¿Cómo se crea un registro SPF?

Se crea como un registro TXT en la zona DNS del dominio. El valor tiene el formato: v=spf1 [mecanismos] [política_final]. Por ejemplo: v=spf1 mx ip4:185.14.56.5 -all. Solo puede existir un registro SPF por dominio.

¿Cuál es la diferencia entre -all y ~all en SPF?

-all (Hard Fail) indica que los servidores no autorizados deben ser rechazados. ~all (SoftFail) indica que deben ser aceptados pero marcados como sospechosos, normalmente acabando en la carpeta de spam.

¿Es obligatorio el registro SPF?

No es técnicamente obligatorio, pero sí altamente recomendado. Desde 2024, Google y Yahoo exigen SPF para remitentes de alto volumen. Sin SPF, la entregabilidad del correo se ve comprometida y el dominio es vulnerable al spoofing.

¿Qué pasa si tengo el registro SPF mal configurado?

Un SPF incorrecto es peor que no tener ninguno. Si el registro lista únicamente IPs de un proveedor antiguo, se están denegando explícitamente los servidores actuales. Los servidores de destino rechazarán o filtrarán los mensajes como si fueran spam o spoofing.

¿Cómo se verifica el registro SPF de un dominio?

En Windows: nslookup -type=txt dominio.com. En Linux/macOS: dig txt dominio.com +short. También se puede verificar online con herramientas como DMARC Analyzer o el validador de Kitterman.

Registro SPF: qué es, para qué sirve y cómo configurarlo paso a paso

Q: ¿Qué es el registro SPF?

El registro SPF (Sender Policy Framework) es un registro DNS de tipo TXT que declara qué servidores de correo están autorizados a enviar mensajes en nombre de un dominio. Su objetivo es prevenir la suplantación de identidad (spoofing) y mejorar la entregabilidad del correo electrónico.

¿Qué es el registro SPF?

El registro SPF (Sender Policy Framework) es un mecanismo de autenticación de correo electrónico basado en DNS que permite a los administradores de dominios declarar explícitamente qué servidores de correo están autorizados a enviar mensajes en nombre de su dominio.

Cuando un servidor de correo receptor recibe un mensaje, consulta el registro SPF del dominio del remitente en el DNS para verificar si el servidor emisor tiene permiso para enviar desde ese dominio. Si no lo tiene, el mensaje puede ser rechazado o marcado como spam.

SPF es uno de los tres pilares de la autenticación de correo electrónico moderno, junto con DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting and Conformance).

Definición técnica: Un registro SPF es un registro DNS de tipo TXT publicado en la zona del dominio que lista las direcciones IP y los dominios autorizados para enviar correo electrónico en nombre de ese dominio, siguiendo la especificación definida en el RFC 7208.

¿Para qué sirve el registro SPF? Beneficios principales

Implementar correctamente un registro SPF en tu dominio aporta cuatro ventajas fundamentales:

Previene la suplantación de identidad (spoofing): un atacante no podrá enviar correos haciéndose pasar por tu dominio desde servidores no autorizados.
Mejora la entregabilidad del correo: los servidores de destino confían más en los mensajes que pasan la verificación SPF y los colocan en la bandeja de entrada, no en spam.
Protege la reputación del dominio: evita que tu dominio aparezca en listas negras (blacklists) por envío de spam desde servidores ajenos.
Requisito para DMARC: sin SPF correctamente configurado, no es posible implementar una política DMARC efectiva.

En sys4net, desde que operamos el servicio de filtrado SendGuardian, el error The message failed SPF checks es uno de los más frecuentes en los logs de nuestros clientes. En la mayoría de los casos, el problema es un registro SPF ausente o mal configurado en el dominio del remitente.

¿Cómo funciona el registro SPF? Mecanismo paso a paso

El proceso de validación SPF ocurre en tiempo real durante la recepción del mensaje:

El servidor emisor envía el correo indicando el dominio del remitente (campo MAIL FROM del protocolo SMTP).
El servidor receptor extrae el dominio del remitente y realiza una consulta DNS para obtener el registro TXT con la política SPF de ese dominio.
El servidor receptor compara la dirección IP del servidor emisor con las IPs autorizadas en el registro SPF.
Según el resultado, el servidor aplica la política indicada en el registro: Pass (autorizado), Fail (rechazado), SoftFail (sospechoso) o Neutral.

