Crear cuenta Mailrelay Crear cuenta Mailrelay Crear cuenta Mailrelay

El protocolo SPF, un aliado para luchar contra el spam

Publicado por Mailrelay en enero 23, 2012

Cómo crear un registro SPF para Mailrelay

IMPORTANTE: estableceremos el registro SPF dentro de un registro TXT, y “no” como registro SPF de tipo DNS, ya que esto ya no es soportado.

Si no dispones de registros SPF para tu dominio y vas a utilizar Mailrelay, vamos a mostrar cómo debes crearlos para tu dominio. Supongamos que el dominio que desea enviar emails desde Mailrelay es tudominio.com y no tiene registros SPF. Entonces los registros SPF válidos para usar Mailrelay serían:

v=spf1 include:tudominio.ip-zone.com a mx -all

v=spf2.0/pra include:tudominio.ip-zone.com a mx -all

(debes añadir los dos, sin .com, .es o cualquier otra extensión de tu dominio)

Pero si tudominio.com ya tiene un registro SPF creado, tan solo deberías de añadir include:tudominio.ip-zone.com en su actual registro SPF. Supongamos que su actual registro SPF es:

v=spf1 ip4:216.87.93.72/31 a mx -all

v=spf2.0/pra ip4:216.87.93.72/31 a mx -all

El adaptado a Mailrelay será:

v=spf1 include:tudominio.ip-zone.com ip4:216.87.93.72/31 a mx -all

v=spf2.0/pra include:tudominio.ip-zone.com ip4:216.87.93.72/31 a mx -all

(sin .com, .es o cualquier otra extensión de tu dominio)

***Esto es solo un ejemplo, no utilices esta configuración en tu dominio. Si tienes dudas, contacta con nosotros.

Si no tienes registro SPF2 añadelo.

IMPORTANTE: No elimines ni añadas ningún otro parámetro si tienes tu registro creado, a menos que estés seguro de lo que estás haciendo.

El registro debe añadirlo en su gestor DNS como un registro TXT y si dispone de uno específico SPF también en este.

¿Qué es el protocolo SPF?

El protocolo SPF (Sender Policy Framework) es quizá uno de los más utilizados en la lucha contra el spam o correo basura. El SPF es un registro DNS del dominio de origen y su comprobación, así como qué hacer al respecto, se determina por el servidor de correo de destino. Al igual que SMTP y HTTP, se trata de un protocolo abierto.

Básicamente, el servidor de correo que recibe el email compara el dominio de la dirección de correo electrónico del mensaje con la lista de los equipos que están autorizados para enviar mensajes desde dicho dominio y en base al SPF toma las decisiones pertinentes para dejar pasar el correo o bloquearlo, o dejarlo pasar bajo ciertas condiciones.

La activación del protocolo SPF no es complicada, simplemente hay que acceder al servidor de DNS y allí indicar que se desea hacer uso de él, así como definir una serie de parámetros modificadores (encargados de que el servidor de correo actúe de una forma u otra cuando recibe el correo con SPF y lo valida).

Enviar un correo suplantando una identidad, por ejemplo desde Gates@microsoft.com, es posible con unos ciertos conocimientos técnicos, pero va a ser rechazado por los servidores que usen la comprobación SPF.

Para que esta validación sea efectiva, ha de suceder algo lógico: que el servidor que realiza el envío de los mensajes disponga de un registro TXT en su servidor DNS (es decir, el SPF) y que el servidor que recibe el correo sea capaz de comprobarlo.

Contar con un registro SPF creado, es recomendable para conseguir que el envío se realice sin incidencias. Para ello has de ponerte en contacto con tu webmaster, proveedor de hosting o simplemente hablar con el personal técnico de tu empresa. Ellos tienen capacidad para configurar tu registro SPF, que necesitas para que tus envíos con Mailrelay sean más efectivos.

Al mismo tiempo, reducirás el riesgo de que los servidores de correo te clasifiquen como spam y la reputación de tus envíos serán mucho mejores.

Crea o modifica tu registro SPF

No te asustes, disponer de un registro SPF correcto y adaptado a tus necesidades es algo que te permitirá que no suplanten tu identidad y con ello los servidores de correo conocerán que se trata de un correo legítimo y no correrás el riesgo de que tus correos sean considerados spam.

Una aclaración, si haces spam los servidores colocarán la dirección IP que utilizas para realizar el envío de mensajes en las listas negras, la utilización de el SPF es justo para eso: premiar a  los servidores de correo autorizados realmente a enviar los mensajes y poner freno a spamers y los que suplantan la identidad en el envío de correos electrónicos.

