SPF (Sender Policy Framework)
¿Qué es SPF (Sender Policy Framework)?
SPF (Sender Policy Framework)Mecanismo de autenticación de correo del RFC 7208 que permite a un dominio publicar en DNS qué direcciones IP u hosts están autorizados a enviar correo con su dominio en el MAIL FROM del sobre.
SPF (Sender Policy Framework), especificado en el RFC 7208, permite al titular del dominio publicar un registro TXT (por ejemplo v=spf1 ip4:192.0.2.0/24 include:_spf.example.net -all) con los emisores permitidos. Los MTA receptores evalúan el dominio del MAIL FROM (return-path) contra la política y devuelven resultados como pass, fail, softfail, neutral o temperror. SPF solo autentica el sobre, no el From: que ve el usuario, por lo que no detiene por sí solo la suplantación del nombre visible. Es uno de los tres pilares de DMARC junto con DKIM. Es clave no superar los diez lookups DNS, emplear los cualificadores adecuados y preferir -all (fallo duro) sobre ~all para una aplicación efectiva.
● Ejemplos
- 01
Publicar v=spf1 include:_spf.google.com -all para autorizar las IP de salida de Google Workspace y rechazar el resto.
- 02
Usar un servicio de aplanamiento SPF para no exceder el límite de diez lookups DNS.
● Preguntas frecuentes
¿Qué es SPF (Sender Policy Framework)?
Mecanismo de autenticación de correo del RFC 7208 que permite a un dominio publicar en DNS qué direcciones IP u hosts están autorizados a enviar correo con su dominio en el MAIL FROM del sobre. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa SPF (Sender Policy Framework)?
Mecanismo de autenticación de correo del RFC 7208 que permite a un dominio publicar en DNS qué direcciones IP u hosts están autorizados a enviar correo con su dominio en el MAIL FROM del sobre.
¿Cómo funciona SPF (Sender Policy Framework)?
SPF (Sender Policy Framework), especificado en el RFC 7208, permite al titular del dominio publicar un registro TXT (por ejemplo v=spf1 ip4:192.0.2.0/24 include:_spf.example.net -all) con los emisores permitidos. Los MTA receptores evalúan el dominio del MAIL FROM (return-path) contra la política y devuelven resultados como pass, fail, softfail, neutral o temperror. SPF solo autentica el sobre, no el From: que ve el usuario, por lo que no detiene por sí solo la suplantación del nombre visible. Es uno de los tres pilares de DMARC junto con DKIM. Es clave no superar los diez lookups DNS, emplear los cualificadores adecuados y preferir -all (fallo duro) sobre ~all para una aplicación efectiva.
¿Cómo defenderse de SPF (Sender Policy Framework)?
Las defensas contra SPF (Sender Policy Framework) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para SPF (Sender Policy Framework)?
Nombres alternativos comunes: Sender Policy Framework.
● Términos relacionados
- network-security№ 333
DMARC
Estándar de autenticación de correo definido en el RFC 7489 que permite al propietario del dominio publicar una política indicando a los receptores qué hacer con los mensajes que fallen SPF/DKIM y alineamiento.
- network-security№ 330
DKIM
Estándar de autenticación de correo (RFC 6376) por el que el dominio remitente añade una firma criptográfica a los mensajes para que los receptores verifiquen que cabeceras y cuerpo no se alteraron.
- attacks№ 375
Suplantación de correo electrónico
Falsificación de las cabeceras de un correo para que parezca enviado por un remitente de confianza, habitualmente para phishing, fraude o malware.
- attacks№ 135
Compromiso de correo empresarial
Fraude dirigido en el que el atacante suplanta o toma el control de un buzón corporativo para engañar a un empleado y hacer transferencias, cambiar datos de pago o entregar información sensible.
- network-security№ 984
Pasarela de correo seguro
Servicio perimetral o en la nube que filtra el correo entrante y saliente buscando spam, phishing, malware, fugas de datos e infracciones de política antes de llegar a los buzones.
- network-security№ 095
BIMI
Estándar de correo que permite mostrar un logo de marca verificado junto a los mensajes autenticados en clientes compatibles, siempre que el dominio aplique una política DMARC de quarantine o reject.