Aplanamiento del FPS

Corregir automáticamente el límite de 10 búsquedas

Simplifica tu complejo registro SPF en una única llamada de inclusión. Se actualiza automáticamente cada vez que tus proveedores de correo electrónico cambien sus direcciones IP. Enfoque sin intervención. Sin necesidad de editar el DNS. Sin mantenimiento.

Consulta tu registro SPF en formato plano antes de modificar tu DNS

¿No sabes cómo quedará tu registro simplificado? Añade tus remitentes de correo electrónico, observa cómo aumenta el recuento de consultas DNS en tiempo real y obtén una vista previa del resultado simplificado exacto antes de realizar ningún cambio en tu DNS en producción.

¿Qué es el aplanamiento del FPS?

La simplificación de SPF es el proceso de convertir un registro SPF complejo (que contenga múltiples mecanismos «include:», «a», «mx» o «redirect=») en una versión simplificada que enumere directamente las direcciones IP resueltas. En lugar de indicar a los servidores de correo receptores que busquen qué direcciones IP utiliza cada uno de tus proveedores de correo electrónico, un registro simplificado resuelve todo eso previamente y escribe la respuesta directamente en tu DNS.

Comparación de registros SPF
ANTES DE APLANAR
TRAS EL APLANADO
Configuración de SPF

13 consultas DNS, se ha superado el límite

v=spf1 include:u538675.wl176.sendgrid.net include:_spf.google.com include:spf.protection.outlook.com include:zoho.com include:amazonses.com include:spf.sendinblue.com ~all
Configuración de SPF

1 consulta de DNS, siempre dentro del límite

v=spf1 include:kfho42w5d9.powerspf.com ~all

Cómo funciona el límite de 10 consultas DNS

Cada vez que un servidor de correo receptor evalúa tu registro SPF, sigue cada mecanismo «include:», «a» o «mx» para encontrar las direcciones IP autorizadas. Según el RFC 7208 (la especificación oficial de SPF), esta cadena de resolución tiene un límite de 10 consultas DNS. Si se supera ese límite, el SPF devuelve un «PermError» (error permanente), lo que suele provocar que tus correos electrónicos legítimos no superen la autenticación y acaben en la carpeta de spam o sean rechazados directamente.

¿Qué ocurre cuando se supera ese límite (PermError)?

Cuando tu registro necesita más de 10 consultas para completarse, los servidores de correo dejan de evaluar a partir de la décima consulta, por lo que los remitentes que aparecen a partir de ese punto simplemente no se comprueban. SPF devuelve un «PermError» y, dependiendo de tu política DMARC, los correos electrónicos de esos remitentes no comprobados pueden ser puestos en cuarentena o rechazados. El error suele pasar desapercibido: no recibes ningún mensaje de rebote. Tus correos electrónicos simplemente dejan de llegar.

Servicio
Mecanismo del SPF
Búsquedas
Microsoft 365
include:spf.protection.outlook.com
1 (+3 anidados)
Espacio de trabajo de Google
include:_spf.google.com
1 (+3 anidados)
Mailchimp / Mandrill
include:spf.mandrillapp.com
1 (+1 anidado)
Salesforce
include:_spf.salesforce.com
1 (+1 anidado)
SendGrid
include:sendgrid.net
1 (+1 anidado)
Zendesk
include:mail.zendesk.com
1
Total
~11 — por encima del límite ×

El problema fundamental del «flattening» estático de SPF

La «aplanamiento» resuelve todos esos mecanismos de inclusión en sus direcciones IP subyacentes y los escribe directamente en tu registro. En teoría, esto elimina por completo las búsquedas anidadas. En la práctica, un registro «aplanado» de forma estática tiene una vida útil predecible: en el momento en que cualquiera de tus proveedores de correo electrónico cambie sus rangos de IP, tu registro «aplanado» deja de ser válido.

Google, Microsoft, Mailchimp y SendGrid actualizan su infraestructura de envío sin avisar a los propietarios de los dominios que dependen de ella.

Límites de longitud de los registros

Los registros TXT del DNS tienen límites de tamaño prácticos (255 bytes por cadena). Un registro completamente desarrollado que incluya muchos rangos de IP puede superar dichos límites, lo que provoca errores de validación.

Carga que supone el mantenimiento continuo

Cada vez que añades un nuevo servicio de correo electrónico, vuelves a «aplanar» la estructura. Cada vez que eliminas uno, vuelves a «aplanar» la estructura. Esto se vuelve insostenible a medida que crece la infraestructura.

Cambios silenciosos de IP

El estándar SPF no prevé ningún mecanismo de notificación. Cuando un proveedor cambia de direcciones IP, solo te enteras cuando la capacidad de entrega ya ha disminuido.

Cómo funciona nuestro sistema automático de nivelación del SPF

La herramienta de simplificación de SPF de PowerDMARC forma parte del servicio SPF alojado PowerSPF y gestiona todo el proceso de forma automática, manteniendo tu registro actualizado a medida que cambia tu infraestructura de correo electrónico.

