Ir al contenido principal

¿Qué son los registros de un Convenio de Remitentes (o registros SPF)? Todo lo que deberías saber sobre los SPF

Un registro SPF permite que los destinatarios de tu correo electrónico puedan verificar si un remitente está autorizado para enviar un correo electrónico en tu nombre.

Emplear un convenio de remitentes (SPF) equivale a apostar un guardián en el vestíbulo de tus eventos. Tú proporcionas una lista de invitados, y el guardián da la bienvenida a los que figuran en la lista mientras los demás esperan a ser aprobados o son rechazados. Por ejemplo, el propietario de una pequeña empresa suele conocer a sus clientes y proveedores por su nombre, y ha visto los logotipos de sus empresas, su personal y otros identificadores. Sin embargo, los intercambios por correo electrónico carecen de esas señales visuales de legitimidad.

Es posible que el vicepresidente de Marketing de una empresa mediana solo conozca de vista a un puñado de clientes y proveedores. Por eso, confía en una recepcionista para filtrar las llamadas y las visitas, y solo habla directamente con aquellos cuyas cuestiones no pueden delegarse en el personal subalterno.

En cambio, el director general o el propietario de una empresa internacional de importación y exportación solo hablará con quien haya concertado una cita con mucha antelación. Además, para conseguir una cita también será necesario que se trate de una cuestión vital para toda la empresa que solo el director general pueda tratar, como un cliente VIP con un contrato complicado.

En cada una de estas situaciones, las empresas deben tener alguna forma de distinguir al auténtico remitente. De lo contrario, tu empresa podría sufrir una importante pérdida de reputación si un spammer, estafador o bot se hiciera pasar por ti y consiguiera acceder a tu lista de clientes o a tu servidor de correo electrónico. Tu marco de política de remitentes proporciona ese factor distintivo.

Obtén más información sobre los SPF, incluyendo las respuestas a preguntas como "¿qué es un registro SPF?" y "¿cómo se crea un registro SPF?" , para que puedas aprovechar esta medida de seguridad en beneficio de tu propia empresa.

¿Qué son los registros de un Convenio de Remitentes (o registros SPF)?

Un registro de un Convenio de remitentes, o SPF, es una línea de código informático que indica a los destinatarios de tu correo electrónico que el mensaje procede de ti, de tu empresa o de un distribuidor de correo electrónico autorizado que trabaja en tu nombre. Un registro SPF proporciona las instrucciones que el destinatario de un mensaje puede utilizar:

  • para identificar al remitente de un mensaje,
  • para verificar que el remitente tiene autoridad para enviar mensajes de correo electrónico de tu empresa,
  • como posible ruta de retorno al origen del mensaje si tienen objeciones a que utilices sus datos

Limitaciones del SPF: lo que el SPF no puede hacer

Ahora que hemos respondido a la pregunta "¿qué es un registro SPF?", debemos hablar de lo que no pueden hacer los registros del marco de directivas del remitente. La autenticación SPF proporciona el mínimo de seguridad para tus campañas de correo electrónico.

Algunas de las limitaciones que debes tener en cuenta son:

  • El SPF no cifra los mensajes.
  • Estos marcos no proporcionan ninguna mejora de privacidad.
  • El reenvío de un correo electrónico rompe el SPF porque el reenviador se convierte en el nuevo remitente.
  • Un SPF no genera informes.
  • El SPF por sí solo no proporciona suficiente protección.

¿Qué necesitas saber sobre los SPF?

El uso de registros de marco de directivas de remitente indica a tu destinatario que tu mensaje no es una suplantación de identidad, spam o intento de estafa. Todas las empresas se enfrentan a retos a la hora de establecer la confianza. Cuando aumentas la confianza mediante este proceso de verificación, disminuyes la resistencia a tus mensajes. El uso de SPF también ayuda a mejorar la ciberseguridad del destinatario.

Estas son algunas cosas importantes a tener en cuenta sobre los SPF:

  1. Un Convenio de remitentes (SPF) es una lista de direcciones IP e instrucciones que los proveedores de servicios de Internet deben seguir al gestionar tu correo electrónico saliente.
  2. Tu SPF proporciona una capa de protección que hace que tus mensajes tengan más probabilidades de llegar al destinatario previsto.
  3. Un registro de correo electrónico SPF no cifra tus mensajes.
  4. Los registros SPF aparecen en las cabeceras completas de tus mensajes.
  5. El dominio SPF que aparece en primer lugar en el mecanismo "include" demuestra que has tomado al menos algunas precauciones mínimas para proteger tus datos personales y empresariales.

