SPF (Sender Policy Framework): qué es y cómo funciona
por
Última actualización:
Tiempo de lectura: 7 minutos
Puntos clave
- El SPF (Sender Policy Framework) es un protocolo de autenticación de correo electrónico que permite a los propietarios de dominios publicar una lista de servidores de correo autorizados en su DNS.
- Un registro SPF es un registro TXT de DNS que enumera las direcciones IP y los servicios de envío autorizados. Debe comenzar por «v=spf1», seguir la sintaxis SPF correcta y publicarse como un único registro.
- SPF tiene limitaciones reales. Deja de funcionar en los correos reenviados, no puede proteger la dirección del remitente visible para los usuarios y tiene un límite máximo de 10 consultas DNS. Si se supera ese límite, se produce un PermError que puede provocar el rechazo silencioso de correos legítimos.
- El SPF por sí solo no es suficiente. Debe combinarse con DKIM y DMARC para lograr una protección completa contra la suplantación de identidad en el correo electrónico, los ataques de phishing y el uso indebido de dominios.
La suplantación de identidad en el correo electrónico es uno de los trucos más antiguos del manual de los atacantes, y sigue funcionando porque hay demasiados dominios que lo facilitan. El Sender Policy Framework (SPF) es la primera línea de defensa. Se trata de un protocolo básico de autenticación de correo electrónico que indica a los servidores de correo receptores qué direcciones IP están realmente autorizadas para enviar correos electrónicos en tu nombre.
Esta guía explica qué es el SPF, cómo funciona el protocolo SPF, cómo configurarlo correctamente y cuáles son sus limitaciones.
¿Qué es el SPF (Sender Policy Framework)?
El Sender Policy Framework (SPF) es un protocolo de autenticación de correo electrónico diseñado para prevenir la suplantación de identidad en el correo electrónico, una de las técnicas más comunes utilizadas en los ataques de phishing y las campañas de spam.
Funciona permitiendo a los propietarios de dominios publicar una lista de servidores de correo autorizados en su DNS, de modo que los servidores receptores puedan verificar si un mensaje entrante procede realmente de una fuente autorizada.
El SPF es un componente fundamental de autenticación del correo electrónico , ya que proporciona a los sistemas receptores una respuesta clara y fidedigna a una pregunta sencilla: ¿está autorizado este servidor a enviar correo para este dominio?
El papel de SPF en el panorama general de la seguridad del correo electrónico
El SPF no funciona de forma aislada. Es uno de los tres protocolos básicos de autenticación del correo electrónico, junto con DomainKeys Identified Mail (DKIM) y Autenticación, Notificación y Conformidad de Mensajes Basados en Dominio (DMARC). Juntos, estos protocolos forman una defensa completa contra el fraude por correo electrónico.
| Protocolo | Qué verifica |
|---|---|
| SPF | Si el servidor de envío está autorizado por el propietario del dominio |
| DKIM | Si el contenido del mensaje se modificó durante la transmisión |
| DMARC | Si los campos SPF y DKIM coinciden con la dirección del remitente, y qué hacer cuando no es así |
El SPF también es un componente imprescindible para configurar DMARC. Sin un registro SPF válido, DMARC no puede funcionar correctamente.
Lectura recomendada: SPF, DKIM y DMARC: cómo funcionan juntos
Cómo funciona el protocolo SPF
El SPF funciona íntegramente a través del DNS. Cuando se envía un correo electrónico, el servidor de correo receptor realiza una serie de comprobaciones para determinar si el mensaje es fiable. A continuación se explica cómo funciona ese proceso de principio a fin.
El proceso de verificación del SPF
- Un servidor envía un correo electrónico que incluye el dominio del remitente en la dirección «Return-Path»
- El servidor receptor identifica el dominio del remitente a partir de esa dirección Return-Path
- El servidor receptor realiza una búsqueda del registro SPF en el DNS del dominio para encontrar el registro SPF publicado
- La dirección IP del servidor remitente se compara con la lista de direcciones IP autorizadas que figura en el registro SPF
- Si hay una coincidencia, el correo electrónico supera la autenticación SPF. Si no hay coincidencia, el correo electrónico puede marcarse como sospechoso o rechazarse, dependiendo de la política del dominio.