1
Añade tu dominio

Regístrate y añade tu dominio. PowerDMARC detecta automáticamente tu registro SPF actual al instante, sin necesidad de introducir ningún dato manualmente.

2
Analiza tus búsquedas

Descubre exactamente cuántas consultas DNS utiliza tu registro, qué servicios son los que más contribuyen a ello y si corres el riesgo de sufrir un PermError.

3
Aplanar con un solo clic

Todos los mecanismos de inclusión se resuelven en sus direcciones IP actuales y se comprimen en una única inclusión optimizada. Tu recuento se reduce a 1.

4
Implementa y mantente al día

Publica el nuevo registro. PowerDMARC supervisa a tus proveedores y actualiza automáticamente los datos cuando cambian las direcciones IP, por lo que nunca queda desactualizado.

Aplanamiento manual frente a aplanamiento SPF automatizado

Aplanado manual

Los cuellos de botella operativos y las fricciones ocultas derivadas del seguimiento manual.

Se superan con frecuencia los límites de consulta

Añadir servicios de terceros manualmente hace que tu DNS supere rápidamente el límite de 10 consultas, lo que interrumpe el envío de correos electrónicos sin previo aviso.

Fallos silenciosos del SPF

Cuando los proveedores actualizan sus direcciones IP subyacentes, tu registro estático manual queda desactualizado sin que te des cuenta hasta que detectes fallos en la entrega.

Desarrollo ilimitado de los personajes

La expansión manual de los subregistros hace que las cadenas de caracteres se alarguen rápidamente, superando con facilidad el estricto límite de 255 caracteres establecido para cada cadena DNS.

Propenso al error humano

Los errores tipográficos, una sintaxis de formato incorrecta o la transcripción errónea de bloques largos de rangos de direcciones IP provocan fallos graves de seguridad y de capacidad de entrega.

Difícil de mantener y supervisar

Requiere auditorías manuales continuas, seguimiento mediante hojas de cálculo y tiempo de los desarrolladores solo para llevar un control de las aplicaciones empresariales estándar.

VS
Aplanamiento dinámico de SPF de PowerDMARC

Una infraestructura de seguridad automatizada y eficiente dentro de tu entorno nativo.

Se mantiene dentro de los límites de forma automática

La asignación dinámica avanzada condensa automáticamente numerosas consultas de forma segura por debajo del límite máximo establecido por el protocolo de 10 consultas.

Se actualiza automáticamente cuando cambian las direcciones IP

Los scripts de comprobación automática en segundo plano detectan al instante los cambios de proveedores del sistema y actualizan automáticamente la red de forma fluida en cuestión de minutos.

Comprimido hasta su tamaño mínimo

El ajuste inteligente de bloques de texto mediante algoritmos elimina los espacios sintácticos redundantes, comprimiendo los registros para minimizar las rutas de caracteres.

Totalmente automatizado, sin modificaciones manuales

Elimina las operaciones estructurales manuales personalizadas que entrañan riesgos, dejando que las reglas del software supervisen de forma sistemática las configuraciones de tu plataforma sin que se produzcan errores.

Se configura una vez y permanece activo para siempre

Implementar un identificador de configuración estático y permanente del motor y proteger de forma continua los parámetros de autenticación del dominio digital a largo plazo.

Riesgos y buenas prácticas en la aplanación de SPF

La «aplanamiento SPF» es una técnica válida, pero conlleva riesgos que conviene conocer antes de recurrir a ella, sobre todo si tienes pensado gestionar el registro manualmente.

Riesgos que debes conocer antes de empezar

Cambios en las direcciones IP: los principales proveedores cambian periódicamente los rangos de IP de salida; cuando lo hacen, los correos procedentes de las nuevas IP fallan inmediatamente en la verificación SPF, y solo te das cuenta cuando disminuye la capacidad de entrega.

Sobrecarga de registros y límites del DNS: un registro simplificado de una organización con muchos servicios puede llegar a contener cientos de entradas de IP, superando los límites de tamaño prácticos y provocando un «Permerror».

Carga de mantenimiento: un registro manual no es una solución que se aplique una sola vez. Si se añade un servicio, se elimina uno o se encarga a un proveedor que actualice la infraestructura, hay que volver a estructurar y volver a publicar.

Buenas prácticas

Autoriza únicamente a remitentes activos y legítimos: antes de realizar la simplificación, revisa tu registro y elimina las entradas correspondientes a servicios que ya no utilices. Cada entrada innecesaria aumenta el número de consultas y la superficie de ataque.

Supervisa los índices de superación y fracaso del SPF en los informes DMARC: los informes agregados muestran exactamente qué fuentes superan la comprobación y cuáles no. Los fracasos inexplicables tras la simplificación suelen indicar un rango de IP obsoleto.

Utiliza SPF junto con DKIM y DMARC: SPF por sí solo no impide la suplantación de identidad. Para una autenticación adecuada se necesitan los tres: SPF y DKIM para garantizar la coherencia, y DMARC para definir qué ocurre cuando fallan.

Revalídalo tras cualquier cambio en la infraestructura: cada vez que añadas o elimines un servicio de correo electrónico, comprueba tu registro con una herramienta de verificación de SPF antes de dar por hecho que sigue siendo válido.

