Qué aprenderá en este artículo
- La comprobación de la coincidencia de SPF es una comprobación DMARC que verifica si el dominio autenticado por SPF coincide con el dominio que figura en la dirección «De» visible.
- El propio SPF se evalúa en función del dominio «Mail From» del RFC 5321, también denominado «ruta de retorno» o «envelope-from», y no del dominio «From» visible que los usuarios ven en la bandeja de entrada.
- En una alineación flexible, los subdominios pueden alinearse con el dominio de la organización. Para que la alineación sea estricta, los dominios deben coincidir exactamente. El modo de alineación SPF predeterminado de DMARC es «relaxed».
- Un mensaje puede superar la verificación SPF y, aun así, no cumplir con la alineación SPF si el dominio de la ruta de retorno autenticada no coincide con el dominio visible del campo «De».
- Corregir la alineación del SPF suele implicar identificar al remitente desalineado, ajustar la ruta de retorno o la configuración del remitente y validar el cambio mediante los encabezados y los informes DMARC. La alineación DKIM también puede ofrecer otra vía para superar la verificación DMARC.
El SPF puede pasar la comprobación y, aun así, seguir planteándole un problema con DMARC. Esto suele ocurrir cuando el dominio autenticado por SPF ( ) no coincide con el dominio que aparece en la dirección «De» visible. En esta guía se explica qué es la alineación SPF, por qué falla y cómo corregir las fuentes de envío que siguen rompiendo la confianza del dominio.
¿Qué es la alineación del SPF?
Un mensaje puede superar la autenticación y, aun así, no cumplir con los requisitos de DMARC si el dominio autenticado no coincide con la dirección «De» visible . Para comprender el motivo, resulta útil distinguir entre las comprobaciones SPF del dominio y el dominio que ve realmente el destinatario.
Cómo encaja la alineación de SPF en DMARC
La alineación con SPF forma parte de DMARC. Comprueba si el dominio autenticado por SPF coincide con el dominio que aparece en el encabezado «From» visible de . Si los dominios cumplen con la política DMARC activa de, el SPF puede ayudar a que el mensaje supere la verificación DMARC. De no ser así, es posible que SPF siga autenticando el mensaje, pero no cumplirá con la alineación DMARC de .
¿Qué dominio comprueba realmente el SPF?
Es aquí donde suele surgir la confusión. La autenticación SPF se evalúa en función del dominio «Mail From» del RFC 5321, también conocido como «ruta de retorno» o «envelope-from». Por defecto, no se compara con el dominio «From» visible según el RFC 5322. El hecho de que « » signifique que un mensaje puede autenticarse correctamente para un dominio, al tiempo que muestra un dominio diferente al destinatario. En , en ese caso, la autenticación SPF funciona, pero la alineación SPF falla.
Alineación «flexible» frente a «estricta» del SPF
DMARC admite dos modos de alineación SPF. En una alineación flexible, un subdominio puede seguir estando alineado con el dominio de la organización. Por ejemplo, mail.example.com puede estar vinculado a example.com.
Para que la correspondencia sea estricta, el dominio autenticado mediante SPF debe coincidir exactamente con el dominio «De» visible, sin variaciones de subdominio . El modo de alineación SPF predeterminado de DMARC es «relaxed», a menos que la etiqueta «aspf» se establezca en «strict».
SPF en alineación frente a SPF sin alineación
La diferencia se hace más evidente cuando se observa cómo se presentan los mensajes coherentes y incoherentes en situaciones reales de envío.
- SPF en alineación: el dominio de la ruta de retorno autenticado por SPF coincide con el dominio «From» visible, o, en modo flexible, se relaciona adecuadamente con .
- Ejemplo: la dirección «De» que se muestra utiliza example.com, y la dirección de respuesta es mail.example.com. En una alineación flexible , aún así es posible que se produzca la alineación, ya que ambas comparten el mismo ámbito organizativo.
- El SPF no está alineado: el SPF es válido para el dominio de la ruta de retorno, pero dicho dominio no coincide con el dominio visible del campo «De» ( ) con la precisión suficiente para el modo de alineación DMARC seleccionado.
- Ejemplo: la dirección «De» que se muestra utiliza example.com, pero la dirección de respuesta es vendor-mail.com. El SPF podría pasar por vendor-mail.com, Sin embargo, la comprobación de coincidencia falla porque el dominio autenticado no coincide con el dominio del remitente.
¿Qué provoca que falle la alineación del SPF?
La verificación de la alineación SPF suele fallar por una de estas dos razones: la configuración del remitente está desalineada o el mensaje no es legítimo desde el principio. Los casos que se exponen a continuación abordan las causas más habituales y explican por qué se produce el fallo.
Caso 1: El modo de alineación de SPF está configurado en «estricto»
La alineación estricta requiere una coincidencia exacta del dominio. Esto puede alterar la alineación cuando se utilizan subdominios en la ruta de retorno . Por ejemplo, si la dirección «De» visible es example.com, pero la ruta de retorno es mail.example.com, Es posible que SPF se supere, mientras que la alineación estricta sigue fallando.
Por eso, el modo estricto suele funcionar mejor en entornos más rigurosamente controlados. Puede contribuir a reforzar la seguridad , pero también exige un control más riguroso sobre los dominios, los subdominios y los flujos de correo de terceros. Una configuración del emisor « » que funciona en el modo de alineación flexible puede fallar rápidamente en el modo estricto.