Resultados de la autenticación SPF
| Resultado | Significado |
|---|---|
| Pasar | La dirección IP de envío está autorizada en el registro SPF |
| Falla | La dirección IP de origen no está autorizada |
| SoftFail | La dirección IP no está autorizada, pero el dominio no rechaza el acceso |
| Neutral | El propietario del dominio no ha hecho ninguna afirmación sobre la dirección IP de origen |
| Ninguno | No se ha encontrado ningún registro SPF para el dominio |
| Error de temperatura | Se ha producido un error de resolución de DNS durante la comprobación |
| PermError | El registro SPF contiene un error de sintaxis o supera el límite de consultas |
Es importante señalar que el SPF solo verifica la dirección IP del servidor remitente. No autentifica la identidad real del remitente ni el contenido del mensaje. Ahí es donde DKIM y DMARC llenan los huecos.
¿Cómo es un registro SPF?
Un registro SPF es un registro TXT de DNS publicado en la configuración DNS de tu dominio. Sigue una sintaxis específica de mecanismos y calificadores que definen qué servidores están autorizados a enviar correo electrónico en nombre de tu dominio.
Estructura básica de un registro SPF
v=spf1 ip4:192.0.2.0/24 include:mailprovider.com -all
| Componente | Significado |
|---|---|
| v=spf1 | Etiqueta de versión: debe aparecer en primer lugar en todos los registros SPF |
| ip4: | Autoriza una dirección o un rango específico de IPv4 |
| ip6: | Autoriza una dirección o un rango específico de IPv6 |
| incluyen: | Autoriza el registro SPF de un remitente externo |
| a: | Autoriza la dirección IP del registro A del dominio |
| mx: | Autoriza los servidores de intercambio de correo del dominio |
| -todos | Error grave: rechazar todos los mensajes que no coincidan con el registro |
| ~todos | Error leve: se marca, pero se entrega el correo aunque no coincida con el registro |
| ?todos | Neutro: no hay política para el correo no coincidente |
Registros SPF para dominios que no envían mensajes
En el caso de los dominios que nunca envían correos electrónicos, se debe publicar igualmente un registro SPF restrictivo para evitar que sean objeto de suplantación de identidad:
v=spf1 -todos
Esto indica a los servidores receptores que rechacen todos los correos electrónicos que afirmen proceder de ese dominio.
El límite de 10 consultas DNS
SPF tiene un límite de 10 consultas DNS por evaluación de registro. Cada incluyen:, a:, mx:, y redirect: desencadena una búsqueda.
Si se supera este límite, se produce un PermError, lo que puede provocar que los correos electrónicos legítimos no superen la autenticación SPF sin que se detecte. Este es uno de los problemas de configuración de SPF más comunes y que más se pasan por alto, especialmente en organizaciones con entornos de correo electrónico complejos.
¡Configure el SPF con PowerDMARC!¿Por qué elegir PowerDMARC en lugar de otras herramientas SPF?
|
Cómo crear y publicar un registro SPF
Crear y publicar un registro SPF es uno de los pasos más importantes para proteger el correo electrónico de tu dominio.
Si se configura correctamente, indica a todos los servidores de correo receptores exactamente qué fuentes están autorizadas a enviar mensajes en tu nombre. Si se configura incorrectamente, puede impedir de forma silenciosa la autenticación de tus propios correos electrónicos legítimos. A continuación te explicamos cómo hacerlo correctamente.
Paso 1: Revisa todas tus fuentes de envío de correo electrónico
Antes de escribir una sola línea de tu registro SPF, identifica todos los servicios y sistemas que envían correos electrónicos desde tu dominio. Este es el paso que la mayoría de las organizaciones se saltan, y es la causa más habitual de que los registros SPF fallen tras su publicación.
