“SPF PermError” es un error común de múltiples búsquedas DNS que se consiguen en diversas implementaciones de los esquemas para las firmas de política de envíos (SPF según sus siglas en inglés). Cuando un SPF hace más de 10 búsquedas de DNS, envía un mensaje de “error permanente” lo cual reduce las posibilidades de poder enviar tus correos con éxito.
- ¿Qué significa el mensaje “SPF múltiples búsquedas de DNS” y por qué es considerado un error?
- ¿Por qué hay un límite de chequeos DNS para registros SPF?
- ¿Cómo soluciono el error “SPF múltiples búsquedas de DNS”?
¿Qué significa el mensaje “SPF múltiples búsquedas de DNS” y por qué es considerado un error?
Debido a que “SPF PermError” es percibido como un fallo por parte de DMARC, las posibilidades que tu correo vaya directo al buzón de correo basura son bastante altas. Te recomendamos ampliamente que mantengas tus registros SPF actualizados y en línea con los mecanismos de búsqueda de DNS y con los modificadores ajustados a una cifra igual o inferior a 10.
La herramienta de búsqueda de registros SPF de EasyDMARC puede ser utilizada para obtener los registros SPF de tu dominio.
¿Por qué hay un límite de chequeos DNS para registros SPF?
El límite de 10 búsquedas DNS es necesario para protegerte ante ciertas amenazas, tales como ataques DDoS. El ejemplo que te mostramos a continuación debería ayudar a ilustrar este argumento.
En un dominio particular (por ejemplo: “baddomain.com”) un agente malicioso publica un registro SPF usando múltiples referencias hacia otros dominios. (por ejemplo: puede usar el mecanismo de “inclusión” y hacerlo pasar por tu dominio).
Estos envían una amplia cantidad de correos a distintas direcciones manejadas por los servicios de hosting de diversos proveedores de servicios de correo electrónico (ESPs por sus siglas en inglés) con su propia firma SPF activada. Cuando los ESPs reciben estos correos, estos chequean los registros DNS de tu dominio para validar el registro enviado por el agente malicioso.
Esto expande el tránsito y se convierte en un ataque DDoS a tu dominio ya que involucra múltiples proveedores de servicios de correo con dominios válidos accediendo al proceso de chequeo.
La fuente real del ataque se mantiene oculta bajo la cadena de transacciones. Como resultado tienes la posibilidad de observar cómo los agentes maliciosos se aprovechan de los procesos de autenticación de tus correos electrónicos. Esto a su vez, limita la cantidad de búsquedas de DNS a un tope máximo de chequeos por parte de los ESPs para minimizar los riesgos.
¿Cómo soluciono el error “SPF múltiples búsquedas de DNS”?
Cuando creas un registro SPF debes seguir una serie de prácticas comunes que te permiten mantener el límite de 10 chequeos DNS por búsqueda:
1. Remueve cualquier elemento de “inclusión” que no sea necesario
La búsqueda de DNS siempre es redirigida al registro SPF de otro dominio para cerciorarse de que la IP esté en regla y posee la aprobación para su “inclusión”. El límite de 10 intentos para el chequeo de registros debe estar incluido en tu registro SPF original, así como en los registros de las direcciones que redirige tus correos.
Asegúrate que cada enunciado de “inclusión” en tus registros SPF sea un requerimiento insustituible con un mecanismo que no permita exceder el conteo límite.
Los mecanismos “all,” “ip4,” e “ip6”, así como los modificadores “exp” no realizan búsquedas de DNS durante la validación de registro SPF. El modificador “exp” hace su búsqueda posteriormente y su uso está exento de los límites de 10 chequeos.
Por ejemplo:
Este registro puede considerarse averiado y el número de búsquedas y modificadores debe ser reducido cuanto antes.
Si la búsqueda del registro SPF resulta correcta luego de que borramos los elementos de “inclusión” innecesarios:
Por ejemplo
Ahora tus registros SPF deberían lucir mejor.
No te olvides de usar la herramienta de chequeos de registros en EasyDMARC para cerciorarte de que no existan múltiples registros SPF en tus DNS, ya que estos son los que generan el mensaje de error.
