SPF Permerror: Cómo solucionar un exceso de búsquedas DNS
por
Última actualización: Tiempo de lectura: 8 minutos
Puntos clave
- SPF Permerror indica que hay un problema fundamental con el registro SPF de un dominio, lo que impide una evaluación precisa.
- Superar el límite de 10 búsquedas DNS puede causar problemas graves, como el rechazo del correo electrónico o su clasificación como spam.
- Los errores de sintaxis en el registro SPF pueden dar lugar a Permerror, por lo que es necesario un formato y una verificación cuidadosos.
- Los registros SPF sobredimensionados pueden superar los límites de caracteres establecidos, lo que contribuye a problemas de entregabilidad y posibles errores SPF.
- Utilizar herramientas de SPF flattening puede ayudar a optimizar los registros para evitar Permerrors y mejorar la autenticación del correo electrónico.
El Marco de políticas del remitente (SPF) es un método de autenticación de correo electrónico que permite a los propietarios de dominios definir qué servidores de correo tienen permiso para enviar mensajes utilizando su nombre de dominio. Cuando llega un mensaje, los servidores de correo receptores comprueban el SPF para ver si procede de una de esas fuentes aprobadas antes de decidir cómo tratarlo.
Durante la validación SPF, un PermError señala un problema permanente en el registro SPF que impide que se evalúe correctamente. Esto suele ocurrir cuando el registro supera el límite de búsqueda DNS o incluye problemas estructurales que interrumpen el procesamiento de SPF. En lugar de fallar ocasionalmente, la autenticación falla siempre.
Cuando eso ocurre, incluso los correos electrónicos legítimos pueden empezar a parecer sospechosos a los servidores receptores. Los mensajes pueden ser rechazados, enviados a la carpeta de spam o provocar fallos DMARC, todo ello porque el registro SPF en sí mismo no puede evaluarse de forma fiable.
Si desea solucionar el error SPF PermError, lo primero que debe hacer es comprender qué lo provoca. En este artículo, analizamos las causas más comunes del error SPF PermError y explicamos formas prácticas de resolverlas para que sus correos electrónicos se autentiquen correctamente y lleguen a las bandejas de entrada previstas.
¿Qué es el SPF Permerror?
Un SPF Permerror es un error permanente en su registro SPF, lo que significa que hay algo mal en él que impide que funcione.
Un resultado Permerror es devuelto por los servidores de correo receptores cuando su registro SPF tiene un problema crítico que hace que sea imposible evaluarlo, como una sintaxis incorrecta, demasiadas búsquedas DNS (por encima del límite de 10) o mecanismos no válidos. A diferencia de un "fallo" SPF normal (que significa que un correo electrónico no ha superado la autenticación), un Permerror indica que el propio registro SPF está roto o mal configurado. Esto no sólo afecta a la capacidad de entrega, sino que también puede debilitar su sistema DMARC si SPF es el único mecanismo que utiliza para alinear su correo electrónico.
¿Por qué SPF tiene un límite de 10 búsquedas DNS?
Puede que pienses que el límite de 10 búsquedas DNS en SPF es restrictivo, pero está ahí por una buena razón.
De acuerdo con RFC 7208este límite existe principalmente por motivos de seguridad y rendimiento. Específicamente, ayuda a proteger a los servidores de correo receptores de denegación de servicio (DoS) causados por un exceso de consultas DNS.
Así es como se podría abusar de ella:
Un actor de amenazas podría crear un registro SPF malicioso que desencadene cientos de búsquedas DNS haciendo referencia a múltiples dominios o includes. Esto podría estar vinculado a un dominio falsificado que se hiciera pasar por una empresa de confianza. Cada vez que un servidor receptor intente validar un correo electrónico de este tipo, se verá obligado a resolver todas esas búsquedas, lo que ralentizará el servidor o incluso lo bloqueará.
Al limitar las búsquedas DNS a 10, SPF ayuda:
- Mantener el rendimiento del procesamiento del correo electrónico
- Protección contra los ataques por agotamiento de recursos
- Mejorar la fiabilidad anti-spoofing fomentando un mejor diseño de los registros SPF.
¿Cuál es la causa del permerror del FPS?
