Cómo utilizar SPF en tu registro TXT de DNS

Puntos clave

El mecanismo SPF mejora la capacidad de entrega del correo electrónico al especificar los dominios o direcciones IP de envío autorizados.
Incorporar las declaraciones Include en los registros SPF es crucial para evitar los correos rebotados de terceros proveedores.
Cada registro SPF debe seguir una estructura específica, incluyendo declaraciones, dominios permitidos y direcciones IP.
La presencia de varios registros SPF puede generar confusión en los servidores de correo electrónico receptores, lo que puede provocar fallos en la entrega de los mensajes.
Los registros SPF correctamente optimizados con includes pueden simplificar la gestión y mejorar los procesos de autenticación del correo electrónico.
Para las empresas y los proveedores de servicios gestionados (MSP), la protección SPF protege la reputación de su marca y garantiza el cumplimiento de las normas de seguridad del correo electrónico.

Tu registro SPF indica a todo el mundo qué servidores están autorizados a enviar correos electrónicos en nombre de tu dominio. Pero en cuanto empiezas a utilizar plataformas de terceros para enviar correos electrónicos, las cosas se complican rápidamente. En ese momento, un mecanismo de inclusión SPF puede resultar de gran ayuda.

En esta guía se explica qué es una inclusión SPF, cómo funciona y cómo gestionar varias inclusiones sin que tu registro se vea afectado. Además, te explicamos cómo mantener todo en consonancia con DMARC, para que tus correos electrónicos lleguen siempre a la bandeja de entrada.

¿Qué es un registro SPF?

Un registro SPF, o Sender Policy Framework , es un registro TXT del DNS que enumera todos los servidores y direcciones IP autorizados para enviar correo electrónico en nombre de un dominio concreto.

Cuando llega un correo electrónico, el servidor de correo receptor comprueba los registros DNS del remitente para verificar que el correo proviene de una fuente autorizada. Si la dirección IP del remitente coincide con una entrada del registro, la verificación SPF se supera. Si no es así, la verificación SPF falla.

Lo que los registros SPF no pueden hacer por sí solos

Los mecanismos del SPF son fundamentales, pero tienen algunas limitaciones que conviene conocer:

Valida el remitente del sobre, no la dirección «De» que ven realmente los destinatarios
Se interrumpe durante el reenvío de correos electrónicos, lo que significa que los correos reenviados a menudo no superarán la verificación SPF, incluso cuando el remitente original sea legítimo
Por sí solo, no puede evitar la suplantación de dominio a nivel del encabezado «From», que es donde la mayoría de los ataques de phishing se dirigen a los destinatarios

Por eso SPF funciona mejor como parte de una configuración de autenticación más amplia que también incluya DKIM y DMARC. Se recomienda encarecidamente configurar los tres protocolos conjuntamente para obtener el mejor nivel de protección del correo electrónico.

¿Qué es el SPF incluido?

Si los registros SPF son el conjunto de reglas que determina quién puede enviar correos electrónicos desde tu dominio, el mecanismo SPF Include te permite incorporar las reglas creadas por terceros.

El mecanismo «SPF Include» permite al propietario de un dominio delegar la autoridad de envío a otro dominio haciendo referencia al registro SPF de ese dominio dentro del suyo propio. En lugar de enumerar manualmente todas las direcciones IP utilizadas por un servicio de correo electrónico de terceros, basta con incluir su dominio, y el servidor receptor recupera y evalúa su registro SPF como parte del suyo propio.

Por qué existe SPF Include

Hoy en día, el envío de correos electrónicos rara vez se realiza desde un único servidor.

La mayoría de las organizaciones utilizan una combinación de su propio servidor de correo electrónico y plataformas de terceros para los correos electrónicos transaccionales, las campañas de marketing, las herramientas de asistencia técnica y los sistemas CRM. Cada uno de estos servicios envía correos electrónicos en tu nombre desde su propia infraestructura, utilizando direcciones IP que no te pertenecen y que no puedes incluir directamente en tu lista.

El mecanismo «Include» de SPF resuelve este problema permitiéndote hacer referencia directamente al registro SPF del servicio de terceros.

Cuando el servidor receptor evalúa tu registro SPF y encuentra una instrucción «include», recupera y resuelve el registro TXT SPF de ese dominio externo como parte del proceso de validación. Si la dirección IP del remitente coincide con una entrada del registro incluido, el SPF pasa la validación.