Su auditoría debe abarcar:
- Tu servidor de correo principal
- Plataformas de marketing por correo electrónico
- Herramientas de CRM y ventas
- Software de asistencia técnica y soporte
- Servicios de correo electrónico para facturación y transacciones
- Cualquier proveedor externo que realice envíos en tu nombre
Para cada fuente, recopila las direcciones IP de envío específicas o la cadena de inclusión SPF proporcionada por ese servicio.
Paso 2: Crea tu registro SPF
Agrupa todos los remitentes autorizados en un único registro TXT de DNS utilizando la sintaxis SPF correcta. Un ejemplo básico sería el siguiente:
v=spf1 ip4:192.0.2.1 include:sendingservice.com include:marketingplatform.com -all
Normas fundamentales que hay que seguir al redactar:
| Regla | Por qué es importante |
|---|---|
| Empieza siempre con v=spf1 | Esta es la etiqueta de versión obligatoria. Sin ella, el registro no es válido. |
| Utiliza solo un registro | La presencia de varios registros SPF en el mismo dominio provoca un PermError y impide la autenticación |
| No superar las 10 consultas DNS | Cada mecanismo «include:», «a:» y «mx:» cuenta para el límite. Si se supera, se produce un PermError. |
| Termina en -all o ~all | Define qué ocurre con los mensajes que no cumplen los requisitos. Utiliza -all para aplicar la regla de rechazo estricto. |
Paso 3: Publica el registro en tu DNS
Una vez que hayas creado el registro, inicia sesión en tu proveedor de DNS y añádelo como registro TXT en tu dominio raíz.
El registro debe añadirse en @ o tudominio.com, no en un subdominio, a menos que estés creando específicamente un registro independiente para un subdominio.
Si utilizas subdominios distintos para diferentes servicios de envío, cada subdominio necesita su propio registro SPF. Esta técnica también resulta útil para no superar el límite de 10 consultas cuando se gestionan varios remitentes externos.
Paso 4: Comprueba tu registro tras publicarlo
Publicar tu registro no es el último paso. Compruébalo siempre después de publicarlo para asegurarte de que:
- El registro tiene el formato correcto y no contiene errores sintácticos
- Todas las direcciones IP autorizadas y las cadenas de caracteres están presentes
- No se ha superado el límite de consultas DNS
- No hay registros SPF duplicados en el mismo dominio
Usar la herramienta de búsqueda de SPF de PowerDMARC para realizar esta comprobación inmediatamente después de la publicación, y de nuevo cada vez que realice cambios.
Paso 5: Mantén tu registro actualizado
Un registro SPF no es una configuración que se establezca una vez y ya está.
Cada vez que añadas una nueva plataforma de envío, cambies de proveedor de servicios de correo electrónico o desactives uno antiguo, es necesario actualizar tu registro SPF. Un registro desactualizado que haga referencia a direcciones IP antiguas o a servicios que ya no existen es una de las causas más comunes de que los correos electrónicos legítimos no superen la autenticación SPF.
Establece una periodicidad fija para revisar tu registro SPF, especialmente después de cualquier cambio en tu infraestructura de correo electrónico.
He aquí por qué más de 10 000 clientes confían en la plataforma de PowerDMARC
- Reducción drástica de los intentos de suplantación de identidad y de los correos electrónicos no autorizados gracias a la inteligencia sobre amenazas basada en la inteligencia artificial
- Incorporación más rápida + gestión automatizada de la autenticación que ahorra horas de trabajo a los equipos de TI
- Información sobre amenazas en tiempo real e informes cifrados con PGP en todos los dominios
- Mejores tasas de entrega de correo electrónico gracias a la aplicación rigurosa de DMARC con el asesoramiento de expertos
Los primeros 15 días corren por nuestra cuenta.