Un error SPF puede deberse a varias causas, como búsquedas DNS excesivas, errores de sintaxis, registros mal configurados o incluso entradas SPF demasiado grandes. Veamos las causas más comunes:
1. Errores de sintaxis SPF
Un formato incorrecto o una sintaxis no válida en el registro SPF pueden provocar un Permerror, impidiendo una evaluación correcta.
Causas comunes:
- Caracteres omitidos o mal colocados (por ejemplo, comillas " o dos puntos 🙂 .
- Mecanismos o calificadores no válidos o mal formados (por ejemplo, utilizar include_spf.ejemplo.com en lugar de include:spf.ejemplo.com).
- Definiciones de macros incorrectas o macros no compatibles
Ejemplos:
❌ v=spf1 include_spf.example.com -all → faltan dos puntos en include.
❌ v=spf1 +mx a:mail.ejemplo.com -all → El calificador + es innecesario y a menudo se utiliza mal.
2. Problemas de configuración del DNS
Se trata de problemas con la configuración DNS relacionados con su registro SPF.
Problemas comunes:
- Registro SPF que apunta a dominios inexistentes o mal configurados
- Faltan registros SPF en los dominios referenciados
- Tipos de registro DNS no válidos o obsoletos (por ejemplo, uso de registros de tipo SPF en lugar de TXT).
Por ejemplo:
Sus referencias de dominio incluyen:spf.partner.com, pero spf.partner.com no existe o carece de un registro TXT, lo que provoca un error de evaluación SPF.
3. Demasiadas búsquedas DNS
SPF sólo permite 10 búsquedas DNS durante la evaluación del registro, tal y como se define en RFC 7208, Sección 4.6.4. Se trata de una medida de seguridad para evitar abusos (por ejemplo, ataques de denegación de servicio) y mantener las evaluaciones ligeras.
Lo que cuenta como búsqueda:
- incluye
- a, mx, ptr
- existe, redirija
Las búsquedas nulas (consultas que no devuelven datos DNS) también están limitadas a 2.
Causa común:
Un registro SPF con muchos mecanismos include: o includes anidados que en conjunto superan el límite de 10 búsquedas.
4. La circular incluye
Las inclusiones circulares se producen cuando los registros SPF se remiten unos a otros en un bucle, creando ciclos de resolución infinitos.
Por ejemplo:
- Dominio A: v=spf1 include:dominioB.es -all
- Dominio B: v=spf1 include:dominioA.es -all
Esta referencia circular hace que falle la evaluación del SPF, lo que a menudo provoca un Permerror.
5. Mecanismos o calificadores no válidos
El uso de mecanismos no reconocidos o obsoletos en su registro SPF puede dar lugar a un Permerror.
Errores comunes:
- Errores tipográficos como ip6v en lugar de ip6
- Mecanismos no soportados como all:, ptr: usados incorrectamente
- Uso innecesario o incorrecto de los calificadores + o ?
Por ejemplo:
❌ v=spf1 ptr:mail.ejemplo.com -todos → mecanismo desaconsejado.
❌ v=spf1 ip4v:192.0.2.0/24 -all → mecanismo no válido (ip4v debería ser ip4)
6. Registros SPF sobredimensionados
Los registros SPF deben respetar las limitaciones de tamaño:
- Cada cadena de un registro TXT debe tener ≤ 255 caracteres
- La longitud total del registro TXT no debe superar los 512 bytes
Causas del sobredimensionamiento de los registros:
- Demasiadas IP, includes o mecanismos
- Entradas duplicadas o innecesarias
Por ejemplo:
Un registro como v=spf1 ip4:192.0.2.0/24 ip4:198.51.100.0/24 include:spf1.ejemplo.com include:spf2.ejemplo.com include:spf3.ejemplo.com include:spf4.ejemplo.com -all puede exceder los límites de DNS o las restricciones de tamaño.
Cómo el exceso de consultas DNS puede afectar negativamente a tus correos electrónicos
Cuando su registro SPF desencadena más de 10 búsquedas DNS, puede interrumpir seriamente la entrega de su correo electrónico. Esto es lo que puede ocurrir:
- Retrasos en la entrega: Los servidores de correo electrónico pueden ralentizar el procesamiento mientras intentan evaluar su registro SPF, provocando retrasos en la entrega.
- Errores de tiempo de espera: Demasiadas búsquedas pueden provocar tiempos de espera durante la evaluación SPF, haciendo que los mensajes fallen silenciosamente o se eliminen.
