Registro SPF: qué es, cómo funciona y cómo configurarlo

El fraude por correo electrónico cuesta a las organizaciones miles de millones de dólares cada año, y la mayor parte de él comienza con una dirección de «De» falsificada. El Sender Policy Framework (SPF) es uno de los tres protocolos fundamentales de autenticación del correo electrónico, junto con DKIM y DMARC, que impide que remitentes no autorizados envíen correos electrónicos utilizando tu dominio.

Puntos clave

  • El SPF es uno de los tres protocolos fundamentales de autenticación del correo electrónico, junto con DKIM y DMARC. Se trata de un registro TXT del DNS que enumera todas las direcciones IP y los servidores de correo autorizados para enviar mensajes en nombre de tu dominio; sin él, cualquier servidor de Internet podría suplantar la identidad de tu dominio.
  • SPF solo valida el dominio de Return-Path (sobre), no la dirección visible «De:», por lo que por sí solo no puede impedir la suplantación del nombre de remitente. Debe combinarse con DMARC para proteger tu dominio por completo.
  • La regla de cierre establece el nivel de aplicación: -all (error grave) rechaza todos los remitentes que no figuren en la lista, mientras que ~all (error leve) solo los marca. Cambia a -all una vez que hayas revisado todas tus fuentes de envío legítimas.
  • Cada mecanismo «include», «a», «mx», «redirect» y «exists» cuenta para el límite de 10 consultas DNS del SPF; si se supera este límite, todo el registro devuelve un «PermError». Mantén el registro lo más sencillo posible (o utiliza el aplanamiento automático) para no superar el límite.

Centro de recursos de PowerDMARC

Esta guía lo explica todo: qué es el SPF, cómo funciona exactamente, cómo crear y validar un registro, qué significa cada mecanismo y cada calificador, cómo solucionar los errores más comunes y cómo encaja el SPF en una estrategia completa de DMARC. Añádela a tus favoritos: la volverás a consultar.

Guías paso a paso para la configuración de SPF

Guías completas de implementación

Solucionar errores

Corregir búsquedas, errores no fatales y alineación

Alineación de SPF y DMARC

Hacer que el SPF cuente para el DMARC

Herramientas gratuitas de SPF

Comprobar, generar y validar registros.

¿Qué es el FPS?

El SPF (Sender Policy Framework) es uno de los tres protocolos básicos de autenticación del correo electrónico, junto con DKIM y DMARC, que impide que servidores no autorizados envíen correos electrónicos utilizando tu dominio. Un registro SPF es un registro TXT de DNS que enumera todas las direcciones IP y los servidores de correo autorizados para enviar en tu nombre. Sin él, cualquier servidor de Internet puede suplantar tu dominio, y los servidores receptores no tienen forma de distinguirlo.

Cómo funciona el FPS

Cuando un servidor de correo receptor recibe un correo electrónico, extrae el dominio del campo «Return-Path» (remitente del sobre), consulta el DNS en busca de un registro TXT que comience por «v=spf1» y comprueba si la dirección IP del servidor remitente coincide con la lista autorizada. Si coincide, el SPF se supera. En caso contrario, el resultado es un «fail», un «softfail» o un «error», y lo que ocurra a continuación dependerá de tu política DMARC.

El SPF valida el dominio de la ruta de retorno (la dirección técnica del sobre), no la dirección visible del campo «De:». Esto significa que el SPF por sí solo no puede impedir la suplantación del nombre que se muestra. Por eso existe la alineación DMARC, para subsanar esta carencia.

Resultado del SPFQué significa
PasarSe autoriza el envío de la dirección IP.
Fallo (-todo)No está autorizado. Debe rechazarse.
SoftFail (~todos)Probablemente no esté autorizado. Aceptar, pero marcar.
PermErrorSe ha producido un error en el registro (error de sintaxis, demasiadas consultas). Se considera un error.

Sintaxis de los registros SPF: mecanismos y calificadores

Un registro SPF comienza con v=spf1, enumera los remitentes autorizados mediante mecanismos como ip4:, ip6:, y incluyen:, y termina con una condición que indica a los destinatarios qué deben hacer con los remitentes que no figuran en la lista. He aquí un ejemplo:

v=spf1 ip4:192.168.1.1 include:_spf.google.com include:sendgrid.net -all

-all y ~all indican distintos niveles de aplicación en SPF. -all (error grave) indica a los servidores receptores que solo los remitentes incluidos en la lista están autorizados y que todo lo demás debe rechazarse. ~all (error leve) es más flexible y marca a todos los remitentes no autorizados como sospechosos, pero los acepta de todos modos. Utiliza -all una vez que tus remitentes hayan sido auditados por completo.

