Evitar el spoofing de correo electrónico con registros SPF

Protegerse frente a correos falsificados que parecen proceder de tu dominio

Los spammers pueden enviar correos electrónicos de modo que parezca que proceden de tu dominio; esta práctica se denomina spoofing. Para protegerte frente a ella, añade un registro del marco de políticas del remitente (SPF) al host de tu dominio; de este modo, los destinatarios de tus mensajes podrán saber qué servidores tienen permiso para enviar correo desde tu dominio y que esos correos no están falsificados.

Si al registrarte en G Suite compraste el dominio a un partner de Google, como GoDaddy.com, eNom.com o DomainDiscount24.com, es posible que no te haga falta añadir este registro. Consulta más información en el artículo Configuración gestionada por el host de tu dominio.

Añadir un registro TXT SPF al host de un dominio

El host de tu dominio mantiene unos ajustes de texto, denominados registros DNS, que dirigen el tráfico web a tu dominio. Con los registros TXT de tipo SPF puedes indicar los servidores de correo que tienen permiso para enviar correo electrónico desde tu dominio. En consecuencia, si un servidor recibe un correo de otro que no figura en este registro, es posible que lo considere spam.

Nota: Un dominio solo puede tener un registro SPF, pero en él pueden incluirse varios servidores. Consulta más información en el apartado Añadir varios servidores a un registro SPF.

  1. Inicia sesión en tu cuenta del host de tu dominio (no en la consola de administración de Google).
  2. Ve a la página donde se actualizan los registros DNS de tu dominio.
    El nombre de esta página será algo parecido a DNS management (Gestión de DNS), Name server management (Gestión del servidor de nombres) o Advanced settings (Configuración avanzada).
  3. Busca tus registros TXT y comprueba si tu dominio ya tiene un registro SPF.
    Estos registros comienzan por "v=spf1".
  4. Si tu dominio ya tiene un registro SPF, elimínalo. Si no, ve al paso 5.
  5. Crea un registro TXT con estos valores:
    • Name/Host/Alias (Nombre/Host/Alias): introduce @ o déjalo en blanco.
      Es posible que otros registros DNS de tu dominio indiquen cuál es el valor correcto.
    • Time to Live (TTL) (Tiempo de vida): introduce 3600 o deja el valor predeterminado.
    • Value/Answer/Destination (Valor/Respuesta/Destino): introduce v=spf1 include:_spf.google.com ~all.
  6. Guarda el registro.

El nuevo registro SPF puede tardar hasta 48 horas en comenzar a aplicarse.

Gestionar el registro SPF

Abrir todo  |  Cerrar todo

Verificar el registro SPF
Puedes comprobar que tu registro SPF sea correcto con la aplicación Check MX, que encontrarás en la caja de herramientas de G Suite:
  1. Ve a la caja de herramientas de G Suite.
  2. Introduce el nombre de tu dominio.
  3. Haz clic en Realizar comprobaciones.
  4. Una vez que termine la prueba, haz clic en Intervalos de direcciones de SPF efectivos.
  5. Comprueba los resultados de SPF.
    En ellos, debe aparecer lo siguiente:
    • _spf.google.com
    • _netblocks.google.com seguido de varias direcciones IP
    • _netblocks2.google.com seguido de varias direcciones IP
    • _netblocks3.google.com seguido de varias direcciones IP
Añadir varios servidores a un registro SPF
Los dominios solo pueden tener un registro SPF, pero se puede modificar para que incluya todos los servidores de correo que hagan falta. Por ejemplo, si configuras una pasarela de correo saliente, en tu registro SPF puedes incluir tanto la dirección del servidor de Gmail como la del servidor SMTP de la pasarela.
Para añadir un servidor de correo a un registro SPF, introduce la dirección IP del servidor antes del argumento ~all con el formato ip4:[dirección] o ip6:[dirección], tal como se muestra en este ejemplo:
v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all
Para añadir más dominios de servidores de correo, debes utilizar una declaración "include" con cada uno de ellos. Por ejemplo:
v=spf1 include:serverdomain.com include:_spf.google.com ~all

Temas relacionados

Gestionar mecanismos y calificadores
Los mecanismos de los registros SPF identifican los servidores que tienen permiso para enviar correo en nombre del dominio y se evalúan de izquierda a derecha.
Este es un ejemplo de registro SPF:
v=spf1 ip4:172.16.254.1 include:_spf.google.com ~all
A continuación se indican los mecanismos con los que identificar las direcciones IP que pueden enviar correo desde un dominio:
  • a
  • mx
  • ip4
  • ip6
  • include
  • all

Si se recibe un mensaje de un servidor que no coincide con ninguno de los mecanismos de un registro SPF, ese mensaje superará la comprobación de SPF o no en función de lo que se indique en el mecanismo all

Puedes añadir calificadores a los mecanismos de tu registro SPF para modificar los criterios que deben superar los correos electrónicos en la comprobación de SPF.
Calificador Descripción
Superar (+) Los correos que provienen de servidores que coinciden con un mecanismo que incluye el calificador + (o ningún calificador) superan la comprobación de SPF. Los destinatarios deberían de aceptar estos mensajes.
No superar (-) Los correos que provienen de servidores que coinciden con un mecanismo que incluye el calificador - no superan la comprobación de SPF. Lo más probable es que los destinatarios rechacen estos mensajes.
Superar con reservas (~) Los correos que provienen de servidores que coinciden con un mecanismo que incluye el calificador ~ superan la comprobación de SPF, pero se consideran sospechosos.
Neutral (?) Los mecanismos que incluyen el calificador ? no afectan al resultado de la comprobación de SPF.
Límites de peticiones de DNS y comprobaciones de SPF
SPF admite hasta diez peticiones de DNS (las anidadas también cuentan). Si tu registro SPF sobrepasa este límite, los mecanismos dejan de considerarse válidos y no se supera la comprobación de SPF.
Puedes comprobar el número de peticiones de tu registro SPF con la aplicación Check MX.

Mecanismos y modificadores de los registros SPF

Según los mecanismos y modificadores que utilices en tu registro SPF, puedes evitar que se alcance el máximo de diez peticiones de DNS.
Se tienen en cuenta al calcular el límite de peticiones No se tienen en cuenta al calcular el límite de peticiones
  • a
  • exists
  • include
  • mx
  • ptr
  • require
  • all
  • exp
  • ip4
  • ip6

 

Para reducir el número de peticiones de tu registro SPF, sigue estas recomendaciones:

  • Procura no utilizar declaraciones include de manera innecesaria.
  • Siempre que sea posible, utiliza los mecanismos ip4 o ip6 en lugar de la declaración include.
  • Intenta no utilizar el mecanismo ptr, ya que genera muchas peticiones de DNS.
  • Quita los mecanismos duplicados o los que se resuelven en el mismo dominio.
  • Incluye solo los dominios que envían mensajes de forma activa.
  • Quita todas las declaraciones include que hagan referencia a registros SPF de partners que ya no envíen correo desde tu dominio.

Temas relacionados

Utilizar SPF con DKIM y DMARC
Además de SPF, te recomendamos que configures los protocolos DomainKeys Identified Mail (DKIM) y Domain-based Message Authentication, Reporting & Conformance (DMARC):
  • SPF indica qué servidores pueden enviar correo electrónico en nombre de un dominio.
  • DKIM verifica que el contenido del mensaje es auténtico y no se ha modificado.
  • DMARC especifica cómo gestiona un dominio los correos sospechosos que se reciben.

Temas relacionados

 Temas relacionados

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?