Cómo Microsoft 365 usa el Marco de directivas de remitente (SPF) para evitar la suplantación de identidad

Sugerencia

¿Sabía que puede probar las características de Microsoft 365 Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft 365 Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

Se aplica a

Resumen: En este artículo se describe cómo Microsoft 365 usa el registro TXT del Marco de directivas de remitente (SPF) en DNS para garantizar que los sistemas de correo electrónico de destino confíen en los mensajes enviados desde el dominio personalizado. Esto se aplica al correo saliente enviado desde Microsoft 365. Los mensajes enviados desde Microsoft 365 a un destinatario dentro de Microsoft 365 siempre pasarán SPF.

Un registro TXT SPF es un registro DNS que ayuda a evitar la suplantación de IP y la suplantación de identidad mediante la comprobación del nombre del dominio desde el que se envían los mensajes de correo electrónico. Para validar el origen de los mensajes de correo electrónico, SPF contrasta la dirección IP del remitente con el supuesto propietario del dominio de envío.

Nota:

El Grupo de trabajo de ingeniería de Internet (IETF) consideró en desuso los tipos de registro SPF en 2014. En su lugar, asegúrese de que usa registros TXT en DNS para publicar la información SPF. El resto del artículo usa el término registro TXT SPF para mayor claridad.

Los administradores de dominio publican información SPF en registros TXT de DNS. La información SPF identifica los servidores autorizados de correo electrónico saliente. Los sistemas de correo electrónico de destino comprueban que los mensajes proceden de servidores de correo electrónico saliente autorizados. Si ya está familiarizado con SPF o tiene una implementación sencilla y solo necesita saber qué incluir en el registro TXT de SPF en DNS para Microsoft 365, puede ir a Configurar SPF en Microsoft 365 para ayudar a evitar la suplantación de identidad. Si no tiene una implementación totalmente hospedada en Microsoft 365, o quiere obtener más información sobre cómo funciona SPF o cómo solucionar problemas de SPF para Microsoft 365, siga leyendo.

Nota:

Antes, debía agregar un registro SPF TXT diferente a su dominio personalizado si también utilizaba SharePoint Online. Esto ya no es necesario. Este cambio debería reducir el riesgo de que los mensajes de notificación de SharePoint Online acaben en la carpeta de Correo no deseado. No es necesario realizar ningún cambio inmediatamente, pero si recibe el error "demasiadas búsquedas", modifique el registro TXT de SPF como se describe en Configuración de SPF en Microsoft 365 para ayudar a evitar la suplantación de identidad.

Funcionamiento de SPF para evitar suplantación de identidad y suplantación de identidad (phishing) en Microsoft 365

SPF determina si permite o no que un destinatario envíe en nombre de un dominio. Si el remitente no tiene permiso para hacerlo, es decir, si el correo electrónico produce un error en la comprobación de SPF en el servidor receptor, la directiva de correo no deseado configurada en ese servidor determina qué hacer con el mensaje.

Cada registro TXT de SPF contiene tres partes: la declaración de que es un registro TXT de SPF, las direcciones IP que pueden enviar correo desde el dominio y los dominios externos que se pueden enviar en nombre del dominio y una regla de cumplimiento. Un registro TXT SPF válido debe constar de esas tres partes. En este artículo se describe cómo se forma el registro TXT de SPF y se proporcionan procedimientos recomendados para trabajar con los servicios de Microsoft 365. También se proporcionan los vínculos a las instrucciones sobre cómo trabajar con el registrador de dominios para publicar el registro en DNS.

Conceptos básicos de SPF: Direcciones IP que pueden enviar desde su dominio personalizado

Observe la sintaxis básica de una regla SPF:

v=spf1 <Regla de cumplimiento de IP><>

Por ejemplo, supongamos que existe la siguiente regla SPF para contoso.com:

v=spf1 <Dirección IP #1><Dirección IP #2><Dirección IP #3><regla de cumplimiento>

En este ejemplo, la regla SPF indica al servidor de correo electrónico de recepción que solo debe aceptar correo de estas direcciones IP para el dominio contoso.com:

  • IP address #1

  • IP address #2

  • IP address #3

Esta regla SPF indica al servidor de correo electrónico de recepción que si un mensaje proviene de contoso.com, pero no de una de estas tres direcciones IP, el servidor de recepción debe aplicar la regla de cumplimiento en el mensaje. Normalmente, la regla de cumplimiento es una de estas opciones:

  • Error grave. Marca el mensaje con "error grave" en el sobre del mensaje y, después, sigue la política de correo no deseado configurada en el servidor de recepción para este tipo de mensaje.