Cómo se aplica SPF en la práctica

Una declaración «include» básica en SPF tiene este aspecto:

v=spf1 include:thirdpartydomain.com ~all

En este ejemplo, el servidor receptor buscará el registro SPF de thirdpartydomain.com y lo evaluará junto con el resto de tus registros.

Si la dirección IP del remitente está autorizada en ese registro, el correo electrónico supera la verificación SPF de tu dominio.

El mecanismo de inclusión es indispensable para los dominios que subcontratan el envío de correos electrónicos o que recurren a varios proveedores para satisfacer sus distintas necesidades en este ámbito. Sin él, habría que enumerar manualmente todas las direcciones IP utilizadas por cada servicio, lo cual resulta poco práctico y propenso a errores.

¿Cómo funciona el mecanismo de inclusión del SPF?

Comprender el mecanismo «include» de SPF a nivel técnico te ayuda a evitar los errores de configuración que provocan que SPF falle de forma silenciosa. Esto es lo que ocurre cuando un servidor receptor evalúa un registro SPF que contiene declaraciones «include».

El proceso de validación del SPF

Cuando un correo electrónico llega al servidor de correo receptor, este extrae el dominio de la dirección MAIL FROM y realiza una búsqueda DNS para recuperar el registro TXT SPF de ese dominio. A continuación, lee el registro de izquierda a derecha, evaluando cada mecanismo hasta que encuentra una coincidencia o llega al final del registro.

Cuando encuentra una instrucción «include», ocurre lo siguiente:

El servidor receptor realiza una consulta DNS adicional para obtener el registro TXT de SPF del dominio incluido
Comprueba si el registro SPF del dominio incluido coincide con la dirección IP del remitente
Si la dirección IP coincide con una entrada autorizada en el registro incluido, el mecanismo de inclusión devuelve un resultado de aceptación
Si no se encuentra ninguna coincidencia, el servidor continúa evaluando los mecanismos restantes del registro original

¿Cómo se contabilizan las consultas en el límite de búsquedas DNS?

Cada instrucción «include» de un registro SPF genera al menos una consulta DNS adicional. Esto es importante porque la validación SPF está limitada a un máximo de diez consultas DNS por comprobación.

Cada inclusión, junto con mecanismos como «mx» y «a», cuenta para este límite. Si el propio registro SPF del dominio incluido contiene a su vez más inclusiones, estas también cuentan, creando una cadena de consultas que puede acumularse rápidamente.

Si se supera el límite de diez consultas, el SPF devuelve un PermError, lo que los servidores receptores interpretan como un fallo del SPF. Esto puede provocar que los correos electrónicos sean rechazados o que acaben en las carpetas de spam, incluso cuando el remitente sea totalmente legítimo.

Configure el SPF correctamente con PowerDMARC.

PowerDMARC frente a las herramientas genéricas:

✓ Optimización automática de las consultas DNS (sin superar nunca el límite de 10 consultas)

✓ Supervisión en tiempo real y controles de cumplimiento

✓ Asistencia especializada y mantenimiento continuo

✓ Plataforma con certificación SOC 2 e ISO 27001

Prueba de 15 días Agendar demo

Sintaxis de los registros SPF: cómo escribir correctamente una inclusión SPF

Es imprescindible que la sintaxis sea correcta. Un solo error en tu sintaxis del registro SPF puede hacer que todo el registro falle, independientemente de lo bien que esté configurado el resto.

La estructura básica de un registro SPF

Todos los registros SPF siguen la misma estructura básica:

v=spf1 [mecanismos] [calificador:todos]

v=spf1 declara la versión de SPF y debe aparecer al principio de cada registro TXT de SPF
mecanismos definen las fuentes de envío autorizadas, que pueden incluir direcciones IP, dominios mediante include, registros MX y más
todo es el mecanismo genérico que determina qué ocurre con los correos electrónicos que no coinciden con ninguna de las fuentes enumeradas

