Cómo configurar registros SPF para mejorar la seguridad del correo electrónico

El correo electrónico sigue siendo uno de los canales de comunicación más importantes para las empresas, pero también es uno de los que más se utiliza de forma indebida. A medida que las bandejas de entrada se han ido llenando, los atacantes han recurrido cada vez más al spam, los mensajes falsos, las campañas de phishing, los intentos de whaling y otras formas de fraude por correo electrónico para suplantar a organizaciones legítimas. El impacto rara vez es menor. Estos ataques pueden dañar la confianza en la marca, provocar pérdidas económicas y exponer datos confidenciales.

Por lo tanto, proteger la comunicación por correo electrónico se ha convertido en un requisito básico, más que en una medida de seguridad opcional. Una de las primeras y más eficaces medidas que pueden tomar las empresas es implementar la autenticación del correo electrónico.

En esta guía sobre cómo configurar SPF, nos centramos en Sender Policy Framework (SPF), un protocolo creado para impedir que remitentes no autorizados utilicen su dominio. Por sí solo, SPF ya añade protección, pero resulta mucho más eficaz cuando se combina con DKIM y DMARC.
Juntos, ayudan a los proveedores de correo electrónico a confirmar que los mensajes proceden de fuentes aprobadas. Esa capa adicional de validación reduce los abusos y, con el tiempo, conduce a una entrega de correo electrónico más fiable y segura.

¿Qué es el SPF y por qué es importante?

El Marco de políticas del remitente, comúnmente conocido como SPF, es un protocolo de autenticación de correo electrónico que indica a los servidores de correo receptores qué sistemas están autorizados a enviar correo electrónico en nombre de su dominio. Funciona a través de un registro DNS que enumera las fuentes de envío aprobadas, como su servidor de correo, plataformas de marketing, herramientas de soporte o servicios de correo electrónico transaccional. Cuando se recibe un correo electrónico, el servidor del destinatario comprueba este registro para confirmar si el mensaje proviene de una fuente autorizada. Si es así, el correo electrónico pasa la comprobación SPF. Si no es así, el mensaje se marca o se rechaza.

SPF desempeña un papel fundamental en la protección de los dominios contra la suplantación de identidad. Sin él, los atacantes pueden falsificar fácilmente la dirección del remitente de un correo electrónico y hacer que los mensajes parezcan haber sido enviados desde su organización. SPF ayuda a evitarlo proporcionando a los servidores receptores una forma clara de verificar la legitimidad del remitente. Cuando un correo electrónico falsificado no supera la comprobación SPF, es más probable que los proveedores de buzones de correo lo bloqueen, lo pongan en cuarentena o lo marquen como sospechoso. Esto reduce las posibilidades de que los mensajes fraudulentos lleguen a las bandejas de entrada bajo su nombre de dominio y protege su marca del uso indebido en intentos de phishing y fraude.

Cualquier organización que envíe correos electrónicos utilizando su propio dominio se beneficia de SPF. Esto incluye empresas que utilizan sistemas de correo electrónico internos, empresas que envían boletines informativos o campañas promocionales, plataformas SaaS que envían notificaciones automáticas, tiendas de comercio electrónico que envían confirmaciones de pedidos, organizaciones sin ánimo de lucro que se comunican con donantes, instituciones educativas que envían correos electrónicos a sus alumnos y organizaciones que utilizan múltiples herramientas de terceros para enviar correos electrónicos. 

El SPF es especialmente importante en entornos en los que varios servicios envían correos electrónicos en nombre del mismo dominio, ya que proporciona a los proveedores de buzones de correo una única fuente fiable para determinar qué es legítimo y qué no lo es.

¡Simplifique la configuración del SPF con PowerDMARC!

Cómo configurar y añadir registros SPF

La configuración de un SPF no sólo es esencial para sus fuentes activas, sino también para todos los dominios de su propiedad, incluidos los dominios no remitentes o "aparcados", para garantizar que están a salvo de usos malintencionados. La configuración de un registro SPF es un proceso sencillo, e implica los siguientes pasos:

Paso 1: Determina tus servidores de correo electrónico y fuentes de envío.