Cada include:, a, mx, redirect=, y exists: Este mecanismo cuenta para el Límite de 10 consultas DNS. Si se supera ese límite, se genera un PermError que interrumpe por completo el proceso de autenticación. El ptr: este mecanismo está en desuso, evita utilizarlo.

Cómo crear un registro SPF

Empieza por hacer una lista de todos los servicios que envían correos electrónicos desde tu dominio, como:

  • Tu servidor de correo principal
  • Google Workspace o Microsoft 365
  • Herramientas de marketing (Mailchimp, HubSpot, Klaviyo)
  • Servicios transaccionales (SendGrid, Mailgun, Amazon SES) y cualquier sistema de gestión de relaciones con los clientes (CRM) o servicio de atención al cliente que envíe mensajes en tu nombre.

Cada proveedor publica un include: valor en su documentación. Crea un único registro que combine todos los remitentes (solo puedes tener un registro SPF por dominio), publícalo como un registro TXT en tu Proveedor de DNS, y validarlo con un Verificador SPF. Propagación del DNS Normalmente tarda unas horas, pero puede llegar a tardar hasta 48.

Guías de configuración específicas para cada proveedor

Cómo comprobar y validar tu registro SPF

Utiliza una herramienta de comprobación de SPF para verificar que tu registro sea sintácticamente correcto, que no supere el límite de 10 consultas y que resuelva a las direcciones IP correctas. La herramienta de consulta de SPF de PowerDMARC realiza todas estas comprobaciones al instante.

Lo que debe comprobar una buena evaluación del FPS:

  • El disco comienza con v=spf1
  • Solo existe un registro SPF para el dominio
  • El número total de consultas DNS es de 10 o menos
  • No hay errores de sintaxis ni problemas sin resolver include: dominios
  • Las etiquetas, all el calificativo está presente y es adecuado
  • No hay mecanismos obsoletos (por ejemplo, ptr:)

Comprobación desde la línea de comandos (Linux/Mac):

dig TXT yourdomain.com +short | grep "v=spf1"

Cómo utilizar la consulta SPF de PowerDMARC: Introduce tu dominio en el verificador SPF de PowerDMARC para obtener un informe de diagnóstico instantáneo que muestra el número de consultas, el desglose por mecanismos y cualquier error.

Errores habituales en el SPF y cómo solucionarlos

La mayoría de los fallos del SPF se deben a desviaciones en la configuración, no al protocolo en sí. A continuación se indican los errores que vemos con más frecuencia y dónde solucionar cada uno de ellos:

Error¿Qué está pasando?Guía de solución de problemas
PermError: Demasiadas consultas DNSEl registro supera el límite de 10 búsquedasSolucionar el error «PermError» de SPF
Múltiples registros SPFDos registros «v=spf1» en el mismo dominioCorregir varios registros SPF
SPF se supera, pero DMARC fallaEl campo «Return-Path» no coincide con el campo «From:»Corregir la alineación del SPF
SoftFail. El dominio no identifica al remitenteLa dirección IP del remitente no figura en el registro SPFSolucionar el error «SoftFail» de SPF
Error en la comprobación del SPF 550Rechazo definitivo en el servidor receptorSolucionar el error 550 SPF
No se ha encontrado ningún registro SPFRegistro ausente o no publicadoCorregir la ausencia de un registro SPF
SPF falla en los correos electrónicos reenviadosLa dirección IP del servidor de reenvío no está autorizadaGuía para el reenvío de correos electrónicos
Error de validación del SPFProblema de sintaxis o de formatoCorregir los errores de validación del SPF
Correo electrónico rechazado según la política SPFServidor receptor que aplica una política SPF estrictaSolucionar el rechazo del SPF
El registro SPF supera el límite de caracteresEl registro es demasiado largo para una sola entrada TXT de DNSCorregir el límite de caracteres del SPF

SPF y DMARC: cómo entender su alineación

El SPF puede pasar la validación, mientras que el DMARC sigue fallando. Esto ocurre porque el SPF valida el dominio de Return-Path, pero el DMARC exige que ese dominio coincida con la dirección «De:» visible. Cuando envías un correo a través de un servicio de terceros que utiliza su propio Return-Path, el SPF realiza la autenticación con respecto a su dominio, no al tuyo, y el DMARC falla en la comprobación de coincidencia.

La solución consiste en configurar una Return-Path personalizada en tu dominio con cada proveedor o, en su lugar, recurrir a la alineación DKIM (las firmas DKIM se mantienen tras el reenvío y no están vinculadas a la IP de envío). Configura el modo de alineación con la etiqueta «aspf=» en tu registro DMARC: «aspf=r» (flexible, se admiten subdominios) o «aspf=s» (estricto, coincidencia exacta).