Para casos de uso avanzados: macros SPF

En configuraciones complejas con múltiples dominios de envío, una infraestructura de gran volumen y direcciones IP de proveedores que cambian con frecuencia, las macros SPF utilizan variables dinámicas que se resuelven en el momento de la evaluación, lo que permite eludir el límite de 10 consultas sin necesidad de actualizar nunca el DNS. PowerSPF es compatible tanto con la simplificación como con las macros: la simplificación automatizada se adapta a la mayoría de las organizaciones; las macros son la opción empresarial más duradera.

Miles de personas en todo el mundo confían en nosotros

Jennifer Heisel

Jennifer Heisel

Administrador de sistemas

★★★★★

«PowerDMARC elimina el límite de consultas SPF en nuestros dominios gracias al servicio de SPF alojado; solo tenemos que publicar un registro SPF en nuestro DNS».

David Spigelman

David Spigelman

Presidente

★★★★★

"PowerDMARC ayuda mucho con los errores de SPF, en particular, al facilitar la realización de "SPF Folding", que a menudo es necesaria para clientes que necesitan más SPF includes de los que técnicamente están permitidos".

Dylan Bouterse

Dylan Bouterse

Consultor de seguridad tecnológica

★★★★★

"Con el aplanamiento del SPF, pudimos ampliar fácilmente el SPF incluye para inspeccionar los detalles del registro".

Preguntas frecuentes

¿Qué ocurre si mi registro SPF supera las 10 búsquedas?
A los proveedores de correo electrónico les cuesta comprobar tu SPF a partir de la décima consulta, por lo que, si tu registro SPF supera ese límite, suele producirse un «PermError», y es posible que tus correos electrónicos legítimos empiecen a ser rechazados o a acabar en la carpeta de spam.
¿El aplanamiento SPF aumenta la seguridad?
El aplanamiento no hace que el SPF sea más seguro; solo te ayuda a mantenerte dentro del límite de 10 consultas, lo que mejora la precisión de tu configuración de SPF. La protección real sigue proviniendo de la combinación de SPF + DKIM + DMARC.
¿Debo aplanar los registros proporcionados por Google/Microsoft?
Los principales proveedores de correo electrónico, como Google y Microsoft, actualizan sus direcciones IP con frecuencia, por lo que un registro aplanado manualmente puede quedar obsoleto rápidamente a menos que se actualice constantemente. Una solución dinámica como PowerDMARC resuelve este problema.
¿Cómo sé cuándo volver a aplanar?
Con el aplanamiento manual, cada vez que añadas o elimines un servicio de correo, o cuando tu proveedor actualice sus rangos de IP, es un buen momento para volver a aplanar tu registro. Si observas fallos repentinos de SPF en los informes, es otra señal de que ha llegado el momento. Con nuestra herramienta de aplanamiento de SPF, esto se hace de forma automática y sin complicaciones.
¿Se seguirá recomendando el aplanamiento en 2026?
El aplanamiento tradicional sigue siendo útil en ciertos casos, pero no es la solución a largo plazo. Dado que los proveedores cambian las direcciones IP con mayor frecuencia y la automatización se está convirtiendo en la norma, las soluciones SPF dinámicas como PowerSPF se están convirtiendo rápidamente en el enfoque más fiable.
¿Cuál es la diferencia entre el «SPF flattening» y las «macros SPF»?
La «aplanamiento» de SPF resuelve todos los mecanismos «include:» en direcciones IP directas y las escribe en el registro. Reduce las consultas, pero genera una instantánea estática que debe actualizarse cada vez que cambian las direcciones IP de los proveedores. Las macros SPF utilizan variables dinámicas que se resuelven en el momento de la evaluación, por lo que el registro nunca necesita actualizarse, ni siquiera cuando cambia la infraestructura del proveedor. Las macros son técnicamente superiores, pero requieren un servicio SPF alojado para implementarlas correctamente. Para la mayoría de las organizaciones, la simplificación automatizada es suficiente; para entornos empresariales con configuraciones complejas de varios dominios, las macros son la solución más duradera a largo plazo.
¿Puedo tener dos registros SPF en el mismo dominio?
No. El RFC 7208 prohíbe explícitamente la existencia de varios registros SPF en un mismo dominio. Si un servidor receptor encuentra más de un registro SPF de tipo TXT, devuelve un PermError y se ignoran ambos registros. Debes tener exactamente un registro SPF correctamente configurado y que se ajuste al límite de 10 consultas.

¿Estás listo para arreglar tu registro SPF?

La corrección de SPF no tiene por qué ser un problema recurrente. ¡Con nuestra herramienta es muy sencillo!

  • Soluciona al instante el error «SPF PermError»
  • Actualizaciones automáticas cuando cambian las direcciones IP de los proveedores
  • Una vez incluida, se mantiene para siempre
  • Integrado con la supervisión de DMARC
  • No se requieren conocimientos técnicos
  • Gratis durante 15 días, sin necesidad de tarjeta de crédito