Diferencias entre SPF, DMARC y DKIM

El Grupo de Trabajo de Ingeniería de Internet publicó el protocolo SPF actual en la RFC 7208 en abril de 2014. El propósito era crear un consenso para evitar que hackers y phishers enviaran correos electrónicos que supuestamente procedían de una organización conocida y de confianza. Ese consenso se convirtió en spf1, y a partir de ese momento, v=spf1 se convirtió en el formato estándar para la declaración inicial de cada registro SPF. Sin embargo, el reenvío de un mensaje invalida el SPF. En consecuencia, han entrado en juego dos estrategias adicionales: DKIM y DMARC.

¿Qué es DKIM?

DKIM es el acrónimo de DomainKeys Identified Mail. Al igual que SPF, DKIM es un registro TXT en el DNS. Sin embargo, los registros DKIM siguen siendo válidos incluso cuando se reenvían. Las normas DKIM actuales surgieron de los esfuerzos de Yahoo! y Cisco, que habían creado cada uno sus normas de autorización de correo electrónico. Piensa en DKIM como el sello de lacre que se aplicaba antiguamente a los documentos oficiales. Estos sellos de cera eran reconocibles; si un mensaje llegaba sin sello o con un sello roto, no se consideraba digno de confianza.

Cada servidor de correo electrónico emisor tiene un DKIM de dos partes: la clave DKIM privada y una clave pública. Cada servidor receptor accede a la mitad pública de esa clave. El servidor de correo electrónico receptor realiza una búsqueda en el DNS cuando envías tu mensaje de correo electrónico. Si ese servidor de correo electrónico encuentra tu clave DKIM pública, abre la firma DKIM. Si la firma en el mensaje coincide con la firma que has publicado en tu DNS, el servidor de correo electrónico receptor considera que el mensaje es válido. Si no, el mensaje rebota, lo que significa que no llega a la bandeja de entrada del destinatario. En su lugar, es posible que no se entregue, que vaya a la carpeta de spam o a cualquier otra carpeta que el usuario haya configurado para tratar este tipo de mensajes.

El formato correcto de los registros DKIM es el siguiente:

<selector(s=)._domainkey.domain(d=)>.   TXT v=DKIM1; p=\<public key>

Aquí tienes un ejemplo de clave pública DKIM en el formato correcto: 

dk5182-3458._domainkey.mydomainexample.com. IN TXT "v=DKIM1\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC1TaNgLlSyQMNWVLNLvyY/neDgaL2oqQE8T5illKqCgDtFHc8eHVAU+nlcaGmrKmDMw9dbgiGk1ocgZ56NR4ycfUHwQhvQPMUZw0cveel/8EAGoi/UyPmqfcPibytH81NFtTMAxUeM4Op8A6iHkvAMj5qLf4YRNsTkKAV;"

¿Qué hace cada parte de un registro DKIM?

En este ejemplo, dk5182-3458 representa el selector (s=). La (d=) representa el dominio especificado, mydomainexample.com. La versión debe aparecer siempre como "v=DKIM1'' en cada registro DKIM. El mecanismo "p" representa el código público, una cadena de letras, números y símbolos.

¿Qué es DMARC?

DMARC son las siglas de Domain-based Message Authentication, Reporting & Conformance [Conformidad, elaboración de informes y autenticación de mensajes basados en el dominio]. DMARC previene las actividades maliciosas bloqueando los mensajes de los falsificadores antes de que lleguen a tu bandeja de entrada. Los falsificadores se hacen pasar por ti para obtener información que pueden utilizar para el robo de identidad u otros tipos de fraude.

Cuando se utiliza DMARC, se cierra la puerta a estos intentos de intrusión. DMARC utiliza código abierto y gratuito. Sin embargo, tu proveedor de servicios de correo electrónico también debe utilizar la protección DMARC. DMARC proporciona una tercera capa de protección después de SPF y DKIM.

DMARC te permite indicar a tu proveedor de servicios de correo electrónico si debes rechazar o poner en cuarentena los correos electrónicos de fuentes no fiables o desconocidas basándose en la información recibida tras las consultas DKIM y SPF.

Partes del registro SPF

Un registro SPF correctamente formateado es un archivo de texto (TXT) que contiene dos elementos vitales. En primer lugar, el registro debe incluir la versión SPF. En segundo lugar, el resto del registro consiste en los mecanismos necesarios para verificar qué nombres de host y direcciones IP están autorizados a enviar mensajes desde tu dominio.

