¿Qué es el registro de correo electrónico SPF? Función, sintaxis y errores

¿Sabías que cada 39 segundos a ciberataque se produce en algún lugar del mundo, a menudo a partir de un simple correo electrónico falsificado? Las consecuencias pueden ser devastadoras. Las empresas corren el riesgo de perder la confianza de sus clientes y de que su reputación de marca no se recupere jamás. Uno de los trucos más comunes detrás de estos ataques es la suplantación de dominios, en la que los delincuentes se hacen pasar por dominios de confianza para engañar a los destinatarios.

La buena noticia es que el registro de correo electrónico SPF, también conocido como Sender Policy Framework (Marco de políticas del remitente), puede convertirse en tu mejor línea de defensa. En esta guía, aprenderás qué es el registro de correo electrónico SPF, por qué es importante y cómo puede proteger tu dominio de la suplantación de identidad.

¿Qué es el registro de correo electrónico SPF?

La política SPF, definida en el registro DNSenumera los servidores de correo autorizados a enviar mensajes en nombre de su dominio. Más concretamente, el Sender Policy Framework (SPF) es un protocolo de autenticación de correo electrónico que funciona como una lista de invitados para su dominio. Imagine que organiza un evento exclusivo en el que sólo pueden entrar los invitados. Del mismo modo, SPF te permite crear una lista de servidores que están oficialmente autorizados a enviar mensajes de correo electrónico en nombre de tu dominio.

El objetivo principal del SPF es impedir que remitentes no autorizados se hagan pasar por usted, bloqueando así los ataques de suplantación de identidad. Además, la implementación de SPF también puede mejorar la capacidad de entrega de su correo electrónico y reforzar su reputación como remitente, lo que aumenta las probabilidades de que los correos electrónicos legítimos lleguen a las bandejas de entrada en lugar de a las carpetas de spam.

Desde un punto de vista técnico, SPF es un tipo de registro TXT que usted publica en el DNS (Domain Name System) de su dominio. Este registro informa a los servidores de correo receptores sobre las fuentes de confianza, garantizando que la identidad de su dominio no pueda falsificarse fácilmente.

¿Cómo funciona realmente una comprobación de correo electrónico SPF?

SPF permite al propietario de un dominio publicar un registro DNS TXT que enumera los servidores de correo por IP o nombre de host que pueden enviar en nombre de ese dominio. Piense en ello como su lista de remitentes aprobados. 

He aquí cómo funciona el SPF paso a paso:

1. Publique un registro SPF en su DNS

La base del SPF comienza con el Sistema de Nombres de Dominio (DNS). El DNS es la infraestructura que asigna nombres de dominio legibles por humanos, como ejemplo.com, a las direcciones IP que los ordenadores y servidores utilizan para comunicarse. Garantiza que cuando se envía un correo electrónico, el servidor receptor pueda localizar y verificar el dominio del que dice proceder.

Para que SPF funcione, el propietario del dominio debe publicar un registro SPF en el DNS de su dominio. Este registro adopta la forma de un registro TXT que especifica qué servidores de correo, identificados por direcciones IP o nombres de host, están autorizados a enviar correos electrónicos en nombre del dominio.

La publicación del registro SPF es un primer paso obligatorio. Sin él, no hay punto de referencia para los servidores de correo receptores, lo que significa que las comprobaciones SPF no se pueden realizar en absoluto.

2. Envíe un correo electrónico desde su dominio

El proceso de verificación SPF comienza en el momento en que se envía un correo electrónico. Cada mensaje saliente lleva información sobre el dominio del remitente, sobre todo en la dirección Return-Path (también llamada remitente del sobre o dirección MAIL FROM). Esta dirección no sólo indica dónde deben devolverse los mensajes rebotados o que no se pueden entregar, sino que también identifica el dominio que se comprobará con el registro SPF.

Este paso es el evento desencadenante de todo el flujo de trabajo de verificación SPF. Sin el acto de enviar y declarar el dominio en el Return-Path, no hay nada que el servidor receptor pueda validar. A partir de este momento, el servidor de correo del destinatario comienza el proceso de comprobar si el servidor remitente está autorizado según el registro SPF publicado.

3. Identificar el dominio del remitente a partir del encabezado del correo electrónico

Una vez que el correo electrónico llega al servidor de correo del destinatario, el siguiente paso es determinar qué dominio debe comprobarse. Para ello, el servidor consulta la dirección Return-Path, también conocida como dirección del remitente del sobre o MAIL FROM. Este campo es importante porque especifica dónde deben devolverse los mensajes rebotados o no entregables.

Es importante tener en cuenta que las comprobaciones SPF se basan en la dirección técnica Return-Path, no en la dirección visible "De" que aparece en la bandeja de entrada de un usuario. Los atacantes a menudo intentan aprovecharse de esta diferencia falsificando el campo "De" que aparece en pantalla para engañar a los destinatarios.

