido a un error de DNS, como un tiempo de espera de DNS, mientras el MTA receptor realiza una comprobación de autenticación SPF. Por lo tanto, como su nombre indica, suele ser un error provisional que devuelve un código de estado 4xx que puede causar un fallo temporal de SPF, pero que da un resultado de aprobación de SPF cuando se vuelve a intentar más tarde.

      Caso 6: SPF PermError (error permanente del SPF)

      Otro resultado común al que se enfrentan los errores de dominio es el SPF PermError. Por ello, la autenticación SPF falla en la mayoría de los casos. Esto ocurre cuando su registro SPF es invalidado por el MTA receptor. Hay muchas razones por las que el SPF puede romperse y ser invalidado por el MTA al realizar las búsquedas de DNS:

      • Superar el límite de 10 búsquedas de SPF
      • Sintaxis incorrecta del registro SPF
      • Más de un registro SPF para el mismo dominio
      • Exceder el límite de longitud del registro SPF de 255 caracteres
      • Si su registro SPF no está actualizado con los cambios realizados por sus ESPs

      Nota: Cuando un MTA realiza una comprobación SPF en un correo electrónico, consulta el DNS o realiza una búsqueda de DNS para comprobar la autenticidad del origen del correo electrónico. Idealmente, en el SPF se permite un máximo de 10 búsquedas de DNS, si se sobrepasa, el SPF fallará y devolverá un resultado PermError.