Defaults.Exposed › Configuración › SPF

Cómo configurar SPF en AWS Route 53

Añade un registro SPF en tu zona alojada de Route 53 para que los proveedores de correo distingan tus mensajes reales de las falsificaciones.

Por qué esto le importa a tu negocio

El SPF (Sender Policy Framework, o marco de directivas del remitente) es una pequeña nota en el DNS de tu dominio que indica qué servidores de correo tienen permiso para enviar mensajes usando tu nombre. Cuando alguien recibe un mensaje que dice venir de ti, su proveedor de correo consulta esa lista. Si el servidor que lo envió no está en ella, el mensaje resulta sospechoso y acaba en spam o se bloquea.

En palabras claras: el SPF dificulta que alguien suplante a tu negocio por correo y ayuda a que tus mensajes legítimos lleguen a la bandeja de entrada en lugar de a la carpeta de correo no deseado. Es un solo registro, es gratis y lleva unos minutos.

Antes de empezar: ¿es Route 53 quien gestiona realmente tu DNS?

Este es el paso que más gente hace mal. Un registro DNS solo funciona si es Route 53 quien responde a las consultas de DNS de tu dominio.

Route 53 es un proveedor de DNS, no un proveedor de buzones: responde al DNS, pero no gestiona tus bandejas de entrada. Aquí importan dos cosas:

• La zona alojada debe ser la activa. En la consola de Route 53, abre Hosted zones (zonas alojadas) y selecciona tu dominio. Anota los cuatro valores NS (servidores de nombres) que se muestran para esa zona.
• Los servidores de nombres de tu dominio deben apuntar a esos valores. Si registraste el dominio a través de Route 53 (en Registered domains), normalmente ya estará alineado. Pero si lo registraste en otro sitio, o tienes más de una zona alojada para el mismo dominio, los servidores de nombres activos podrían apuntar a un sitio completamente distinto, y nada de lo que añadas aquí hará nada. Comprueba los servidores de nombres en tu registrador y asegúrate de que coinciden con los cuatro valores NS de esta zona alojada. Si no coinciden, añade el registro SPF allí donde esté realmente tu DNS.

Averigua primero un dato: ¿quién envía tu correo?

El SPF debe nombrar todos los servicios que envían correo en nombre de tu dominio. Ejemplos habituales son Google Workspace, Microsoft 365 o el proveedor que aloje tus buzones. Cada uno publica un valor para incluir en tu registro SPF (a menudo algo como include:_spf.google.com para Google o include:spf.protection.outlook.com para Microsoft 365). Consulta las páginas de ayuda de tu propio proveedor de correo para conocer el valor exacto: esa es la parte que debes acertar.

Si envías a través de Amazon SES (el propio servicio de envío de correo de Amazon), SES usa por defecto un mecanismo distinto y el SPF para SES es opcional; pero si has configurado un dominio MAIL FROM personalizado en SES, sigue las instrucciones exactas de SES para ello. SES es un servicio aparte de Route 53; Route 53 solo almacena el registro DNS.

Paso a paso en Route 53

1. Inicia sesión en la consola de AWS y abre Route 53.
2. En el menú de la izquierda, elige Hosted zones y luego haz clic en el nombre de tu dominio.
3. Haz clic en Create record.
4. Si ves un asistente con opciones de política de enrutamiento, cambia al formulario simple (busca Quick create record): el SPF no necesita ninguna de las opciones avanzadas de enrutamiento.
5. Deja el campo Record name vacío. Un nombre vacío significa «el propio dominio». La consola muestra tu dominio junto al campo, así que no necesitas volver a escribirlo.
6. Establece Record type en TXT.
7. En el campo Value, introduce tu texto SPF entre comillas dobles: "v=spf1 include:_spf.google.com ~all" Sustituye la parte include: por el valor o valores que te indique tu proveedor de correo real. Las comillas que lo rodean son obligatorias en Route 53; consulta los errores típicos más abajo.
8. Deja el TTL en su valor por defecto (300 segundos está bien).
9. Haz clic en Create records.

Errores típicos en Route 53

• Los valores TXT deben ir entre comillas dobles. A diferencia de algunos proveedores de DNS que añaden las comillas por ti, Route 53 espera que las escribas tú. Introduce "v=spf1 ... ~all", no v=spf1 ... ~all. Omitir las comillas es el error más habitual en Route 53.
• Deja el Record name vacío para el dominio raíz. Un nombre en blanco significa el propio dominio. Si escribes el nombre completo de tu dominio en el campo Name, Route 53 vuelve a añadir la zona y acabas con tudominio.com.tudominio.com, un registro que nunca se consulta.
• Un solo registro SPF por dominio. No puedes tener dos registros TXT v=spf1: los proveedores de correo lo tratarán como defectuoso. Si ya existe un registro TXT en la raíz, edítalo para añadir el nuevo servicio en lugar de crear un segundo registro SPF.
• Zona alojada correcta, cuenta correcta. Si tienes varias zonas alojadas (o varias cuentas de AWS), es fácil editar la equivocada. Asegúrate de que la zona que editas es aquella cuyos valores NS coinciden con tus servidores de nombres activos.
• ~all frente a -all. ~all (fallo leve, softfail) significa «cualquier cosa no listada es sospechosa»; -all (fallo estricto, hardfail) significa «rechaza cualquier cosa no listada». Empieza con ~all mientras confirmas que todo se envía correctamente y luego endurece a -all cuando estés seguro de que tu lista está completa.
• Los cambios no son instantáneos. Las actualizaciones de DNS pueden tardar desde unos minutos hasta un par de horas en propagarse.

Comprueba que funcionó

Una vez guardado el registro y tras dejarle un poco de tiempo para que surta efecto, verifícalo con la comprobación gratuita de este sitio. Te dirá, en lenguaje claro, si tu registro SPF está presente y bien formado.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.