SPF, DKIM y DMARC: cómo funcionan conjuntamente

Estos tres protocolos son complementarios, no intercambiables. SPF verifica el servidor remitente, mientras que DKIM verifica la integridad del mensaje mediante una firma criptográfica. DMARC integra ambos, aplica una política (ninguna / cuarentena / rechazo) y genera informes agregados y forenses. Un correo electrónico supera la verificación DMARC si cumple con la alineación SPF o con la alineación DKIM; es necesario tener ambos configurados para que uno pueda compensar al otro cuando este falle (por ejemplo, SPF falla en el correo reenviado, pero DKIM sigue funcionando).

SPF alojado: cómo resolver el problema de la escalabilidad

Cada herramienta SaaS que añadas a tu registro SPF consume consultas DNS. Una vez que se alcanza el límite de 10 consultas, todo el registro deja de funcionar y todas las comprobaciones SPF devuelven un «PermError». La simplificación manual del SPF (sustituir las inclusiones por direcciones IP sin formato) funciona a corto plazo, pero deja de ser válida cuando los proveedores rotan sus rangos de IP, algo que hacen sin previo aviso.

Las funciones de PowerDMARC aplanamiento automático de SPF resuelve esto mediante la resolución dinámica de include: convertir las cadenas en registros optimizados, supervisar los cambios en la IP de los proveedores y mantener tu registro por debajo del límite de consultas sin necesidad de realizar modificaciones manuales en el DNS. Para las organizaciones que utilizan Macros SPF o gestionar SPF en varios dominios y subdominios, el servicio SPF alojado elimina por completo los gastos de mantenimiento.

Lista de verificación de buenas prácticas en materia de SPF

Un «hard fail» envía una señal clara. Un «soft fail» es ambiguo.
No superes las 8 consultas
Deja un margen. Exactamente 10 es una bomba de relojería.
Publicar el registro SPF en dominios que no envían correo
Los atacantes suplantan dominios «aparcados» precisamente porque carecen de SPF.
Publica el SPF en cada subdominio
El SPF de tudominio.com no cubre mail.tudominio.com.
Los proveedores mantienen sus rangos de direcciones IP; entre ellos: se mantiene actualizado.
Nunca utilices ptr:
Obsoleto según el RFC 7208. Lento, poco fiable y desperdicia una consulta.
Supervisar los informes de DMARC
Los informes de RUA revelan remitentes que no conocías. Véase también «RUA frente a RUF».
Auditoría trimestral
Elimina a los proveedores con los que ya no trabajas antes de que se conviertan en un lastre.
Combínalo con DKIM y DMARC
El SPF por sí solo no garantiza nada. El DKIM se encarga del reenvío. El DMARC es el que garantiza el cumplimiento.

Configura el SPF correctamente

Si es la primera vez que configuras SPF, empieza por las guías específicas de cada proveedor que aparecen más arriba y valida tu registro con el verificador SPF gratuito de PowerDMARC. Si ya tienes SPF en funcionamiento y te encuentras con límites de consultas o errores permanentes (PermErrors), la simplificación automática de SPF elimina la carga de mantenimiento. Y si aún no has configurado DMARC, ese es el siguiente paso más importante: el SPF sin DMARC es como una cerradura sin puerta.

Herramientas gratuitas de PowerDMARC

Toma el control de la autenticación de tu correo electrónico con las herramientas SPF gratuitas de PowerDMARC. Comprueba al instante tu dominio, genera nuevos registros o explora toda la plataforma. No es necesario registrarse.

Analizador de registros SPF

Comprueba al instante el registro SPF de tu dominio, amplía la cadena de búsqueda completa e identifica cualquier problema de configuración.

Características principales:

  • Expansión instantánea de la cadena de búsqueda: consulta todas las direcciones IP e incluye el registro al que se resuelve.
  • Contador de consultas: indica el límite de 10 consultas DNS antes de que el correo deje de funcionar.
  • Detección de errores: detecta PermError, TempError y problemas de sintaxis.
  • Ilimitado y gratuito: realiza comprobaciones ilimitadas sin necesidad de registrarte.
Utiliza el verificador de SPF

Generador de registros SPF

Genera un registro SPF válido adaptado a los remitentes de tu dominio sin tener que escribir la sintaxis manualmente.

Características principales:

  • Asistente guiado: añade remitentes y mecanismos en unos sencillos pasos.
  • Generación de un único registro: combina todos tus remitentes en un único registro conforme a la normativa.
  • Resultado sin errores: genera un archivo SPF con el formato correcto en todo momento.
  • Apto para principiantes: interfaz sencilla diseñada para una configuración rápida y sin complicaciones.
Utiliza el generador de SPF

Caja de herramientas PowerDMARC

Una plataforma integral para supervisar, aplicar y analizar la autenticación del correo electrónico en múltiples dominios.

