Evita rechazos de correos al configurar SPF en tu dominio

SPF para evitar rechazo de correos al configurar SPF

Configurar SPFLos SPF Records son la “nueva” moda en la protección de los usuarios durante esta interminable guerra contra el SPAM (correo no deseado); por lo que debemos configurar SPF, y así agregar una “credencial” a nuestro dominio, que le brinde mayor credibilidad a nuestros correos electrónicos.

Hace un tiempo comenzamos a ver como Hotmail, Yahoo e inclusive Gmail han estado tomando muy enserio esta nueva alternativa, que a gran escala lo que hace, es revisar mediante los DNS, si el IP que envía un correo electrónico, y el hostname del servidor, están autorizados para el envió de mensajes desde un dominio en especifico.

¿Suena sencillo cierto?

En efecto es es un problema común, que identificamos al recibir mensajes que contengan un rechazo similar a este:

xxx.167.16.59 does not like recipient.
Remote host said: 550 See http://spf.pobox.com/why.html?sender=mail%40domain.com&ip=xxx.50.224.145&receiver=ip-72-167-16-59.ip.secureserver.net (#5.7.1)
Giving up on 72.167.16.59.

En este caso, podremos estar seguros que debemos configurar SPF.

Actualmente casi todos los paneles de control (Plesk, cPanel, DirectAdmin…), incluyen un registro básico de los SPF, que generalmente es insolvente, debido a que ocupamos determinar el IP saliente real del servidor que tenemos (y en caso de que sea un shared hosting, no será necesariamente el mismo de nuestro dominio) y además; el hostname o nombre del servidor que tramita el envió.

Detección de información de errores en el envió de mensajes de correo

Nuestros amigos de verifier.port25.com, definitivamente solventaron el problema de andar de un lado a otro para comprobar por qué nuestros correos necesitan un “tune up”, o en otras palabras configurar SPF.

El proceso es bastante sencillo: Debemos enviar un email al destinario [email protected], sin ningún texto o tema (subject) en especial.

El sistema en pocos segundos nos responderá un correo como el siguiente:

================================================== ========
Summary of Results
================================================== ========
SPF check: permerror
DomainKeys check: neutral
DKIM check: neutral
Sender-ID check: permerror
SpamAssassin check: ham

================================================== ========
Details:
================================================== ========

HELO hostname: 8888.virtual.yourshelter.net
Source IP: 88.88.888.888
mail-from: mercadeo a domain.com

———————————————————-
SPF check details:
———————————————————-
Result: permerror (multiple SPF records)
ID(s) verified: [email protected]
DNS record(s):
erotilinea.com. 300 IN TXT “v=spf1 ip4”
erotilinea.com. 300 IN TXT “v=spf1 a mx ptr ip4:88.88.888.888 mx:mail.domain.com ~all”

———————————————————-
DomainKeys check details:
———————————————————-
Result: neutral (message not signed)
ID(s) verified: [email protected]
DNS record(s):

———————————————————-
DKIM check details:
———————————————————-
Result: neutral (message not signed)
ID(s) verified:

NOTE: DKIM checking has been performed based on the latest DKIM specs
(RFC 4871 or draft-ietf-dkim-base-10) and verification may fail for
older versions. If you are using Port25’s PowerMTA, you need to use
version 3.2r11 or later to get a compatible version of DKIM.

———————————————————-
Sender-ID check details:
———————————————————-
Result: permerror (multiple SPF records)
ID(s) verified: [email protected]
DNS record(s):
domain.com. 300 IN TXT “v=spf1 ip4”
domain.com. 300 IN TXT “v=spf1 a mx ptr ip4:88.88.888.888 mx:mail.domain.com ~all”

———————————————————-
SpamAssassin check details:
———————————————————-
SpamAssassin v3.2.5 (2008-06-10)

Result: ham (2.8 points, 5.0 required)

pts rule name description
—- ———————- ————————————————–
0.6 RCVD_IN_SORBS_WEB RBL: SORBS: sender is a abuseable web server
[190.28.136.50 listed in dnsbl.sorbs.net]
0.0 BAYES_50 BODY: Bayesian spam probability is 40 to 60%
[score: 0.4782]
2.2 TVD_SPACE_RATIO BODY: TVD_SPACE_RATIO
-0.0 AWL AWL: From: address is in the auto white-list

================================================== ========
Explanation of the possible results (adapted from
draft-kucherawy-sender-auth-header-04.txt):
================================================== ========

“pass”
the message passed the authentication test.

“fail”
the message failed the authentication test.

“softfail”
the message failed the authentication test, and the authentication
method has either an explicit or implicit policy which doesn’t require
successful authentication of all messages from that domain.

“neutral”
the authentication method completed without errors, but was unable
to reach either a positive or a negative result about the message.

“temperror”
a temporary (recoverable) error occurred attempting to authenticate
the sender; either the process couldn’t be completed locally, or
there was a temporary failure retrieving data required for the
authentication. A later retry may produce a more final result.

“permerror”
a permanent (unrecoverable) error occurred attempting to
authenticate the sender; either the process couldn’t be completed
locally, or there was a permanent failure retrieving data required
for the authentication.

En este mensaje podemos ver y determinar la mayoría de errores; y visualizar la importancia de configurar SPF.

¿Y ahora qué?

Si tu SPF salió con “permerror”, la gente de openspf.org recomienda poner este contenido para la el registro SPF en nuestra zona DNS:

v=spf1 a mx ip4:REPLACE_WITH_IP –all

Sin embargo, esto nos brindara un SPF neutral.

¿Qué sucede si queremos configurar SPF pass?

Ya que hemos obtenido la información de detección del problema, y hemos comprendido la vitalidad de contar con nuestros SPF “chineados”, es hora de utilizar una sentencia para los SPF mucho más específica, que indique el IP y el hostname del equipo.

Podemos utilizar el siguiente formato para configurar SPF con estado “pass”:

v=spf1 ip4:REPLACE_WITH_IP a mx a:REPLACE_WITH_HOSTNAME ~all

Las partes que definimos en REPLACE_WITH_IP las obtenemos del mensaje anterior en el apartado de “Details”. Utilizando el IP de nuestro mail server.

Una vez aplicada correctamente esta sentencia en nuestros DNS, habremos superado el proceso de configurar SPF (Sender Policy Framework) correctamente.

Un hacking saludo…