Cómo escribir una instrucción «include» en SPF

La sintaxis correcta para una instrucción «include» es:

incluir:dominio.com

Ten en cuenta que no debe haber ningún espacio entre «include» y los dos puntos. Si se incluye un espacio, se producirá un error de sintaxis. A continuación se muestra un ejemplo completo de un registro SPF con varias inclusiones:

v=spf1 include:sendgrid.net include:mailchimp.com ip4:192.168.1.1 ~all

En este registro:

sendgrid.net y mailchimp.com están autorizados como remitentes externos mediante la función «include»
192.168.1.1 es una dirección IP autorizada individualmente
~Todo se considera un «softfail», lo que significa que los correos electrónicos procedentes de fuentes no autorizadas se marcarán, pero no se rechazarán directamente

Errores sintácticos habituales que hay que evitar

Publicar más de un registro TXT de SPF para el mismo dominio. La existencia de varios registros SPF provoca un bucle de búsqueda en el DNS que hace que el SPF falle por completo. Debes consolidarlo todo en un único registro por dominio o subdominio.
Añadir un espacio después de los dos puntos en una instrucción «include»
El uso de calificadores incorrectos o de mecanismos que entran en conflicto entre sí
Olvidarse de finalizar la grabación con un comando «all»

Puedes utilizar el generador de registros SPF para crear un registro con el formato correcto desde cero. Como alternativa, pasa tu registro actual por una herramienta de búsqueda de registros SPF para detectar errores antes de que provoquen problemas de entrega.

Registro SPF con múltiples inclusiones: lo que debes saber

El uso de múltiples inclusiones SPF es habitual y a menudo necesario, pero introduce una complejidad que hay que gestionar con cuidado. Aquí tienes todo lo que necesitas saber sobre cómo gestionar un registro SPF con múltiples inclusiones.

¿Por qué son necesarias varias inclusiones?

La mayoría de las organizaciones envían correos electrónicos a través de más de una plataforma. Una configuración típica podría incluir:

Un servidor de correo principal para el correo electrónico interno y saliente
Un servicio de correo electrónico transaccional para confirmaciones de pedidos y notificaciones
Una plataforma de marketing para boletines informativos y campañas
Una herramienta de CRM o de atención al cliente para la comunicación con los clientes

Cada uno de estos servicios debe autorizarse en tu registro SPF, y la forma más práctica de hacerlo es mediante sentencias «include» que hagan referencia al registro SPF de cada proveedor.

El problema del límite de consultas DNS

Es aquí donde las inclusiones múltiples suponen un riesgo.

Cada instrucción «include» activa al menos una consulta DNS, y algunos registros SPF de terceros contienen a su vez más instrucciones «include», lo que añade aún más consultas. Para cuando hayas autorizado cuatro o cinco plataformas, es posible que ya te estés acercando al límite de diez consultas o que lo hayas superado.

A continuación se muestra un ejemplo simplificado de cómo se acumulan las consultas:

incluye: sendgrid.net = 1 consulta, además de cualquier consulta dentro del propio registro de SendGrid
incluye: mailchimp.com = 1 consulta, además de cualquier otra que figure en el registro de Mailchimp
incluye: salesforce.com = 1 consulta, además de cualquier otra dentro del registro de Salesforce
búsqueda mx = 1
El total puede alcanzar o superar fácilmente los 10

Cuando se supera el límite, el servidor receptor devuelve un PermError y considera el correo electrónico como un error de autenticación SPF.

Cómo no superar el límite de consultas DNS

Revisa tu registro SPF actual y calcula el número total de consultas DNS que genera, incluidas las consultas anidadas dentro de los registros incluidos
Elimina cualquier instrucción «include» correspondiente a servicios que ya no utilices
Siempre que sea posible, sustituya los mecanismos de inclusión por entradas IPv4 o IPv6 directas para los servicios cuyos rangos de IP sean estáticos y estén bien documentados
Utiliza la herramienta de nivelación de SPF herramienta de aplanamiento de SPF , que resuelve automáticamente las cadenas de inclusión y las sustituye por direcciones IP directas, reduciendo así el número total de consultas
Revisa periódicamente tu historial cada vez que añadas o elimines una plataforma de envío

Un registro SPF por dominio, siempre

Una regla fundamental que se aplica independientemente del número de dominios que gestiones: nunca publiques más de un registro TXT de SPF para el mismo dominio o subdominio.

La presencia de varios registros SPF provoca un error inmediato y ningún servidor receptor puede resolverlos. Todo debe consolidarse en un único registro.