- Correos rechazados: Algunos servidores receptores pueden rechazar directamente o marcar los correos electrónicos con SPF Permerror para proteger su infraestructura.
- DMARC falla: Si tu política DMARC se basa en la alineación SPF, una comprobación SPF fallida puede romper DMARC y reducir la fiabilidad de tu dominio.
Cómo solucionar el error de SPF (paso a paso)
Reparaciones manuales
- Eliminar mecanismos de inclusión no utilizados.
Revise cada include: de su registro SPF y compruebe si sigue siendo necesario. Si está vinculado a un servicio que ya no utiliza, elimínelo.
- Reemplazar «include» por direcciones IP (si son estáticas).
Si un include: sólo apunta a una IP estática o a un pequeño rango de IP, sustitúyalo directamente por un mecanismo ip4: o ip6: para evitar una búsqueda DNS.
- Eliminar los mecanismos PTR
El RFC 7208 desaconseja el uso de PTR debido a problemas de rendimiento y fiabilidad. Elimínelo por completo para reducir las búsquedas y evitar errores.
- Consolidar incluir dominios
Algunos servicios (por ejemplo, plataformas o proveedores de correo electrónico) ofrecen múltiples entradas SPF. Consulta su documentación, ya que a menudo proporcionan una única inclusión consolidada que puedes utilizar en lugar de varias.
- Utilice ip4 / ip6 siempre que sea posible.
Si conoce las IP de sus servidores de envío, añádalas directamente utilizando ip4: o ip6: en lugar de confiar en mecanismos como MX o A que consumen búsquedas.
Mejor práctica: Utilizar una herramienta automática de aplanamiento SPF.
Aplanamiento automático de SPF es el proceso de convertir dinámicamente múltiples declaraciones "include" y otras búsquedas basadas en DNS en una lista simplificada de direcciones IP. Este enfoque reduce el número de búsquedas DNS durante las comprobaciones SPF.
El aplanamiento manual de SPF puede parecer una solución rápida, pero conlleva riesgos importantes. Si su proveedor de servicios de correo electrónico cambia sus direcciones IP de envío, su registro SPF no reflejará el cambio a menos que lo actualice manualmente. Por lo tanto, requiere una supervisión constante y ediciones manuales para mantener el cumplimiento. Una dirección IP obsoleta en su registro aplanado puede provocar que SPF falle, lo que afectará a la capacidad de entrega del correo electrónico y a la alineación con DMARC.
PowerSPF es nuestra herramienta alojada de aplanamiento y optimización de SPF que automatiza todo el proceso, para que nunca más tenga que preocuparse por los límites de búsqueda o los cambios de IP.
- Actualizaciones automáticas cuando los proveedores cambian de IP: mantenemos su registro SPF actualizado en tiempo real.
- Configuración única: Configúrelo una vez y olvídese. Sin mantenimiento continuo.
- El recuento de búsquedas se mantiene bajo: Su registro SPF se mantiene reducido y cumple con las directrices y restricciones de RFC.
Diferencias clave entre SPF Fail y SPF Permerror
| SPF Fail | FPS Permerror | |
|---|---|---|
| Qué significa | Se ha encontrado y evaluado el registro SPF, pero el remitente no está autorizado | No se ha podido evaluar el registro SPF debido a un error o a una configuración incorrecta. |
| Causa | La IP del remitente no aparece en el registro SPF del dominio | Sintaxis SPF incorrecta, demasiadas búsquedas DNS u otros problemas críticos. |
| Tipo de problema | Problema temporal (correo electrónico no autorizado) | Error permanente (registro SPF no válido o ilegible) |
| Impacto | El correo electrónico puede ser rechazado o marcado como spam | El correo electrónico puede ser rechazado o pasar sin validación SPF |
| Alineación DMARC | Puede provocar un fallo de DMARC si SPF no está alineado. | Puede romper DMARC, especialmente si SPF es su único mecanismo alineado |
| Fijar | Revise su lista de remitentes para autorizar a los remitentes legítimos | Es necesario reparar el registro SPF para restablecer la funcionalidad |
Evite demasiados bucles DNS y otros errores SPF
Prevenir los errores de SPF requiere una atención constante, especialmente a medida que cambia la infraestructura de correo electrónico y se añaden nuevos servicios de terceros con el tiempo. Algunas prácticas coherentes ayudan a mantener los registros SPF válidos y dentro de los límites del protocolo (incluso a medida que la configuración sigue evolucionando).