No sirve para que los mensajes no deseados se conviertan en mensajes legítimos, pero permite que la puntuación de spam de tus mensajes disminuya.

Comprobar si tienes un registro SPF

Hay muchas formas de comprobar si un servidor de correo envía con SPF, vamos a mostrar varias de ellas. Ello te ayudará a sacar un mayor rendimiento de los envíos de correo que realices.

Desde la consola de Windows

Pulsa el botón de Inicio y en la zona Buscar programas y archivos escribe cmd, después pulsa Enter.

Para hacer una prueba vamos a realizar una llamada al SPF de Google, esto se haría de la siguiente forma:

nslookup pulsa Enter, seguidamente escribe set type=txt (pulsa Enter) y después google.com (pulsa de nuevo la tecla Enter).

Tras ello recibirás una respuesta similar a esta:

google.com text = “v=spf1 include:_netblocks.google.com ip4:216.73.93.70/31 ip4:216.73.93.72/31 ~all”

El protocolo SPF, un aliado para luchar contra el spam
El protocolo SPF, un aliado para luchar contra el spam

Comprobarlo on-line

Si quieres saber si tu registro SPF ha sido creado con éxito, puedes comprobarlo desde diversos sitios web, uno de ellos es el que ofrecen desde kitterman.

http://www.kitterman.com/spf/validate.html.

Para comprobar si está creado correctamente introduce el nombre de tu dominio en la casilla Domain name: y pulsa en Get SPF (if any).

El protocolo SPF, un aliado para luchar contra el spam
El protocolo SPF, un aliado para luchar contra el spam

Tras esto te aparecerá una ventana con el resultado de tu consulta, similar a lo que puedes observar más abajo.

El protocolo SPF, un aliado para luchar contra el spam
El protocolo SPF, un aliado para luchar contra el spam

Conoce tu SPF para Mailrelay

Siguiendo el ejemplo anterior, si Google utilizará nuestro servicio Mailrelay para el envío de sus correos electrónicos, a su actual SPF debería de añadir nuestro rango de direcciones IP para validar el envío de los correos desde ellas, concretamente google.ip-zone.com (dado que a cada cliente le asignamos un rango de la siguiente forma  nombredesucuenta.ip-zone.com).

Quedando de la siguiente forma:

google.com  text = “v=spf1 include:google.ip-zone.com include:_netblocks.google.com ip4:216.73.93.70/31 ip4:216.73.93.72/31 ~all”

Si tu dominio principal fuera,  demo.es, el registro SPF para tu servicio de Mailrelay sería (por ejemplo):

demo.es. 800 IN TXT “v=spf1 include:demo.ip-zone.com ip4:216.87.93.72/31 ~all”

Respuestas a tus dudas sobre SPF

– ¿Es conveniente tener un registro SPF? La respuesta es clara, sí.
– ¿Qué pasa si no lo creo? ¿Funcionará mal mi envío? En principio nada, pero la efectividad de tus envíos disminuirá. Funcionará bien, pero dejarás de entrar correctamente en los servidores donde se compruebe el registro DNS del dominio de origen.
– ¿Qué sucede si tengo un registro SPF incorrecto y no lo cambio? Es preferible no tener un SPF a tenerlo mal configurado. Si un servidor comprueba el registro DNS del dominio de origen de tu SPF y éste referencia únicamente a tu antiguo proveedor, estás desautorizando a tu rango de IPs de forma explicita para el envío de emails (únicamente autorizas a las que indicas en tu SPF).
– ¿Puedo autorizar a distintos proveedores y rangos de IPs al mismo tiempo? Sí, lo importante es que siempre esté el rango de IPs que estés utilizando en ese momento.
– ¿Quién me puede crear el SPF? Creemos firmemente que es algo importante, por eso cuando detectamos que un cliente no dispone de un registro SPF creado le enviamos uno personalizado para ayudarle en el envío de sus emails.
– ¿Cómo lo implemento? Si no tienes conocimientos técnicos, únicamente debes de indicárselo a tu webmaster, proveedor de hosting o personal técnico. Para ellos es una tarea muy habitual.