4. Buscar el registro SPF de correo electrónico del dominio

Una vez identificado el dominio del remitente, el servidor receptor necesita verificar qué servidores están autorizados a enviar correo electrónico para ese dominio. Para ello, busca el registro SPF del dominio en DNS. DNS, o Sistema de Nombres de Dominio, funciona como la libreta de direcciones pública de Internet, traduciendo los nombres de dominio en información que los servidores pueden leer.

En concreto, el servidor busca un registro TXT que empiece por v=spf1, que contiene la lista de servidores de envío autorizados. Este registro indica al servidor si el correo electrónico procede de una fuente autorizada y es un paso crucial en el proceso de verificación SPF.

5. Comparar la dirección IP del remitente con el registro

El registro SPF contiene una política que define qué servidores están autorizados a enviar correos electrónicos para el dominio. El servidor de correo electrónico del destinatario compara la dirección IP del servidor que envió el correo electrónico con la lista de servidores autorizados especificada en el registro SPF. La dirección de correo electrónico de la ruta de retorno se coteja en el extremo del destinatario para verificar si la dirección IP de envío figura o no en los registros SPF.

6. Determinar el resultado de la autenticación SPF

Tras comprobar el registro SPF, el servidor receptor determina el resultado de la autenticación.

Los posibles resultados incluyen:

• Pasa: La dirección IP remitente figura como remitente autorizado.
• Fallo: La dirección IP de envío no está autorizada, y el correo electrónico debe ser rechazado.
• SoftFail: Es probable que la IP remitente no esté autorizada, pero el correo electrónico se acepta con precaución.
• Neutral: No se hace ninguna afirmación específica sobre la dirección IP de envío.
• Ninguno: No existe ningún registro SPF para el dominio, por lo que no es posible realizar ninguna verificación.

7. Tomar medidas en función del resultado

El servidor de correo electrónico del destinatario actúa en función del resultado de la comprobación SPF y de la política DMARC del dominio (si existe). Puede aceptar el correo, marcarlo como spam o rechazarlo por completo. Si la aprobación es positiva, los correos electrónicos suelen enviarse a la bandeja de entrada; de lo contrario, puede provocar un fallo SPF.

¡Configure el SPF con PowerDMARC!

Cómo activar y utilizar su registro de correo electrónico SPF

Antes de que pueda aprovechar las ventajas del SPF, es importante que entienda lo que hace y confirme que tanto su dominio como su proveedor de servicios de correo electrónico lo admiten. SPF autentica por sí solo al servidor remitente, pero no verifica la identidad real del remitente ni el contenido del mensaje. Por esta razón, SPF funciona mejor cuando se combina con protocolos adicionales como DKIM y DMARC, e incluso BIMI, para crear un marco de autenticación de correo electrónico más sólido y completo.

Una vez que esté listo para implementar SPF, el proceso implica la creación y publicación de un registro SPF en el DNS de su dominio. Este registro define claramente qué servidores están autorizados a enviar correos electrónicos utilizando su nombre de dominio, ayudando a los servidores de correo receptores a filtrar los mensajes no autorizados o falsificados.

Para activar SPF para su correo electrónico, necesitará:

Determinar los servidores de correo electrónico autorizados

Identifica las direcciones IP o los nombres de host de todos los servidores de correo electrónico autorizados para enviar correos electrónicos en nombre de tu dominio. Esto incluye los servidores de correo electrónico de tu propia organización, los proveedores de servicios de correo electrónico de terceros (como Google Workspace, Microsoft 365, SendGrid, Mailchimp, etc.) y cualquier otro servicio que envíe correo electrónico utilizando tu nombre de dominio. Recopila una lista completa de todas estas direcciones IP y dominios de envío.

Defina su política SPF

Determinar la política para SPF. Esto implica especificar a qué servidores se les permite enviar correos electrónicos para su dominio utilizando mecanismos SPF. También debe decidir el grado de rigor con el que los servidores receptores deben aplicar la política mediante calificadores (por ejemplo, `todos` para Fail, `~todos` para SoftFail).

Construya su formato SPF

Los registros SPF se publican como un registro TXT en el DNS de su dominio. El registro debe tener un formato específico, empezando por `v=spf1` seguido de mecanismos, modificadores y un mecanismo final `all` con un calificador.

Publicar el registro SPF

En primer lugar, genere su registro SPF. Puede utilizar nuestra herramienta gratuita de generación de SPF o construir manualmente el registro basándose en sus remitentes autorizados y su política. A continuación, accede al sistema de gestión de DNS de tu dominio, que suele proporcionar tu registrador de dominios o proveedor de alojamiento. Localiza la configuración DNS de tu dominio y añade un nuevo registro TXT. Especifique el nombre de host (normalmente "@" o en blanco para el propio dominio raíz) y pegue la cadena completa del registro SPF en el campo de valor/datos.