Comience la prueba gratuitaSPF y la capacidad de entrega del correo electrónico
Una de las ventajas más directas de implementar el SPF es una mejor capacidad de entrega del correo electrónico. A continuación te explicamos cómo afecta el SPF al recorrido que siguen tus correos electrónicos desde el envío hasta la bandeja de entrada.
Cómo mejora SPF la capacidad de entrega
- Los servidores de recepción de correo y los proveedores de buzones de correo utilizan el SPF como indicador de confianza a la hora de decidir si entregan, filtran o rechazan el correo entrante
- Un registro SPF válido reduce la probabilidad de que los correos electrónicos legítimos se marquen como spam
- Una autenticación SPF constante mejora la reputación del dominio con el tiempo, lo que reduce la probabilidad de que tus correos electrónicos sean bloqueados o desviados a las carpetas de correo no deseado
- La implementación de SPF demuestra a los proveedores de servicios de Internet (ISP) el compromiso con la seguridad del correo electrónico, lo que contribuye positivamente a la reputación del remitente
Cómo el SPF puede afectar negativamente a la capacidad de entrega si se configura incorrectamente
| Problema | Impacto |
|---|---|
| Falta el registro SPF | El dominio se puede falsificar fácilmente; no hay ninguna señal de confianza para los destinatarios |
| PermError (se ha superado el límite de búsquedas) | Los correos electrónicos legítimos pueden no superar la autenticación SPF |
| Direcciones IP autorizadas obsoletas | Los correos electrónicos procedentes de fuentes de envío nuevas o modificadas no superan la verificación SPF |
| Múltiples registros SPF | Provoca un PermError, lo que impide por completo la autenticación |
| Demasiado permisivo ~¿todo o nada? | Reduce el valor protector del expediente |
Mantener un registro SPF preciso y actualizado es fundamental para proteger la reputación de tu dominio y garantizar una entrega constante del correo electrónico.
Las limitaciones del SPF
El SPF es un método básico método de autenticación de correo electrónico , pero tiene limitaciones bien documentadas que todo propietario de un dominio debería conocer. Confiar únicamente en el SPF deja importantes lagunas en la seguridad de su correo electrónico.
Lo que el SPF no puede hacer
| Limitación | Por qué es importante |
|---|---|
| No se puede ocultar la dirección del remitente visible | SPF autentica el campo «Return-Path», no el encabezado «From» que ven los destinatarios |
| Pausas en los correos electrónicos reenviados | La dirección IP del servidor de reenvío no figura en el registro SPF original, lo que provoca errores |
| No se puede verificar el contenido del mensaje | SPF solo comprueba la dirección IP del remitente, no si el mensaje ha sido modificado |
| No se puede bloquear el phishing con dominios similares | Los atacantes pueden registrar un dominio similar con su propio registro SPF válido |
| Sujeto a un límite de 10 consultas DNS | Los entornos complejos pueden sobrepasar el límite, lo que provoca errores de permiso |
El SPF es el punto de partida, no el final
El SPF por sí solo no puede proteger la dirección del remitente visible para los usuarios, no se conserva al reenviar el mensaje y no permite autenticar el contenido del mensaje.
Para garantizar una protección total contra la suplantación de dominios y los ataques de phishing, es necesario combinar SPF con DKIM y DMARC. DMARC cubre específicamente la laguna que deja SPF al exigir que la dirección del remitente coincida con la información del remitente autenticado.
| Recomendación de los expertos: Siempre aconsejo a los clientes que mantengan un registro de cambios de SPF en el que se documenten todas las modificaciones, especialmente en entornos complejos con múltiples servicios de correo electrónico. Esto evita desviaciones en la configuración y facilita mucho la resolución de problemas. |
Protege tu dominio con SPF y PowerDMARC
El SPF es el punto de partida de la autenticación del correo electrónico, pero solo es una pieza del rompecabezas.