¿Dónde se crea el registro SPF?

El registro SPF se publica como un registro DNS de tipo TXT en la zona DNS del dominio. Puede gestionarse desde:

El panel de control del proveedor de hosting o registrador del dominio (cPanel, Plesk, Cloudflare, etc.).
El servidor DNS autorizado del dominio, si se gestiona de forma propia.

Solo puede existir un único registro SPF por dominio. Si necesitas autorizar múltiples orígenes, deben incluirse todos en un mismo registro usando la directiva include.

Sintaxis del registro SPF: cómo se construye

Un registro SPF tiene la siguiente estructura general:

v=spf1 [mecanismos] [modificadores] [política_final]

Ejemplo real de registro SPF

sys4net.com. IN TXT "v=spf1 a mx ip4:185.14.56.5 include:sendgrid.net ~all"

Componentes del registro SPF

Componente	Descripción	Ejemplo
`v=spf1`	Versión del protocolo. Obligatorio, siempre al inicio.	`v=spf1`
`a`	Autoriza la IP del registro A del dominio.	`a`
`mx`	Autoriza las IPs de los servidores MX del dominio.	`mx`
`ip4`	Autoriza una dirección IPv4 o rango CIDR.	`ip4:185.14.56.5` o `ip4:185.14.56.0/24`
`ip6`	Autoriza una dirección IPv6 o rango.	`ip6:2001:db8::1`
`include`	Incluye la política SPF de otro dominio (útil para proveedores externos como Google Workspace, SendGrid, etc.).	`include:_spf.google.com`
`-all`	Política estricta: cualquier servidor no listado recibe FAIL. El mensaje se rechaza.	`-all`
`~all`	Política suave: cualquier servidor no listado recibe SoftFail. El mensaje puede ir a spam.	`~all`
`?all`	Política neutral: no indica preferencia. No recomendado en producción.	`?all`

Ejemplos de registros SPF habituales

Solo el servidor de correo propio (registro MX):

v=spf1 mx -all

Google Workspace + servidor propio:

v=spf1 mx include:_spf.google.com -all

IP específica + SendGrid + política suave:

v=spf1 ip4:185.14.56.5 include:sendgrid.net ~all

Múltiples proveedores:

v=spf1 mx ip4:185.14.56.0/24 include:_spf.google.com include:amazonses.com -all

Cómo crear un registro SPF paso a paso

Identifica todos los servidores que envían correo desde tu dominio: servidor de correo propio, plataformas de email marketing (Mailchimp, SendGrid, Brevo), CRMs, servicios de facturación, etc.
Accede al panel DNS de tu dominio (cPanel, Cloudflare, tu registrador de dominio, etc.).
Crea un nuevo registro TXT con los siguientes valores:
- Nombre / Host: @ (o el nombre de tu dominio raíz)
- Tipo: TXT
- Valor: tu cadena SPF, por ejemplo: v=spf1 mx ip4:TU_IP -all
- TTL: 3600 (recomendado)
Guarda el registro y espera la propagación DNS (puede tardar entre minutos y 48 horas).

Si prefieres usar un asistente, estas herramientas online generan el registro automáticamente:

Cómo verificar el registro SPF de un dominio

Una vez creado el registro, es fundamental verificar que es correcto y que se ha propagado. Existen dos métodos principales:

Verificación desde la línea de comandos

En Windows (abre CMD con Win + R → cmd):

nslookup -type=txt dominio.com

En Linux / macOS (terminal):

dig txt dominio.com +short

Busca en el resultado una línea que comience por "v=spf1 ...". Esa es tu política SPF activa.