  • Error leve. Marca el mensaje con "error leve" en el sobre del mensaje. Normalmente, los servidores de correo electrónico están configurados para enviar estos mensajes de todos modos. La mayoría de los usuarios finales no ven esta marca.

  • Neutro. No hagas nada, es decir, no marques el sobre del mensaje. Esto está reservado para fines de prueba y rara vez se usa.

Los ejemplos siguientes muestran cómo funciona SPF en diferentes situaciones. En estos ejemplos, contoso.com es el remitente y woodgrovebank.com es el receptor.

Ejemplo 1: Autenticación de correo electrónico de un mensaje enviado directamente del remitente al receptor

SPF funciona mejor cuando la ruta de acceso del remitente al receptor es directa, por ejemplo:

Diagrama que muestra cómo SPF autentica el correo electrónico cuando se envía directamente de servidor a servidor.

Cuando woodgrovebank.com recibe el mensaje, si la dirección IP #1 está en el registro TXT SPF para contoso.com, el mensaje supera la comprobación SPF y se autentica.

Ejemplo 2: La dirección falsificada del remitente no supera la comprobación SPF

Supongamos que un suplantador de identidad busca una forma de suplantar contoso.com:

Diagrama que muestra cómo SPF autentica el correo electrónico cuando se envía desde un servidor falsificado.

Dado que la dirección IP n.º 12 no está en el registro TXT de SPF de contoso.com, el mensaje produce un error en la comprobación de SPF y el receptor puede optar por marcarlo como correo no deseado.

Ejemplo 3: SPF y los mensajes reenviados

Un inconveniente de SPF es que no funciona cuando se ha reenviado un correo electrónico. Por ejemplo, supongamos que el usuario de woodgrovebank.com ha configurado una regla de reenvío para enviar todo el correo electrónico a una cuenta de outlook.com:

Diagrama que muestra que SPF no puede autenticar el correo electrónico cuando se reenvía el mensaje.

Originalmente, el mensaje pasa la comprobación de SPF en woodgrovebank.com, pero se produce un error en la comprobación de SPF en outlook.com porque ip 25 no está en el registro TXT de SPF de contoso.com. Outlook.com puede marcar entonces el mensaje como correo no deseado. Para solucionar este problema, use SPF con otros métodos de autenticación por correo electrónico, como DKIM y DMARC.

Conceptos básicos de SPF: Incluir dominios de terceros que pueden enviar correo en nombre del dominio

Además de las direcciones IP, también puede configurar el registro TXT SPF para incluir dominios como remitentes. Estos se agregan al registro TXT SPF como instrucciones "Include". Por ejemplo, contoso.com puede incluir todas las direcciones IP de los servidores de correo de contoso.net y contoso.org, que también posee. Para ello, contoso.com publica un registro TXT SPF que tiene este aspecto:

v=spf1 include:contoso.net include:contoso.org -all

Cuando el servidor receptor ve este registro en DNS, también realiza una búsqueda DNS en el registro TXT de SPF para contoso.net y, a continuación, para contoso.org. Si encuentra otra instrucción include dentro de los registros de contoso.net o contoso.org, también los seguirá. Con el fin de ayudar a evitar los ataques por denegación de servicio, el número máximo de búsquedas DNS para un único mensaje de correo electrónico es 10. Cada instrucción Include representa una búsqueda DNS adicional. Si un mensaje supera el límite de 10, el mensaje tiene errores SPF. Una vez que un mensaje alcanza este límite, en función de la forma en que se configure el servidor receptor, el remitente puede obtener un mensaje que indica que el mensaje generó "demasiadas búsquedas" o que se ha superado el "número máximo de saltos para el mensaje" (lo que puede ocurrir cuando el bucle de búsquedas supera el tiempo de espera de DNS). Para obtener sugerencias sobre cómo evitar esto, consulte Solución de problemas: procedimientos recomendados para SPF en Microsoft 365.