Mantener actualizada la configuración del proveedor de servicios de correo electrónico garantiza que las fuentes de envío autorizadas sigan estando alineadas con su registro SPF. Cuando los proveedores actualizan su infraestructura de envío o recomiendan cambios para incluir dominios, no reflejar esas actualizaciones puede provocar errores de autenticación.
Es igualmente importante revisar la configuración de SPF cada vez que se añaden, eliminan o sustituyen proveedores. Las plataformas de marketing, los sistemas de facturación, las herramientas de asistencia y los servicios de automatización suelen enviar correos electrónicos en nombre de su dominio, y cada cambio debe dar lugar a una comprobación para confirmar que su registro SPF sigue reflejando todos los remitentes activos.
Mantener un calendario de auditorías periódicas ayuda a evitar que los registros se vuelvan demasiado complejos. Las revisiones periódicas facilitan la eliminación de declaraciones «include» no utilizadas, el seguimiento de las búsquedas de DNS y garantizan que el registro se mantenga dentro del límite de búsqueda SPF antes de que se produzcan errores.
Documentar todos los servicios que envían correos electrónicos en nombre de su dominio proporciona un punto de referencia claro para futuras actualizaciones. Un simple inventario de remitentes aprobados reduce las conjeturas, agiliza la resolución de problemas y ayuda a mantener una configuración SPF limpia y fiable a lo largo del tiempo.
Conclusión
El error SPF puede afectar a la capacidad de entrega, la salud del dominio y la seguridad. Esfuerzos sencillos como la eliminación de mecanismos redundantes, la sustitución de mecanismos por rangos de IP y la supervisión de la entregabilidad pueden ayudar mucho.
Y para las organizaciones que desean evitar complicaciones y ahorrar tiempo, existen soluciones alojadas como PowerSPF. ¿Le interesa saber cómo funciona y cómo puede transformar su postura de autenticación?¡Programehoy mismouna demostración gratuitacon uno de nuestros expertos internos!
Preguntas más frecuentes (FAQ)
¿Puede SPF superar las 10 búsquedas si es necesario?
No, SPF está estrictamente limitado a 10 búsquedas DNS durante la evaluación, tal y como se define en RFC 7208. Superar este límite provoca un Permerror, y sus correos electrónicos pueden ser rechazados o marcados como spam.
¿Puedo tener varios registros SPF?
No. Debe configurar sólo 1 registro SPF por dominio que autorice todas sus fuentes de envío para ese dominio. Múltiples registros pueden invalidarlos a todos, causando errores.
¿Cuál es la forma más segura de arreglar Permerror?
La forma más segura de arreglar Permerror es utilizar una solución SPF alojada como PowerSPF para optimizar dinámicamente SPF, con soporte experto disponible 24/7.
¿Es seguro el aplanamiento para IP dinámicas?
Si su proveedor utiliza direcciones IP dinámicas, el aplanamiento manual puede quedar rápidamente obsoleto, provocando fallos en el SPF. Para direcciones IP dinámicas o que cambian con frecuencia, la opción más segura es utilizar una solución alojada que recupere y actualice automáticamente las direcciones IP en su nombre.
"Gran producto y gran equipo"
Hakob Sharabkhanyan (Director General de Hacktech)
"Fantástica empresa, producto y proveedor de MSP "
Bill Barnett (Fundador y Presidente de Clearview IT)
Experto en ciberseguridad, CEO de PowerDMARC
Maitham es un emprendedor tecnológico, experto en ciberseguridad, CEO y fundador de PowerDMARC con más de 15 años de experiencia en el sector. Maitham posee un MBA Global por la Universidad de Manchester y varias certificaciones profesionales, entre ellas CISSP, CISM, CRISC e ISC2 CCSP.
Últimos comentarios de Maitham Al Lawati (ver todos)
- Estadísticas sobre phishing y DMARC: Tendencias en seguridad del correo electrónico para 2026 - 6 de enero de 2026
- Cómo solucionar el error «No se ha encontrado ningún registro SPF» en 2026 - 3 de enero de 2026
- SPF Permerror: Cómo solucionar un exceso de búsquedas DNS - 24 de diciembre de 2025