El primer paso es recopilar una lista completa de todos los servidores y servicios autorizados para enviar correos electrónicos para su dominio. Estas fuentes pueden incluir sus propios servidores de correo (por ejemplo, Microsoft Exchange, basado en web como Gmail), cualquier proveedor de servicios de correo electrónico de terceros (ESP) que utilice para correos electrónicos de marketing o transaccionales, y otros servicios como procesadores de pagos, plataformas de comercio electrónico, CRM, servicios de asistencia o sistemas de soporte/ticketing que envíen correos electrónicos en su nombre.

Paso 2: Crear un registro SPF

Una vez que haya identificado todas sus fuentes de envío autorizadas, puede crear un registro SPF utilizando una herramienta generadora de registros SPF o elaborando manualmente la sintaxis. Un registro SPF es un registro TXT (texto) en la configuración DNS de su dominio. Asegúrese de crear sólo un registro SPF por dominio. Una sintaxis sencilla podría ser la siguiente

v=spf1 ip4:<IP address> include:<third-party domain> -all

In this example, “v=spf1” indicates the SPF version, “ip4:<IP address>” lists an authorized IP, “include:<third-party domain>” incorporates a third-party sender’s policy, and “-all” at the end indicates that emails from sources not listed should be rejected. Double-check for typos, as even small errors like ‘inlcude’ instead of ‘include’ can invalidate the record.

Paso 3: Publica tu registro SPF

Después de crear su registro SPF, necesita publicarlo en el DNS de su dominio. Los administradores de dominio pueden realizar las actualizaciones de DNS necesarias fácilmente. Puede hacerlo accediendo al sitio web de su proveedor de DNS y añadiendo un nuevo registro TXT con el contenido de su registro SPF. El contenido real debe empezar por `v=spf1` y no debe ir entre comillas dobles dentro de la propia entrada DNS (aunque algunas interfaces DNS pueden mostrarlo entre comillas). También puede pedir a su equipo informático o proveedor de alojamiento que lo haga por usted. Tenga en cuenta que los cambios de DNS pueden tardar algún tiempo (hasta 72 horas, aunque a menudo mucho más rápido) en propagarse por Internet.

Paso 4: Prueba tu registro SPF

Una vez que haya publicado su registro SPF y haya esperado el tiempo necesario para su propagación, es esencial probarlo para asegurarse de que funciona correctamente y no supera el límite de 10 búsquedas DNS (mecanismos como «include», «a», «mx», «ptr», «exists» y «redirect» cuentan para este límite, incluidas las búsquedas dentro de sentencias «include» anidadas). Puede utilizar verificadores de registros SPF en línea verificadores de registros SPFen línea, como los que ofrecen PowerDMARC o MXToolbox, para comprobar su registro SPF. Estas herramientas le indicarán si su registro SPF es válido, tiene el formato correcto, está dentro del límite de búsquedas y funciona según lo previsto.

5 conceptos erróneos sobre los registros SPF 

Hay ciertos mitos sobre los registros SPF que circulan por Internet y que pueden llevar a la gente a tomar decisiones incorrectas. Vamos a desmontarlos uno a uno: 

1. El SPF por sí solo puede prevenir la suplantación de identidad. 

Esto es falso. Configurar SPF por sí solo no puede evitar todos los tipos de suplantación de identidad, especialmente en lo que respecta al encabezado "De" que ven los usuarios. Para ofrecer una mayor protección e indicar a los receptores cómo gestionar los fallos, SPF debe combinarse con DKIM y DMARC (autenticación, notificación y conformidad de mensajes basados en dominios). DMARC permite a los propietarios de dominios especificar una política (como rechazo o cuarentena) para los correos electrónicos que no superen las comprobaciones SPF o DKIM.

2. Puede utilizar +all en su registro SPF.

El uso de +all permite a cualquier servidor de Internet enviar correos electrónicos en nombre de su dominio. Esto anula por completo el propósito de seguridad del protocolo SPF. En su lugar, ~all (fallo suave) o preferiblemente -all (fallo duro) son los mecanismos recomendados para utilizar al final de su registro para implementar SPF de manera efectiva.

3. El SPF funciona para los correos electrónicos reenviados. 

A todos nos gustaría que fuera cierto. Por desgracia, en muchos casos de reenvío de correo, SPF se rompe. Esto ocurre porque la dirección IP del servidor de reenvío a menudo no coincide con las IP autorizadas que figuran en el registro SPF del remitente original, y la información del encabezado puede cambiar. En estos casos, protocolos como DKIM (que normalmente sobrevive al reenvío) o preferiblemente ARC(Authenticated Received Chain) pueden ayudar a mantener los resultados de autenticación a través de los saltos de reenvío.