Requisitos para el registro TXT de SPF y Microsoft 365

Si configura el correo al configurar Microsoft 365, ya ha creado un registro TXT de SPF que identifica los servidores de mensajería de Microsoft como un origen legítimo de correo para su dominio. Probablemente, este registro tenga un aspecto similar al siguiente:

v=spf1 include:spf.protection.outlook.com -all

Si es un cliente totalmente hospedado, es decir, no tiene ningún servidor de correo local que envíe correo saliente, este es el único registro TXT de SPF que necesita publicar para Office 365.

Si tiene una implementación híbrida (es decir, tiene algunos buzones locales y otros hospedados en Microsoft 365) o si es un cliente independiente de Exchange Online Protection (EOP) (es decir, su organización usa EOP para proteger los buzones locales), debe agregar la dirección IP de salida para cada uno de los servidores de correo perimetral local al registro TXT de SPF en DNS.

Formulario del registro TXT de SPF para Microsoft 365

Use la información de sintaxis de este artículo para formar el registro TXT de SPF para su dominio personalizado. Aunque existan otras opciones de sintaxis que no se mencionan aquí, estas son las opciones más usadas. Una vez que formule el registro, debe actualizarlo en el registrador del dominio.

Para obtener información sobre los dominios que necesitará incluir para Microsoft 365, consulte Registros DNS externos necesarios para SPF. Use las instrucciones paso a paso para actualizar registros SPF (TXT) para el registrador de dominios.

Sintaxis de registro TXT de SPF para Microsoft 365

Un registro TXT de SPF típico para Microsoft 365 tiene la sintaxis siguiente:

v=spf1 [<ip4>|<ip6>:<IP address>] [include:<domain name>] <enforcement rule>

Por ejemplo:

v=spf1 ip4:192.168.0.1 ip4:192.168.0.2 include:spf.protection.outlook.com -all

donde:

  • Se requiere v=spf1. Esto define el registro TXT como un registro TXT SPF.

  • ip4 indica que usa direcciones IP versión 4. ip6 indica que usa direcciones IP versión 6. Si usa direcciones IP IPv6, reemplace ip4 por ip6 en los ejemplos de este artículo. También puede especificar los intervalos de direcciones IP mediante la notación CIDR, por ejemplo ip4:192.168.0.1/26.

  • IP address es la dirección IP que quiere agregar al registro TXT SPF. Normalmente, esta es la dirección IP del servidor de correo saliente de su organización. Puede enumerar varios servidores de correo saliente. Para obtener más información, vea Ejemplo: registro TXT de SPF para varios servidores de correo locales salientes y Microsoft 365.

  • domain name es el dominio que quiere agregar como un remitente legítimo. Para obtener una lista de los nombres de dominio que debe incluir para Microsoft 365, consulte Registros DNS externos necesarios para SPF.

  • Normalmente, la regla de cumplimiento es una de las siguientes:

    • -all

      Indica un error grave. Si conoce todas las direcciones IP autorizadas para su dominio, enumérelas en el registro TXT de SPF y use el calificador -all (error duro). Además, si solo usa SPF, es decir, no usa DMARC o DKIM, debe usar el calificador -all. Se recomienda que siempre use este calificador.

    • ~all

      Indica los errores leves. Si no está seguro de tener la lista completa de direcciones IP, entonces debería usar el calificador ~all (error leve). Además, si usa DMARC con p=quarantine o p=reject, puede usar ~all. De lo contrario, use -all.

    • ?all

      Indica neutro. Se usa al probar SPF. No se recomienda usar este calificador en la implementación activa.

Ejemplo: Registro TXT de SPF que se usará cuando Microsoft 365 envíe todo el correo

Si Microsoft 365 envía todo el correo electrónico, úselo en el registro TXT de SPF:

v=spf1 include:spf.protection.outlook.com -all

Ejemplo: Registro TXT de SPF para un escenario híbrido con un Exchange Server local y Microsoft 365

En un entorno híbrido, si la dirección IP del servidor Exchange Server local es 192.168.0.1, para establecer la regla de cumplimiento SPF en error grave, forme el registro TXT SPF de la manera siguiente:

v=spf1 ip4:192.168.0.1 include:spf.protection.outlook.com -all

Ejemplo: registro TXT de SPF para varios servidores de correo local salientes y Microsoft 365

Si dispone de varios servidores de correo saliente, incluya la dirección IP de cada servidor de correo en el registro SPF TXT separando cada dirección con un espacio seguido de "ip4": instrucción. Por ejemplo:

v=spf1 ip4:192.168.0.1 ip4:192.168.0.2 ip4:192.168.0.3 include:spf.protection.outlook.com -all

Pasos siguientes: Configuración de SPF para Microsoft 365

Una vez que haya formulado el registro TXT de SPF, siga los pasos descritos en Configuración de SPF en Microsoft 365 para ayudar a evitar la suplantación de identidad para agregarlo a su dominio.

