Analizador de Registros SPF

SPF (Sender Policy Framework, RFC 7208) es un sistema de autenticación de correo electrónico basado en DNS. Publica un registro TXT en su dominio listando qué direcciones IP o nombres de host están autorizados para enviar correo desde su dominio. Cuando un servidor de correo receptor recibe un correo de su dominio, comprueba su registro SPF para verificar que el remitente está autorizado. Si la IP no está listada y su SPF termina con -all (hardfail), el correo se rechaza. SPF trabaja con DKIM y DMARC para formar una pila completa de autenticación de correo electrónico.

El RFC 7208 especifica que la evaluación de SPF no debe superar las 10 búsquedas DNS. Cada mecanismo include, a, mx, ptr y exists cuenta como una búsqueda. Los includes que incorpora pueden contener a su vez más includes, sumando al recuento. Si una búsqueda genera más de 10 consultas DNS en total, el resultado es PermError (fallo permanente), lo que puede causar que el correo sea rechazado o no autenticado. Use herramientas de aplanamiento de SPF para convertir cadenas de include en listas directas de ip4.

-all (hardfail): los correos de remitentes no autorizados deben rechazarse. Es la configuración más estricta y la que se desea para dominios que nunca envían correo desde fuentes desconocidas. ~all (softfail): los remitentes no autorizados se marcan (normalmente se mueven a spam) pero no se rechazan. Es más permisivo y es el valor predeterminado seguro al implementar SPF por primera vez. ?all (neutral): sin política declarada. +all: permite explícitamente todos los remitentes: esencialmente deshabilita la protección SPF. Recomendación: comience con ~all, supervise los informes DMARC durante unas semanas, luego cambie a -all.

Soluciones: (1) Aplanamiento de SPF: reemplace los mecanismos include: con los rangos de ip4 reales a los que se resuelven. Servicios como MXToolbox o AutoSPF pueden automatizar esto. (2) Consolide los ESPs: si envía desde múltiples servicios, compruebe si todos necesitan su propio include de SPF. (3) Elimine los includes no usados: si dejó de usar un ESP, elimine su include. (4) Use una macro SPF en lugar de include para los servicios que lo admiten. Nota: los registros SPF aplanados se rompen si el ESP cambia sus rangos de IP.

SPF solo tiene una limitación crítica: solo comprueba el remitente del sobre (MAIL FROM), no la cabecera From: que los usuarios ven. Los atacantes pueden enviar correo con un remitente de sobre legítimo pero una cabecera From: falsificada. SPF + DKIM + DMARC juntos cierran esta brecha: DMARC requiere «alineación» entre el dominio SPF/DKIM y la cabecera From: visible, garantizando que lo que ve el usuario coincide con lo que fue autenticado.