Un ejemplo de un registro SPF en una declaración de autenticación de correo electrónico podría tener este aspecto:

"v=spf1 a MX include:spf.yourbusinessdomainname.com ~all"

La declaración v=spf1 indica al servidor de correo electrónico receptor que este registro TXT es un registro de marco de política de remitentes. El mecanismo "a" indica a ese servidor que haga coincidir la dirección IP del remitente con la herramienta "a" del dominio "from" antes de permitir que se descargue el mensaje completo. El mecanismo MX hace referencia al servidor de intercambio de correo o "host" que se utiliza para almacenar los mensajes de correo electrónico, como Google Workspace o Microsoft 365 Business Premium. Por último, el mecanismo "include" especifica que el dominio SPF de ejemplo, yourbusinessdomainname.com, tiene derecho a enviar los correos electrónicos de tu empresa.

Aspectos importantes que deberías recordar:

  • La sentencia v=spf1 corresponde a la primera etiqueta y debe aparecer SIEMPRE al principio de tu registro SPF.
  • La sentencia "a" debe coincidir con el registro "from".
  • Tu MX corresponde al servicio de intercambio de correo que utilizas.
  • Todos los dominios autorizados para enviar correos electrónicos de tu empresa deben aparecer en la declaración "include", al igual que los servicios de correo electrónico de terceros, así como Mailchimp, que utilices.
  • Incluye cada dirección IP de la que proceda el correo electrónico de tu empresa en tu mecanismo SPF.

Cómo crear un registro SPF

Para obtener mejores resultados, crea la sintaxis de tu registro SPF como un archivo TXT antes de subirlo, en lugar de crearlo en el panel de control de tu servidor DNS. De esta forma, podrás comprobar si hay errores de formato antes de probarlo.

Sigue estos pasos para crear e implementar tu registro SPF:

  1. En primer lugar, abre el panel de control de tu proveedor de dominio.
  2. Dirígete a los Ajustes.
  3. Crea tu registro SPF como una entrada TXT.
  4. Añádelo a tu configuración DNS.
  5. Prueba los cambios.

Cualquier cambio en tu registro SPF existente puede tardar hasta 48 horas en surtir efecto, así que ten paciencia. A continuación, vuelve a probar los cambios una vez transcurridos esos dos días.

Si, por ejemplo, solo envías correos electrónicos desde Google Workspace, tu registro SPF tendría el siguiente aspecto:

"v=spf1 include:_spf.google.com ~all"

Sin embargo, si tienes otros proveedores de servicios de correo electrónico, siempre necesitarás una sentencia "include:" distinta para cada uno de ellos. Por consiguiente, si también utilizas Mandrill de Mailchimp para enviar mensajes, añade "include:mandrillapp.com" después de la declaración de Google y antes del elemento ~all. Así, tu nuevo SPF tendrá el siguiente aspecto:

"v=spf1 include:_spf.google.com include:mandrillapp.com ~all"

En este caso, deberías sustituir "domainkey.ejemplo.com" por el nombre del dominio de tu empresa.

Protege tu empresa por medio de registros SPF

Personas malintencionadas tales como trabajadores o exempleados descontentos, spammers y estafadores podrían arruinar la reputación de tu empresa enviando correos electrónicos falsos en tu nombre si no tomas medidas para proteger tus comunicaciones. La autenticación SPF ofrece a tus clientes y contactos una forma de verificar que eres realmente el autor de tus mensajes. Si bien no cifra el contenido de los mensajes, el SPF supone la primera línea de defensa contra estas falsificaciones. Para disfrutar de una seguridad total contra los ciberataques por correo electrónico, deberías utilizar también el DKIM (correo electrónico identificado por claves de dominio) y el DMARC (autenticación de mensajes basada en dominios, informes y conformidad).

Si te resulta engorroso crear y añadir registros SPF a tus DNS, puedes confiar en Mailchimp para que configuremos y probemos por ti la autenticación SPF y la autenticación de dominio.

Laptop screen showcasing 'Unlocking Advanced Email Marketing' Checklist

Obtenga la guía de Mailchimp para marketing por correo electrónico avanzado

Haz crecer tu negocio con el conocimiento y las estrategias adecuados para mejorar tus correos electrónicos, captar la atención del público y convertir los clientes potenciales en clientes leales.

Completa el siguiente formulario para recibir el documento de una página

Comparte este artículo