Aunque SPF está diseñado para ayudar a evitar la suplantación de identidad, pero hay técnicas de suplantación de identidad que SPF no puede proteger. Para protegerse contra estos, una vez que haya configurado SPF, también debe configurar DKIM y DMARC para Microsoft 365. Para empezar, consulte Uso de DKIM para validar el correo electrónico saliente enviado desde el dominio personalizado en Microsoft 365. Después, vea Usar DMARC para validar el correo electrónico en Microsoft 365.

Solución de problemas: procedimientos recomendados para SPF en Microsoft 365

Solo puede crear un registro TXT SPF para su dominio personalizado. La creación de varios registros provoca una situación de round robin y SPF producirá un error. Para evitar esto, puede crear registros independientes para cada subdominio. Por ejemplo, cree un registro para contoso.com y otro registro para bulkmail.contoso.com.

Si un mensaje de correo electrónico provoca más de 10 búsquedas DNS antes de que se entregue, el servidor de correo receptor responderá con un error permanente, también denominado permerror, y hará que el mensaje no cumpla la comprobación de SPF. El servidor de recepción también puede responder con un informe de no entrega (NDR) que contiene un error similar a los siguientes:

  • El mensaje ha superado el recuento de saltos.

  • El mensaje ha necesitado demasiadas búsquedas.

Evitar el error de "demasiadas búsquedas" al usar dominios de terceros con Microsoft 365

Algunos registros TXT SPF para dominios de terceros ordenan al servidor de recepción que realicen un gran número de búsquedas DNS. Por ejemplo, en el momento de escribir este artículo, Salesforce.com contiene 5 instrucciones Include en el registro:

v=spf1 include:_spf.google.com
include:_spfblock.salesforce.com
include:_qa.salesforce.com
include:_spfblock1.salesforce.com
include:spf.mandrillapp.com mx ~all

Para evitar el error, puede implementar una directiva donde cualquier usuario pueda enviar correo masivo, por ejemplo, tiene que usar específicamente un subdominio para este propósito. Después, defina un registro TXT SPF diferente para el subdominio que incluye el correo masivo.

En algunos casos, como en el ejemplo de salesforce.com, tiene que usar el dominio en el registro TXT SPF, pero en otros casos, puede que el tercero ya haya creado un subdominio para que lo use para este propósito. Por ejemplo, exacttarget.com ha creado un subdominio que debe usar para el registro TXT SPF:

cust-spf.exacttarget.com

Al incluir dominios de terceros en el registro TXT SPF, debe confirmar con el tercero qué dominio o subdominio usar para evitar verse afectado por el límite de 10 búsquedas.

Cómo ver el registro TXT SPF actual y determinar el número de búsquedas que requiere

Puede usar nslookup para ver los registros DNS, incluido el registro TXT SPF. Hay muchas herramientas en línea gratuitas disponibles que puedes usar para ver el contenido de tu registro TXT de SPF. Puede determinar cuántas búsquedas DNS requiere el registro al observar el registro TXT SPF y seguir la cadena de instrucciones Include y redireccionamientos. Algunas herramientas en línea incluso harán un recuento y le mostrarán estas búsquedas. Realizar un seguimiento de este número ayudará a evitar que los mensajes enviados desde su organización desencadenen un error permanente, denominado error perm, desde el servidor receptor.

Más información

¿Necesita ayuda para agregar el registro TXT de SPF? Lea el artículo Creación de registros DNS en cualquier proveedor de hospedaje DNS para Microsoft 365 para obtener información detallada sobre el uso de Sender Policy Framework con su dominio personalizado en Microsoft 365. Los encabezados de mensajes antispam incluyen los campos de sintaxis y encabezado utilizados por Microsoft 365 para las comprobaciones de SPF.