Verificación con herramientas online

Errores comunes en la configuración del registro SPF

Más de un registro SPF en el mismo dominio: solo está permitido uno. Tener dos registros SPF genera resultados imprevisibles y hace que los servidores de destino descarten ambos. Combínalos siempre en uno solo.
Superar el límite de 10 consultas DNS: el estándar SPF permite como máximo 10 consultas DNS recursivas (contando los include). Si las superas, el resultado es PermError y tu correo puede ser rechazado.
SPF incorrecto o desactualizado: si cambias de proveedor de hosting o de email y no actualizas el SPF, estarás denegando explícitamente tus propias IPs. Es preferible no tener SPF a tenerlo mal configurado.
Olvidar los servicios de terceros: plataformas como Mailchimp, HubSpot, Brevo o Amazon SES también envían en tu nombre. Deben estar incluidos en tu SPF con include:dominio_del_proveedor.
Usar +all: esto equivale a autorizar cualquier servidor del mundo. Nunca debe usarse en producción.

Preguntas frecuentes sobre el registro SPF

¿Es obligatorio tener un registro SPF?

No es técnicamente obligatorio, pero sí altamente recomendado. Desde febrero de 2024, Google y Yahoo exigen SPF para dominios que envíen más de 5.000 mensajes diarios. Sin SPF, la entregabilidad de tu correo se ve seriamente comprometida.

¿Qué diferencia hay entre `-all` y `~all`?

-all (Hard Fail) hace que el servidor receptor rechace directamente los mensajes de servidores no autorizados. ~all (SoftFail) los acepta pero los marca como sospechosos, pudiendo acabar en la carpeta de spam. Para dominios de producción con su configuración bien definida, se recomienda -all.

¿El SPF solo protege el campo "De:" visible?

No exactamente. SPF valida el envelope sender (campo MAIL FROM del protocolo SMTP), que no siempre coincide con el campo From: visible en el cliente de correo. Para proteger también el From: visible, es necesario implementar DMARC.

¿Puedo autorizar varios proveedores de correo a la vez?

Sí. Simplemente encadena los mecanismos include en un único registro SPF: v=spf1 include:_spf.google.com include:sendgrid.net ip4:185.14.56.5 -all. Recuerda no superar el límite de 10 consultas DNS.

¿SPF funciona solo o necesita DKIM y DMARC?

SPF funciona de forma independiente, pero su efectividad es limitada si no se combina con DKIM y DMARC. La combinación de los tres protocolos es el estándar de la industria para una autenticación de correo robusta. SPF y DKIM son los pilares; DMARC los une y permite definir qué hacer cuando alguno falla.

¿Qué pasa si tengo el SPF mal configurado?

Un SPF incorrecto es peor que no tener ninguno. Si el registro SPF de tu dominio lista únicamente las IPs de un proveedor antiguo, estás denegando explícitamente tus servidores actuales. Los servidores de destino interpretarán esto como un intento de spoofing y rechazarán o filtrarán tus mensajes.

¿Cómo sé qué IPs debo incluir en mi SPF?

Debes incluir todas las fuentes que envíen correo usando tu dominio: el servidor MX principal, cualquier IP de servidores de aplicaciones web que envíen notificaciones, y los dominios SPF de cada proveedor externo que uses (Google Workspace, Microsoft 365, plataformas de email marketing, etc.). Tu proveedor de hosting o servicio de correo te facilitará su mecanismo include específico.

SPF, DKIM y DMARC: ¿cuál es la diferencia?

Protocolo	¿Qué valida?	¿Cómo funciona?
SPF	El servidor emisor (IP)	Compara la IP del servidor emisor con la lista de IPs autorizadas en el DNS
DKIM	La integridad del mensaje	Firma criptográfica en las cabeceras del mensaje, verificable con clave pública en el DNS
DMARC	La alineación del dominio y la política de actuación	Verifica que SPF o DKIM se alinean con el dominio del campo `From:` y define qué hacer si no pasan

Los tres protocolos son complementarios. SPF es el punto de partida y el más sencillo de implementar.

¿Necesitas ayuda para configurar el SPF de tu dominio?

En sys4net llevamos más de 20 años gestionando infraestructura de correo electrónico para empresas. Si tienes dudas sobre la configuración de tu registro SPF, DKIM o DMARC, o si estás viendo el error The message failed SPF checks en tus logs, nuestro equipo técnico puede ayudarte.