No superes 10 consultas de DNS

Muchas personas no se percatan de ello, pero la especificación Sender Policy Framework (SPF) tiene un límite en las búsquedas de DNS máximas para resolver por completo un registro SPF, concretamente 10. Lo más habitual es que ese límite se supere mediante un uso imprudente del modificador de inclusión (include). Sección 10.1, Los “Límites de procesamiento” de la RFC SPF especifican lo siguiente en cuanto a búsquedas DNS:

“En las implementaciones de SPF se debe limitar el número de mecanismos y modificadores que hacen búsquedas DNS a un máximo de 10 por SPF, incluyendo cualquier búsqueda causada por el uso del modificador “include” o “redirect”. Si se excede este número durante una comprobación, se debería de devolver un PermError o error permanente.
Colocar “include”, “a”, “mx”, “ptr” y “exist”, así como “redirect” en el SPF cuentan para dicho límite. El “all”, “ip4” e “ip6” no requieren de búsquedas DNS y por lo tanto no cuentan para dicho límite. El modificador “exp” no cuenta para este límite porque la búsqueda DNS necesaria para buscar la cadena de explicación se produce después de que el registro SPF ha sido evaluado.”

Este límite existe para evitar que las búsquedas SPF puedan convertirse en una vía para la realización de ataques de denegación de servicio (DDoS).
En la medida de lo posible se debe evitar el uso de “ptr” en el registro SPF, ya que se traducirá en un mayor número de costosas búsquedas de DNS.

 Los registros SPF específicos (specific SPF)

Importante: los registros SPF puros ya no son soportados, hay que crearlos dentro de registros TXT.

Si deseáramos ser muy puristas en lo que se refiere a los registros SPF habría que puntualizar en lo mostrado, pues en realidad no estamos creando un registro SPF puro, estaríamos creando un registro TXT que en su interior dispone de una sintaxis SPF.
El motivo de esta peculiaridad se debe a que algunos servidores de DNS no son capaces de interpretar correctamente un registro SPF específico.
Cualquier servidor moderno es capaz de interpretar un registro SPF específico, pero el solo hecho de que persista el uso de servidores no capaces de interpretarlos hace que, lo que se podría denominar un “SPF real” o SPF especifico, no acabe de expandirse. Pero también es motivado por el hecho de que los registros SPF (creados dentro de uno de tipo TXT) funcionan de forma correcta y resulta cómodo no cambiar las cosas que ya funcionan bien.
Cuando un servidor actualizado está validando la identidad del mensaje, hace la consulta a ambos registros (primero al SPF específico y seguidamente al TXT). Si se dispone del SPF específico te ahorras la segunda consulta a tu DNS, momento en el que específico el registro TXT. Pero ya que los servidores actuales tienen la capacidad y recursos suficientes como para que se les realicen ambas consultas, su utilización es algo residual.
Quizá dentro de unos años la utilización del SPF específico se generalice, pero de momento la practica más popular es el registro SPF colocado dentro de otro TXT. Si quieres profundizar más en el uso de los SPF específicos, puedes hacerlo desde el documento publicado por la Network Working Group.

Modificadores para SPF:

v=spf1 Número de versión: nunca cambia, pues solo existe una.
a, mx, ptr e include Registros: pueden incluirse varios.
+ y ~ Prefijos: + implica y ~si no se especifica.
exp Modificadores: como máximo puede haber 3 o bien ninguno.
all Afecta a todas las IPs, tanto locales como remotas.
include Hace referencia a los dominios externos autorizados por los emisores.
a Todas las IP del registro DNS A.
mx Todos los registros A de cada registro host MX.
ptr Todos los registros A de los registros host PTR.
ip4 Los dominios que utilizan IPv4.
exists Añade excepciones a dominios.
redirect Utiliza los registros SPF del dominio definido.
+ La dirección ha superado el test (+all).
La dirección ha suspendido el test (-all).
~ La dirección ha suspendido el test pero el resultado no es definitivo. En caso de duda permite que pase correo (~all) pero es probable que entre como spam si el rango no está bien definido.
? El envío llegará de forma neutral da igual el resto de comandos.


 
 

Comentarios

  1. Joaquin Velgaro

    He entrado en el area donde se editan los registros spf y al parecer entre borrar algunos y añadir otros tanto, he llegado a este limite de 10 registros. ¿Ahora como puedo superar este problema? Espero puedan ayudarme, gracias.

    26/04/2016 - 20:13:32 Publicar una respuesta
  2. alfonso

    al validarlo me sale:
    evaluating…
    Results – PermError SPF Permanent Error: Unknown mechanism found: +ipv4:167.114.43.16/29

    y la configuracion es asi:

    The TXT records found for your domain are:
    v=spf1 +a +mx +ip4:158.69.52.78 +ip4:198.50.196.247 +include:8ssi.com +include:hagaloexitosamente.ip-zone.com ~all

    que podra estar saliendo mal?

    17/04/2016 - 18:43:41 Publicar una respuesta

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


Menu Title