Si envías mensajes desde subdominios, cada subdominio necesita su propio registro TXT de SPF independiente.

Errores habituales con el SPF y cómo evitarlos

Los registros SPF son potentes, pero implacables. Un solo error de configuración puede provocar fallos de autenticación en todo tu flujo de correo electrónico, y lo más frustrante es que muchos de estos errores no generan un mensaje de error evidente. Tanto si estás configurando SPF por primera vez como si estás revisando un registro ya existente, estos son los errores a los que debes prestar atención y cómo evitarlos exactamente.

Error	¿Qué pasa?	Cómo evitarlo
Publicación de varios registros TXT de SPF para el mismo dominio	SPF falla inmediatamente con un PermError, independientemente del contenido de los registros	Consolida todo en un único registro TXT de SPF por dominio o subdominio
Se ha superado el límite de diez consultas DNS	Los servidores receptores devuelven un PermError y consideran el correo electrónico como un error de SPF	Revisa tu registro con regularidad, elimina las entradas «include» que no se utilicen y aplica el «SPF flattening» cuando sea necesario
No actualizar el registro SPF al añadir nuevos remitentes	Los correos electrónicos enviados a través de la nueva plataforma no superan la autenticación SPF	Actualiza tu registro SPF cada vez que incorpores un nuevo proveedor de servicios de correo electrónico
Ignorar los requisitos de los subdominios	Los correos electrónicos enviados desde subdominios no superan la verificación SPF porque el registro del dominio principal no los incluye	Publica un registro TXT de SPF independiente para cada subdominio que se utilice para enviar correos electrónicos
Sintaxis incorrecta, como espacios después de los dos puntos	Todo el registro deja de ser válido y el SPF falla para todos los remitentes	Comprueba tu registro con una herramienta de consulta SPF después de cada cambio
Incluir los servicios que ya no utilizas	Las consultas innecesarias agotan tu cupo de consultas DNS y aumentan el riesgo de alcanzar el límite	Revisa periódicamente tus listas de distribución y elimina aquellas plataformas a las que ya no envías mensajes
Suponiendo que el SPF garantiza automáticamente el cumplimiento de DMARC	Es posible que SPF pase la comprobación, pero DMARC seguirá fallando si el dominio del sobre no coincide con el dominio del campo «De».	Configura la alineación DKIM como opción alternativa y revisa tu configuración de alineación DMARC

Inclusión de SPF y cumplimiento de DMARC

Los SPF Include no funcionan de forma aislada. La forma en que los configures tiene un impacto directo en tu cumplimiento de DMARC, y comprender la relación entre ambos es esencial para mantener una capacidad de entrega del correo electrónico constante.

Cómo se integra SPF en DMARC

DMARC se basa en SPF y DKIM para ofrecer a los propietarios de dominios control sobre cómo se gestionan sus correos electrónicos cuando falla la autenticación. Para que un correo electrónico supere la verificación DMARC, debe cumplirse al menos una de las siguientes condiciones:

El SPF se valida y el dominio del remitente coincide con el dominio del campo «De»
La verificación DKIM es correcta y el dominio de firma DKIM coincide con el dominio del remitente

Esto significa que ni siquiera un registro SPF correctamente configurado con todas las inclusiones adecuadas es suficiente por sí solo. La alineación SPF también debe ser correcta, lo que implica que el dominio de la ruta de retorno debe coincidir con el dominio del remitente, de acuerdo con la configuración de alineación de DMARC.

Cómo afecta la inclusión de SPF a la alineación

Cuando un remitente externo utiliza su propio dominio en la ruta de retorno, es posible que su dominio figure en tu registro SPF y que, técnicamente, el SPF se supere para ese dominio, pero no coincidirá con tu dominio «De».

En este caso, DMARC seguirá fallando en la comprobación de SPF. Es fundamental configurar el servicio externo para que utilice una ruta de retorno personalizada bajo tu dominio o asegurarse de que la alineación DKIM esté activa como alternativa.

Por qué el SPF por sí solo no es suficiente

SPF, DKIM y DMARC están diseñados para funcionar conjuntamente. SPF valida el origen del envío, pero falla durante el reenvío.