Caso 2: Se ha suplantado el dominio
Los correos electrónicos falsificados son otra causa habitual de fallos en la validación del SPF. Un atacante podría indicar un dominio legítimo en la dirección «De» visible ( ), al tiempo que utiliza un dominio de ruta de retorno no autorizado y una dirección IP de envío no autorizada.
En muchos casos, esos mensajes no superan en absoluto la autorización SPF. Aunque el remitente modifique otras partes del mensaje « », DMARC sigue comprobando si el dominio autenticado mediante SPF coincide con el dominio «From» visible.
Esto significa que los errores de alineación de SPF no siempre se deben a un error de configuración. A veces son precisamente la señal que desea ver en , ya que ayudan a detectar mensajes falsificados y proporcionan a DMARC un elemento ejecutable sobre el que actuar.
En la práctica, lo fundamental es determinar si el fallo se debe a un problema de configuración del remitente o a que la señal de « » de autenticación está funcionando correctamente. Esa distinción facilita la decisión de si la solución debe integrarse en su flujo de correo o en su estrategia de aplicación de .
Cómo solucionar el error «SPF Alignment Failed»
Para solucionar un problema de alineación del SPF, normalmente es necesario identificar al remitente concreto que provoca la discrepancia y, a continuación, corregir el proceso de autenticación de ese flujo de correo . Los pasos que se indican a continuación permiten que el proceso resulte más manejable y que sea más fácil resolver los problemas que puedan surgir.
Paso 1: Compruebe si el problema se debe a la alineación o a la autorización SPF
Empiece por comprobar si el problema se debe realmente a la alineación o si se trata de una cuestión más amplia relacionada con el SPF. Si el propio SPF ha fallado, es posible que el problema se encuentre en el registro SPF, en los registros DNS, en las direcciones IP autorizadas para el envío o en la sintaxis del marco de políticas de remitentes. Si SPF ha superado la comprobación pero DMARC sigue fallando, eso apunta más directamente a una discrepancia entre la ruta de retorno y el dominio «From» visible en .
Paso 2: Identifique la fuente de envío que provoca la discrepancia
A continuación, identifique qué flujo de correo es el responsable. En la práctica, el problema suele estar relacionado con un remitente concreto, como por ejemplo:
- Plataforma de marketing
- Sistema de venta de entradas
- Servicio en la nube que utiliza una vía de retorno propiedad del proveedor
Revise los datos del encabezado del correo electrónico y del informe DMARC para identificar la fuente afectada, en lugar de dar por sentado que todo el dominio presenta una desalineación de .
Paso 3: Ajustar la configuración del remitente o el flujo de correo
Una vez que conozca la fuente, ajuste la configuración para que el dominio autenticado mediante SPF coincida con el dominio visible en el campo «De» ( ). Esto suele implicar configurar una ruta de retorno personalizada o un dominio de rebote personalizado, de modo que el servicio se autentique en su dominio, en lugar de en el dominio predeterminado del proveedor. El procedimiento exacto varía según la plataforma, pero el objetivo sigue siendo el mismo: hacer coincidir el dominio «Mail From» de la norma RFC 5321 con el dominio «From» visible, según el modo de alineación elegido.
Paso 4: Utilice la alineación DKIM cuando resulte difícil mantener la alineación SPF
Si resulta difícil mantener la alineación SPF para un remitente concreto, la alineación DKIM puede ofrecer otra vía para superar la verificación DMARC. DMARC no exige que SPF y DKIM estén en consonancia. Basta con un resultado de autenticación alineado ; por lo tanto, una firma DKIM correctamente configurada y vinculada al dominio adecuado puede seguir siendo compatible con DMARC, incluso cuando la alineación de SPF resulte más difícil de controlar.
Paso 5: Verifique que la solución funciona
Por último, valide el cambio. Compruebe los encabezados de los mensajes para confirmar el resultado del SPF y el comportamiento de la ruta de retorno; a continuación, utilice y los informes DMARC de para comprobar si mejora la alineación en los flujos de correo afectados. Herramientas como los flujos de trabajo de verificación de Mimecast, disponibles en , pueden ayudar a los equipos a investigar problemas de alineación del SPF, confirmar los cambios y reducir las configuraciones erróneas en múltiples fuentes de envío .
Una vez que se ha identificado la causa principal, la alineación del SPF suele ser más fácil de solucionar de lo que parece a primera vista. La clave consiste en corregir el flujo de correo específico de que está provocando la discrepancia antes de que se convierta en una configuración errónea más general de DMARC en y .
Fortalecer la coordinación del SPF con mayor confianza
La alineación del SPF es importante porque DMARC no solo comprueba si el SPF autentifica un mensaje. Se comprueba si , el dominio autenticado, coincide con la identidad que se muestra al destinatario. Cuando esa relación se rompe, se ven afectadas tanto las tasas de superación de DMARC como la confianza en el correo electrónico.
La solución más fiable consiste en identificar la fuente de envío desalineada, corregir la ruta de retorno o la configuración del remitente, y validar el resultado mediante los encabezados y los informes. Para los equipos que necesitan una mayor visibilidad de los parámetros SPF, DKIM y DMARC de en todas las fuentes de envío, las herramientas de seguridad y autenticación del correo electrónico de Mimecast pueden ayudar a reducir las configuraciones erróneas de y reforzar la protección en todo el entorno de correo electrónico en general.