Cómo fusionar SPF : una guía completa paso a paso

Por qué las organizaciones acaban teniendo varios SPF

La mayoría de las empresas no se proponen publicar varios SPF . Estos se van acumulando con el tiempo, a medida que el entorno del remitente crece y cambia.

Cada vez que se añade una nueva plataforma de correo electrónico —un CRM, una herramienta de marketing o un sistema de RR. HH.—, es posible que se publique una nueva SPF como un registro TXT independiente, en lugar de añadirla a la existente. La descentralización de las TI implica que las unidades de negocio publican SPF de forma independiente, sin tener visibilidad de lo que ya existe. El resultado es la existencia de múltiples registros SPF en el mismo dominio.

Las adquisiciones y fusiones agravan el problema. La infraestructura de correo electrónico de la entidad adquirida suele incluir sus propios SPF , que pueden entrar en conflicto con los ya publicados en el dominio de la organización adquirente.

Por qué la presencia de varios SPF impide la autenticación

El RFC 7208 establece que un dominio no debe publicar más de un registro SPF . Cuando existen varios registros, el servidor receptor se confunde. Devuelve un PermError, un error permanente que provoca SPF falle.

Un PermError significa que DMARC utilizar SPF superar la autenticación. DMARC DKIM SPF DKIM y estén alineados; por lo tanto, cuando SPF , DKIM asumir toda la responsabilidad. Si DKIM configurado correctamente, DMARC .

Los registros duplicados son una causa habitual de DMARC que resultan difíciles de diagnosticar, ya que el error no siempre se aprecia claramente en los informes DMARC .

Cómo fusionar SPF correctamente

La forma correcta de fusionar SPF pasa por adoptar un enfoque estructurado. Si se lleva a cabo la consolidación de forma precipitada y sin un inventario completo de remitentes, se corre el riesgo de excluir a remitentes legítimos y provocar fallos en la entrega.

1. Realice un inventario completo de los remitentes. Documente todas las plataformas autorizadas para enviar correos electrónicos en nombre del dominio. Esta será la base de referencia que deberá cubrir el registro fusionado. Incluya plataformas de marketing, CRM, sistemas de RR. HH., herramientas de gestión de incidencias y cualquier aplicación SaaS que envíe correos electrónicos para tu dominio.
2. Enumera todos los mecanismos presentes en SPF existentes. Extraer cada ip4:, ip6:, include:, a, mx, ptr, existsy redirect mecanismo de todos los registros TXT publicados. Identificar duplicados: cualquier mecanismo que aparezca en más de un registro existente solo aparecer solo una vez en el registro fusionado.
3. Elimina los mecanismos obsoletos y redundantes. Cualquier mecanismo que no se corresponda con un remitente activo y autorizado debe eliminarse. Esto reduce el número de consultas DNS y minimiza la superficie de ataque. Comprueba las eliminaciones con tu inventario de remitentes antes de continuar.
4. Combinar en un único registro TXT. Combina todos los mecanismos válidos en un único registro SPF . El registro debe comenzar con v=spf1 y terminar con un solo calificativo.
5. Comprueba el número de consultas DNS. Antes de publicar, comprueba que el registro fusionado tenga menos de 10 consultas DNS. Cuéntalas una por una include:, a, mx, ptr, existsy redirect mecanismo, incluidas las búsquedas anidadas.
6. Publica, elimina los duplicados y comprueba el resultado. Publica el registro fusionado, elimina todos los demás registros SPF del dominio y comprueba su validez con una SPF . Supervisa los informes DMARC para ver las tasas SPF en los días posteriores al cambio.

Gestión de los límites de consulta tras fusionar SPF

El límite de 10 consultas DNS se aplica a las consultas recursivas, no solo mecanismos visibles en el propio registro. Anidados include: Las cadenas cuentan para el límite.

La resolución de SPF include: convertir los nombres de los mecanismos en sus direcciones IP subyacentes, sustituyendo las consultas DNS por entradas estáticas. Esto reduce el número de consultas, pero requiere un mantenimiento activo.

La función SPF » de Sendmarc automatiza este proceso, manteniendo el registro dentro del límite de consultas sin necesidad de actualizaciones manuales.

Cada nueva plataforma de envío que se añada al entorno debe evaluarse en función del recuento actual de consultas antes de que se autorice en el SPF . Añadir una nueva include: Si se supera el límite de nueve consultas en un registro, se produce un PermError. Mantener un límite de consultas —llevando un recuento— evita este error.

Mantén la validez de tu configuración tras fusionar SPF

SPF tardan en detectarse y son más difíciles de localizar si no se tiene una visión clara de todos los dominios de envío.

La plataformaDMARC de Sendmarc los identifica en todos los dominios, señala las fuentes de envío no autorizadas y supervisa el estado SPF . SPF mantiene automáticamente los registros dentro del límite de consultas del DNS, lo que reduce la carga operativa de los equipos de DNS y de TI que gestionan entornos de remitentes complejos o distribuidos.

Una vez fusionados SPF , un registro válido no se mantiene por sí solo. Sendmarc se encarga de que siga siendo válido a medida que crece tu entorno de envío.