Configurar correctamente tu registro SPF, mantenerlo actualizado a medida que evoluciona tu infraestructura de envío y combinarlo con DKIM y DMARC es lo que realmente protege tu dominio contra la suplantación de identidad, el phishing y los problemas de entrega.
Un cliente cuenta:
«PowerDMARC ha facilitado enormemente la gestión del SPF a nuestro equipo de TI. La capacidad de entrega y la seguridad de nuestro correo electrónico mejoraron de la noche a la mañana». – CISO, institución financiera
PowerDMARC facilita todo ese proceso. Desde la generación y validación de tu registro SPF hasta la supervisión de los resultados de autenticación en todos tus dominios de envío y el avance hacia la plena aplicación de DMARC, PowerDMARC te ofrece la visibilidad y el control necesarios para hacerlo bien desde el principio y mantenerlo a largo plazo.
¡Empieza a usar PowerDMARC hoy mismo!
Preguntas frecuentes
1. ¿Qué es el marco de políticas de remitentes (SPF)?
El SPF (Sender Policy Framework) es un protocolo de autenticación de correo electrónico que permite a los propietarios de dominios especificar qué servidores de correo están autorizados a enviar mensajes en nombre de su dominio. Funciona mediante la publicación de un registro TXT de DNS que enumera las fuentes de envío autorizadas, lo que ayuda a los servidores receptores a verificar la autenticidad del correo electrónico y a prevenir la suplantación de identidad.
2. ¿En qué se diferencia SPF de DKIM y DMARC?
SPF valida la dirección IP del servidor remitente, DKIM utiliza firmas criptográficas para verificar la integridad del mensaje y DMARC se encarga de la aplicación de políticas y la generación de informes. SPF comprueba el remitente del sobre, DKIM valida que el contenido del mensaje no haya sido alterado y DMARC indica a los servidores receptores qué deben hacer cuando SPF o DKIM fallan. Los tres trabajan conjuntamente para garantizar una autenticación completa del correo electrónico.
3. ¿Cómo se utiliza el Sender Policy Framework?
Identifica todos los servicios que envían correos electrónicos desde tu dominio, recopila sus direcciones IP autorizadas y publica un único registro TXT de DNS que comience por «v=spf1». Comprueba que funciona tras publicarlo y manténlo actualizado a medida que cambie tu infraestructura de envío.
4. ¿Cuáles son algunas de las limitaciones de los registros de correo electrónico SPF?
SPF solo verifica el servidor de envío, no la identidad del remitente ni el contenido del mensaje. Deja de funcionar con los correos reenviados y tiene un límite estricto de 10 consultas DNS que, si se supera, puede impedir la autenticación sin que se avise.
5. ¿SPF es lo mismo que DKIM?
No. El SPF verifica la dirección IP del servidor remitente. El DKIM utiliza una firma criptográfica para verificar que el contenido del mensaje no se ha alterado durante la transmisión.
6. ¿Por qué un correo electrónico no superaría la verificación SPF?
Las causas más comunes son un servidor de envío no autorizado, un registro SPF desactualizado en el que falta un remitente legítimo, errores de sintaxis en el registro o el rebasamiento del límite de 10 consultas DNS.
Experto en ciberseguridad, CEO de PowerDMARC
Maitham es un emprendedor tecnológico, experto en ciberseguridad, CEO y fundador de PowerDMARC con más de 15 años de experiencia en el sector. Maitham posee un MBA Global por la Universidad de Manchester y varias certificaciones profesionales, entre ellas CISSP, CISM, CRISC e ISC2 CCSP.
Últimos comentarios de Maitham Al Lawati (ver todos)
- ¿Qué es DMARC? Cómo funciona, políticas y consejos de configuración - 28 de abril de 2026
- Estadísticas sobre phishing y DMARC: Tendencias en seguridad del correo electrónico para 2026 - 6 de enero de 2026
- Cómo solucionar el error «No se ha encontrado ningún registro SPF» en 2026 - 3 de enero de 2026