4. Los registros SPF tienen búsquedas DNS ilimitadas. 

La especificación SPF (RFC) impone un límite máximo de 10 búsquedas DNS por comprobación SPF. Mecanismos como «include», «a», «mx», «ptr», «exists» y «redirect» realizan búsquedas DNS. Superar este límite da lugar a un error SPF PermError (error permanente), lo que puede provocar que los correos electrónicos legítimos no superen la autenticación. Es esencial mantener su registro conciso y utilizar métodos de optimización SPF como el aplanamiento o las macros SPF dinámicas para mantenerse dentro del límite, especialmente si utiliza muchos remitentes externos.

5. Con SPF, ¡puede «configurarlo y olvidarse»! 

No cometa este error SPF Su infraestructura de envío de correo electrónico puede cambiar con el tiempo: puede añadir nuevos servicios de terceros, cambiar de ESP o dar de baja servidores antiguos. Debe actualizar sus registros SPF con regularidad para reflejar estos cambios. Si no los actualiza, es posible que las nuevas fuentes de envío legítimas no estén autorizadas, lo que puede provocar que los servidores receptores bloqueen o marquen como spam sus correos electrónicos.

Buenas prácticas del SPF

Configurar SPF no es una tarea que se realiza una sola vez. Los dominios cambian con el tiempo, se añaden nuevas herramientas y el comportamiento del envío de correos electrónicos evoluciona. Es fundamental realizar un seguimiento continuo para garantizar que su registro SPF siga funcionando según lo previsto. Comprobar periódicamente los resultados de la autenticación y los comentarios sobre la entrega ayuda a identificar los fallos de forma temprana, antes de que afecten a la colocación en la bandeja de entrada o expongan su dominio a un uso indebido.

SPF funciona mejor cuando se combina con DKIM y DMARC. SPF verifica desde dónde se envía un correo electrónico, mientras que DKIM confirma que el contenido del mensaje no ha sido alterado, y DMARC une estas comprobaciones definiendo cómo deben gestionar los servidores receptores los fallos. El uso conjunto de los tres crea un marco de autenticación más sólido y proporciona a los proveedores de buzones de correo señales más claras sobre qué mensajes son fiables.

También es importante revisar periódicamente qué sistemas están autorizados para enviar correos electrónicos en su nombre. Con el tiempo, las organizaciones suelen añadir plataformas de marketing, herramientas de atención al cliente, sistemas de facturación o servicios de automatización, mientras que las herramientas más antiguas pueden dejar de utilizarse. Mantener remitentes obsoletos o innecesarios en su registro SPF aumenta el riesgo y puede provocar errores de configuración. De este modo, una revisión periódica garantiza que solo los servicios activos y aprobados sigan estando autorizados, lo que mantiene su registro SPF preciso y eficaz.

Optimice su configuración de SPF con PowerDMARC

El SPF es uno de los pilares fundamentales de la seguridad del correo electrónico. Cuando se configura correctamente, ayuda a los proveedores de buzones de correo a verificar qué fuentes de envío son legítimas, reduce la suplantación de dominios y genera confianza general en su correo electrónico.

Conseguir un SPF adecuado requiere un poco de atención continua. Implica identificar a todos los remitentes autorizados, estructurar cuidadosamente el registro, mantenerse dentro de los límites de búsqueda de DNS y realizar pruebas periódicas. A medida que cambia su entorno de correo electrónico (nuevas herramientas, nuevas plataformas, nuevos flujos de trabajo), la configuración debe mantenerse al día. Cuando esto ocurre, el SPF sigue haciendo su trabajo de forma silenciosa y eficaz en segundo plano.

Dado que la gestión manual de SPF puede resultar compleja, especialmente para las organizaciones que utilizan múltiples servicios de correo electrónico o plataformas de terceros, ¡PowerDMARC puede simplificar este proceso! Le ayuda a supervisar el rendimiento de SPF, detectar problemas de configuración, mantenerse dentro de los límites de búsqueda y alinear SPF con las políticas DKIM y DMARC. Con herramientas de análisis y optimización integradas, PowerDMARC facilita el mantenimiento de una configuración de autenticación de correo electrónico segura, precisa y escalable.