DKIM firma el propio mensaje y se mantiene intacto tras el reenvío. DMARC integra ambos y te ofrece visibilidad y control sobre lo que ocurre cuando alguno de ellos falla. Configurar los tres es la única forma de crear un sistema de autenticación de correo electrónico sólido y resistente.

Configuración de DMARC junto con SPF

Si tienes tus entradas SPF configuradas correctamente pero aún no has implementado DMARC, configurar DMARC es el siguiente paso lógico.

Empieza con una política de «p=none» para supervisar tus flujos de correo electrónico sin afectar a la capacidad de entrega; a continuación, pasa a la cuarentena y, a medida que aumente tu confianza en tu configuración de autenticación, pasa al rechazo.

Consigue un SPF correcto con PowerDMARC

La gestión de SPF Include resulta sencilla cuando se trabaja con una o dos plataformas de envío. Sin embargo, a medida que crece la infraestructura de correo electrónico, también lo hace su complejidad.

Un mayor número de plataformas implica más inclusiones, más consultas de DNS y más posibilidades de que algo falle silenciosamente en segundo plano sin que te des cuenta hasta que la capacidad de entrega empiece a disminuir.

PowerDMARC te ofrece las herramientas y la visibilidad necesarias para adelantarte a ello. Te ayuda a generar y validar tu registro SPF, así como a supervisar la coherencia y los resultados de autenticación en todas las fuentes de envío.

Lo cuenta un cliente:

«PowerDMARC nos ayudó a consolidar 15 servicios de correo electrónico diferentes en un único registro SPF optimizado. La capacidad de entrega de nuestro correo electrónico mejoró un 23 % en el primer mes». – Director de TI, empresa SaaS de la lista Fortune 500

Si estás listo para tomar el control de tu autenticación de correo electrónico y asegurarte de que tus registros SPF funcionan exactamente como deberían, comienza tu prueba gratuita.

Preguntas frecuentes

1. ¿Qué ocurre si supero las 10 consultas DNS en mi registro SPF?

Si tu registro SPF supera las 10 consultas DNS, se producirá un PermError, lo que provocará que la autenticación SPF falle por completo. Esto puede dar lugar a que se rechacen correos electrónicos legítimos o se marquen como spam. Utiliza el «SPF flattening» o las macros para mantenerte dentro del límite.

2. ¿Puedo incluir el mismo dominio varias veces en mi registro SPF?

Aunque técnicamente es posible, incluir el mismo dominio varias veces resulta redundante y supone un desperdicio de consultas DNS. Cada instrucción «include» debe ser única y cumplir un propósito específico dentro de tu estrategia de autenticación de correo electrónico.

3. ¿Con qué frecuencia debo revisar mis inclusiones de SPF?

Revisa tu registro SPF cada tres meses o cada vez que añadas o elimines servicios de correo electrónico. Configura una supervisión automática para detectar cambios no autorizados o actualizaciones de los proveedores de servicios que puedan afectar a tu autenticación.

4. ¿Cuál es la diferencia entre «~all» y «-all» en los registros SPF?

~all (softfail) indica que los correos electrónicos procedentes de fuentes no autorizadas deben marcarse como sospechosos, pero que deben entregarse de todos modos. -all (hardfail) indica a los servidores receptores que rechacen por completo los correos electrónicos procedentes de fuentes no autorizadas. La mayoría de las organizaciones comienzan con ~all y pasan a -all tras realizar pruebas.

5. ¿Puede el SPF afectar a la capacidad de entrega del correo electrónico?

Sí, una configuración incorrecta de las entradas SPF puede afectar significativamente a la capacidad de entrega. La ausencia de entradas para servicios legítimos puede provocar que los correos electrónicos no superen la autenticación, mientras que un exceso de entradas puede superar los límites de las consultas DNS y provocar errores permanentes.

Acerca de
Últimas publicaciones

Yunes Tarada

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.

Últimos mensajes de Yunes Tarada (ver todos)

El formato del número de serie de SOA no es válido: causas y cómo solucionarlo - 13 de abril de 2026
Cómo enviar correos electrónicos seguros en Gmail: guía paso a paso - 7 de abril de 2026
Cómo enviar correos electrónicos seguros en Outlook: guía paso a paso - 2 de abril de 2026

¿Qué es el SPF Include y cómo se utiliza en el registro SPF?