2. Usa los métodos ip4 e ip6
Si es necesario, usa los mecanismos 104 e ip6 en vez de usar declaraciones de inclusión. En tu registro SPF, los mecanismos ip4 e ip6 son utilizados como listas de IP estáticas.
Un registro SPF con declaración de “inclusión”
Ejemplo:
El registro SPF en este ejemplo incluye una serie de IPs estáticos. El número total de búsquedas debería disminuir en tres dígitos cuando la declaración de “inclusión” es reemplazada con mecanismos ip4, llevando los chequeos a 10 en lugar de 13.
Ejemplo:
Si tienes varias declaraciones de “inclusión” en tus registros SPF, esta sustitución te ayudará a minimizar el número de búsquedas de tus DNS.
3. Remueve cualquier mecanismo que pertenezca a los controles de tu dominio
Como puedes ver en el ejemplo previo, este registro SPF incluye un dominio malicioso y el dominio de tu página,
Por otra parte, el registro SPF para el dominio malicioso ya tiene una declaración de “inclusión” para tu dominio. Esto trae como consecuencia que el mecanismo “include:spf.yourdomain.net” de tu dominio ya no es necesario y debe ser eliminado.
4. Borra todos los mecanismos “ptr”
Los mecanismos “ptr” son un tipo de registro DNS que correlaciona una dirección IP con el huésped de un dominio. Las especificaciones SPF no sugieren el uso de mecanismo “ptr” en los registros SPF ya que esto puede resultar en múltiples búsquedas del DNS que sobrepasen los 10 chequeos.
Remueve cualquier referencia no válida o sin uso de tu dominio
Borra la declaración de “inclusión” que guían los chequeos SPF a un dominio que ya no envía correos electrónicos por parte de tu dominio, tales como vendedores de dominios web.
También puedes hacer una doble revisión de todos los dominios que usan tus registros SPF.
Aquéllos que no estén en uso o sean redundantes deben ser removidos para reducir la cantidad de búsquedas de DNS.
5. Utiliza un registro SPF plano
Incluso con excesivas mejoras a tus registros SPF, puede que no siempre llegues a configurar el límite de 10 chequeos de DNS. Se hace necesario usar un registro SPF plano como forma de acceso alternativa. Este método también puede ayudarte a reducir el número de mecanismos que solicitan información de tu DNS y sus modificadores a un solo chequeo.
Para lograr un registro SPF plano debes hacer lo siguiente:
- Obtén la dirección IP de cada uno de los mecanismos que consultan tu DNS y los modificadores incluidos en el registro.
- Reemplaza el mecanismo de consulta original y el modificador con la dirección IP
El número total de búsquedas disminuye a uno cada vez que los mecanismos en los modificadores son reemplazados. Cuando ambos sean reemplazados, el conteo total disminuye a uno ya que tu registro SPF queda en el tope y solo se necesita una consulta para conseguir tu DNS.
Conclusión
La ventaja de usar un registro SPF plano es que puedes convertir una versión muy compleja de este, con requerimientos de 10 búsquedas del DNS, en una lista de direcciones IP que mantiene altos niveles de seguridad.
La desventaja es que los registros SPF planos no mantienen su sincronización con la dirección IP específica en el registro, lo cual arroja resultados de autenticación fallidos si la dirección IP cambia. Esto también requiere que mantengas tu dirección IP bajo observación y que actualices tus registros SPF constantemente.
Si tienes el registro SPF apropiado, después de usar el proceso de optimización descrito anteriormente, te sugerimos que uses un registro SPF plano como último recurso.
Una de estas alternativas es la herramienta EasySPF de EasyDMARC, al cual maneja de forma dinámica las búsquedas de registros SPF y resuelve el problema de búsquedas excesivas de DNS que causan los “SPF PermError”. Puedes añadir, borrar y actualizar todos los proveedores de servicios de correos electrónicos sin las limitaciones de las 10 búsquedas de DNS con una sencilla inclusión de código en tu registro SPF.