Configuración del registro SPF

Asegurar la entrega de correo y evitar el Spoofing (SPF)

En el siguiente articulo describiremos como realizar la configuración de registro SPF en su dominio.

1. Requisitos antes de configurar el registro.

1.1. Tener acceso al administrador DNS de su dominio, si cuenta con un proveedor, consulte con este para la creación de registros TXT.

1.2. Validar si existe un registro SPF en el administrador de dominio, en caso de existir, se debe eliminar para crear el nuevo registro.

2. Configuraciones en Google Workspace

Las siguientes configuraciones se deben realizar para completar el proceso de registro en Google Workspace.

2.1 Desde el administrador DNS, añadimos un nuevo registro de tipo TXT

2.2 El nombre del host “@”, se deja en blanco o se especifica el nombre del dominio, según su administrador de DNS.

2.3 En el contenido del TXT si todo el correo de la organización se envía por medio de Google Workspace escribir:  v=spf1 include:_spf.google.com ~all

3. Configuración de servidores de correo adicionales

Si se utilizan otros servidores de correo, es importante configurar el registro SPF para estos, así:

3.1. Información del servidor: Identifica todos los dominios y sus respectivas direcciones IP que controlan su organización, incluidos los que no envían correos electrónicos.


3.2. Formato de registro TXT: En la siguiente tabla encontrará los valores y definiciones para crear el registro TXT correspondiente:

Mecanismo

Descripción y valores permitidos

v

Versión SPF. Debe ser spf1. Esta etiqueta es obligatoria y debe aparecer en primer lugar en el registro.

ip4

Especifica un servidor de correo o varios por cada dirección o intervalo de direcciones IPv4. El valor debe ser una dirección IPv4 en formato estándar; por ejemplo:

ip4:192.168.0.1

ip6

Especifica un servidor de correo o varios por cada dirección o intervalo de direcciones IPv6. El valor debe ser una dirección IPv6 en formato estándar; por ejemplo:

ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF

a

Especifica un servidor de correo por nombre de dominio, por ejemplo:

a:solarmora.com

mx

Especifica uno o varios servidores de correo haciendo referencia a un registro MX de dominio. Por ejemplo:

mx:mail.ejemplo.com

Es opcional especificar un dominio con este mecanismo. Si no especifica ninguno, el predeterminado son los registros MX del dominio en el que se usa el registro SPF.

include

Especifica los servidores de correo de un dominio diferente al suyo; por ejemplo:

include:sparkpostmail.com

Use este mecanismo para permitir remitentes externos de correo.

all

Si se utiliza, debe ser la última etiqueta del registro. Las comprobaciones de SPF ignoran los mecanismos incluidos después de all. Recomendamos que utilice este mecanismo con un calificador de superar con reserva: ~all

 

3.3 Calificadores del registro TXT: Las etiquetas opcionales llamadas calificadores definen qué acción se llevará a cabo cuando se detecte una coincidencia con un mecanismo del registro TXT para SPF.  Los mecanismos se comprueban por orden de aparición en el registro TXT. Si no utiliza calificadores, el SPF se aprobará de forma predeterminada. La acción predeterminada es Neutral cuando no existe ningún mecanismo.

Calificador

Descripción

+

Superar. El servidor con una dirección IP o un dominio coincidente puede enviar mensajes desde el dominio. Si no se usa ningún calificador, este es el valor predeterminado.

-

No superar. El servidor con la dirección IP o el dominio coincidente no puede enviar mensajes desde el dominio. El registro SPF no incluye la dirección IP ni el dominio del servidor de envío.

~

Superar con reservas. Es posible que el servidor con la dirección IP o el dominio coincidente pueda enviar mensajes desde el dominio. Por lo general, el servidor que recibe los mensajes los acepta y los marca como sospechosos.

?

Neutral. El registro SPF no indica de forma explícita si la dirección IP o el dominio pueden enviar mensajes desde el dominio. Los registros SPF con este resultado suelen incluir: ?all.

Ejemplo de servidores Adicionales

1. v=spf1 ip4:192.168.0.1/16 -all

Este registro TXT autoriza a cualquier dirección IP entre 192.168.0.1 y 192.168.255.255 a enviar correo electrónico de su dominio.

2. v=spf1 -all

Este registro TXT evita el spoofing en sus dominios que no envían correo.

3. v=spf1 ip4:192.168.0.1/16 include:_spf.google.com include:sparkpostmail.com ~all

Este registro TXT para SPF autoriza la autenticación de Google Workspace, las direcciones IP especificadas y el servicio de terceros Spark Post para enviar correo a su dominio.