Características principales:

  • Búsqueda integral: comprueba los registros SPF, DKIM, DMARC, BIMI, MTA-STS, TLS-RPT, MX y NS desde un único panel de control.
  • Información sobre la reputación: consulta los datos de WHOIS, el estado en listas de bloqueo, PTR y FCrDNS para detectar riesgos de entregabilidad.
Explorar la caja de herramientas

Protege y supervisa tu dominio

Genera registros de autenticación, comprueba la configuración de DNS y supervisa la actividad de correo electrónico de tu dominio desde una única plataforma. Evita la suplantación de identidad, mejora la capacidad de entrega y obtén una visibilidad completa de quién envía correos electrónicos en tu nombre.

Más de 10 000Organizaciones protegidas
32Herramientas gratuitas disponibles
4,9/5Valoración en G2
Líder de G2Software DMARC

Cuenta con la confianza de empresas, proveedores de servicios gestionados (MSP) y equipos de seguridad encargados de mantener la reputación de los dominios y prevenir la suplantación de identidad.

SOC 2 HIPAA PCI-DSS RGPD ISO 27001

«PowerDMARC es una herramienta muy potente y completa que simplifica enormemente el trabajo diario de supervisión de la autenticación del correo electrónico y las funciones de seguridad. Proporciona una visibilidad y claridad que de otro modo serían difíciles de conseguir. ¡Recomiendo sinceramente PowerDMARC a cualquiera que desee reforzar la seguridad de su correo electrónico!».

— Yves P., ingeniero de sistemas

Preguntas frecuentes

Mi registro SPF es válido, pero los correos electrónicos siguen llegando a la carpeta de spam. ¿Por qué?

El SPF es solo una señal entre muchas otras. La entrega de los correos electrónicos también depende de la reputación del dominio, la reputación de la IP, la calidad del contenido, el historial de interacción y de si también se han configurado DKIM y DMARC. Superar la comprobación del SPF no garantiza que el correo llegue a la bandeja de entrada. Por qué los correos electrónicos van a la carpeta de spam y cómo solucionarlo →

¿Necesito SPF si ya tengo DKIM?

Sí. Cubren diferentes modos de fallo. DKIM no se ve afectado por el reenvío, pero no verifica el servidor de envío. SPF verifica el servidor, pero falla en caso de reenvío. DMARC requiere que al menos uno de ellos supere la comprobación con alineación; contar con ambos significa que, si uno falla, el otro aún puede autenticar el mensaje. ¿Se puede utilizar DMARC sin DKIM? →

¿Si cambio de «~all» a «-all», dejará de funcionar mi correo electrónico?

Solo si tienes remitentes legítimos que aún no figuran en tu registro. Antes de realizar el cambio, supervisa los informes agregados de DMARC durante al menos 2-4 semanas para identificar todos los servicios de envío. Una vez que estés seguro de que el registro cubre todas las fuentes legítimas, «-all» es la opción correcta. SPF «softfail» frente a «hardfail»: cuándo cambiar →

¿Con qué frecuencia hay que actualizar los registros SPF?

Cada vez que se añada o se elimine un servicio de envío de correo electrónico. En la práctica, se recomienda realizar una auditoría trimestral. Los proveedores cambian las direcciones IP, los equipos añaden herramientas sin avisar al departamento de TI y, además, hay dominios que, en ocasiones, dejan de estar operativos. El SPF alojado se encarga de esto automáticamente; los registros manuales requieren revisiones programadas.

¿Pueden los atacantes eludir el SPF?

El SPF tiene algunas limitaciones conocidas. Los servicios con IP compartida (como Mailchimp) hacen que cualquier cliente que se encuentre en el mismo rango de IP supere tu verificación SPF. La suplantación del nombre de visualización elude por completo el SPF, ya que no afecta a la ruta de retorno (Return-Path). Además, el ataque «BreakSPF» demostró cómo se pueden aprovechar los registros excesivamente permisivos con rangos de IP amplios. El DMARC con alineación estricta mitiga estos riesgos.

¿Cuál es la diferencia entre la delegación SPF y la redirección SPF?

La delegación SPF te permite gestionar el SPF de un subdominio desde una zona DNS diferente. El modificador «redirect=» indica a los destinatarios que utilicen íntegramente el registro SPF de otro dominio. Sustituye a tu registro en lugar de complementarlo. Utiliza «redirect» cuando la política SPF de un dominio deba aplicarse de forma idéntica a otro dominio.

¿Cuánto tiempo tardan en surtir efecto los cambios en el FPS?

La propagación del DNS depende del TTL de tu registro actual y del almacenamiento en caché por parte de los resolutores intermedios. La propagación suele tardar entre 1 y 4 horas. En el peor de los casos, puede tardar hasta 48 horas. Reduce el TTL a 300 segundos antes de realizar cambios y, una vez confirmada la propagación, vuelve a aumentarlo.