Comience una prueba gratuita de 15 días o reserva una demostración con PowerDMARC para optimizar su configuración SPF y reforzar la seguridad general de su correo electrónico.

Preguntas más frecuentes (FAQ)

¿Puedo tener varios registros SPF para un mismo dominio?

No. Un dominio debe tener exactamente un registro SPF. Publicar varios registros SPF para el mismo dominio es un error común que hará que la validación SPF falle o devuelva resultados impredecibles (a menudo None o PermError). Si necesita autorizar varias fuentes de envío, todas deben incluirse en una única cadena de registro SPF TXT.

¿Puedo dividir un registro SPF grande?

Dividir una política SPF lógicamente grande en varios registros TXT para el mismo dominio no está permitido debido a la regla de un solo registro. Además, los registros TXT de DNS individuales tienen límites de cadenas de caracteres (aunque los sistemas DNS modernos suelen admitir varias cadenas dentro de un mismo registro para superar los antiguos límites de 255 caracteres). Si su registro se vuelve demasiado complejo o supera el límite de 10 búsquedas DNS, no puede simplemente dividirlo. En su lugar, pruebe estas tácticas: 

1. Simplifique su registro: Elimine las entradas redundantes o innecesarias. Consolide los rangos de IP utilizando la notación CIDR siempre que sea posible.
2. Minimizar los mecanismos de búsqueda: Reducir el número de mecanismos `include`, `a`, `mx`, `exists` y `redirect`.
3. Utilice soluciones de gestión SPF: emplee servicios de terceros que ofrezcan soluciones de aplanamiento SPF o SPF dinámico (basadas en macros) para gestionar registros complejos y mantenerse dentro de los límites.

¿Por qué se utiliza el registro SPF?

Un registro SPF se utiliza para evitar la suplantación de identidad en el correo electrónico, ya que permite a los propietarios de dominios declarar públicamente qué servidores de correo están autorizados a enviar correo electrónico en nombre de su dominio. Los servidores receptores comprueban este registro para verificar la legitimidad del servidor remitente, lo que reduce las posibilidades de que el phishing, el spam y otros correos fraudulentos enviados utilizando el nombre del dominio lleguen a las bandejas de entrada de los destinatarios.

¿Cuándo necesitas SPF?

Necesita SPF para cualquier dominio que posea, especialmente los utilizados para enviar correo electrónico. Se trata de un protocolo de autenticación de correo electrónico fundamental necesario para mejorar la entregabilidad del correo electrónico, proteger la reputación de su marca, verificar la autenticidad y cumplir las políticas de los servidores receptores y las prácticas recomendadas del sector, incluidas las exigencias recientes de los principales proveedores como Google y Yahoo. Más información sobre la importancia de la configuración de SPF. Incluso los dominios que no envían correo electrónico deben tener un registro SPF restrictivo (por ejemplo, `v=spf1 -all`) para evitar abusos.

¿Cómo optimizar el registro SPF?

Puede optimizar su registro SPF manualmente revisando y consolidando cuidadosamente los remitentes autorizados, eliminando las fuentes no utilizadas, utilizando una notación de rango IP eficiente (CIDR) y minimizando los mecanismos que provocan búsquedas DNS. Sin embargo, para situaciones complejas o para garantizar que se mantiene por debajo del límite de 10 consultas, una opción más sencilla es utilizar servicios de optimización SPF de terceros que ofrezcan soluciones automatizadas de aplanamiento o macros SPF dinámicas para la gestión continua del registro.

¿Cómo puedo saber si mi registro SPF está configurado correctamente?

Puede comprobar su registro SPF mediante una herramienta en línea herramienta de búsqueda de registros SPF. Estas herramientas validan la sintaxis, comprueban si el registro existe en su DNS, verifican si está dentro del límite de 10 búsquedas DNS y confirman si en general está configurado correctamente.

"`

• Acerca de
• Últimas publicaciones

Ahona Rudra

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• La CSA exige DMARC para la certificación Cyber Essentials Mark - 10 de febrero de 2026
• Implementación práctica de DMARC para MSP y empresas: lo que la mayoría de las guías pasan por alto - 9 de febrero de 2026
• PowerDMARC ahora se integra con Elastic SIEM - 5 de febrero de 2026