Sintaxis del registro SPF

Un registro SPF tiene una estructura específica que los servidores de correo receptores utilizan para verificar los remitentes autorizados.

Las partes principales de un registro SPF incluyen:

• v=spf1: Especifica la versión SPF que se está utilizando.
• Mecanismos: Define qué servidores pueden enviar correo electrónico para tu dominio. Los mecanismos comunes incluyen `a`, `mx`, `ip4`, `ip6`, `include`, `exists` y `all`.
• Calificadores: Indican el grado de rigor con el que debe aplicarse el mecanismo. Algunos ejemplos son `+` (aprobado), `-` (suspenso), `~` (suspenso suave) y `?` (neutral).
• Modificadores: Proporcionan instrucciones adicionales o excepciones a las reglas, como `redirect` o `exp`.

Cada uno de estos componentes se explica detalladamente en la completa guía de sintaxis SPF, que también incluye ejemplos de registros SPF válidos y cómo estructurarlos para diferentes escenarios.

Cómo comprobar su registro de correo electrónico SPF

Una vez que haya configurado su registro SPF, los cambios de DNS pueden tardar algún tiempo (hasta 48 horas, aunque a menudo mucho menos) en propagarse por Internet. Utilice nuestra Comprobación del registro SPF para validar y probar su registro. Esto ayuda a verificar la corrección de la sintaxis y asegura que está siendo reconocido por los servidores DNS.

Es importante tener en cuenta que los registros SPF pueden ser complejos, dependiendo de los requisitos específicos de su infraestructura de correo electrónico. Si no está seguro de la sintaxis o necesita configuraciones más avanzadas, se recomienda consultar al administrador del sistema, al servicio de asistencia informática o a un experto en autenticación de correo electrónico para que le ayuden a crear el registro SPF correctamente.

Evite estos errores comunes en los SPF de correo electrónico

Los errores de configuración pueden hacer que su política SPF sea ineficaz o bloquear correos electrónicos legítimos.

Evite estos errores comunes:

• Utilizar varios registros SPF: Combine todos los servicios de envío en un único registro para evitar errores de validación.
• Sintaxis incorrecta: Asegúrese de que la sintaxis y el uso del mecanismo son correctos para evitar la invalidación del registro.
• Sin incluir todos los remitentes autorizados: Enumera todos los servidores y servicios de terceros que envían correo electrónico para tu dominio.
• Exceder el límite de 10 búsquedas DNS: Mantenga los mecanismos por debajo del límite de búsqueda para garantizar que SPF funcione correctamente.
• Exceder los límites de caracteres: Mantente dentro de los límites de 255 caracteres por cadena y del tamaño total del DNS.
• Uso de un tipo de registro incorrecto: Publique siempre SPF como un registro TXT, no un tipo de SPF obsoleto.
• No actualizar: Actualiza tu registro SPF siempre que añadas o elimines servicios o servidores de correo electrónico.

Potencie su política de correo electrónico SPF con PowerDMARC

Implementar un registro de correo electrónico SPF es un paso fundamental para proteger su dominio de la suplantación de identidad, el phishing o el spam por correo electrónico. Al configurar y mantener correctamente su registro SPF, se asegura de que solo los servidores autorizados puedan enviar correos electrónicos en su nombre y salvaguarda la reputación de su marca.

Comprender la sintaxis de SPF, evitar los errores de configuración más comunes y combinar SPF con DKIM y DMARC refuerza su estrategia de autenticación de correo electrónico y reduce el riesgo de que lleguen correos fraudulentos a sus destinatarios.

Para aquellos que buscan llevar más allá la seguridad de su correo electrónico, profundizar en el SPF y utilizar herramientas fiables puede marcar una diferencia significativa. PowerDMARC ofrece soluciones fáciles de usar para supervisar, gestionar y optimizar sus registros SPF, ayudándole a mantener su dominio seguro y sus correos electrónicos de confianza.

Preguntas frecuentes

¿Cuáles son las limitaciones del registro de correo electrónico SPF?

SPF sólo puede verificar el servidor remitente, no la identidad del remitente ni el contenido del correo electrónico. También tiene un límite de 10 búsquedas DNS y estrictos requisitos de sintaxis.

¿Es SPF lo mismo que DKIM?

No. SPF valida el servidor remitente, mientras que DKIM utiliza firmas criptográficas para verificar que el contenido del mensaje no ha sido alterado.

¿Por qué fallaría un correo electrónico en SPF?

Un correo electrónico puede fallar si se envía desde un servidor no autorizado, el registro SPF tiene errores de sintaxis o se supera el límite de búsqueda DNS.

• Acerca de
• Últimas publicaciones

Maitham Al Lawati

Experto en ciberseguridad, CEO de PowerDMARC

Maitham es un emprendedor tecnológico, experto en ciberseguridad, CEO y fundador de PowerDMARC con más de 15 años de experiencia en el sector. Maitham posee un MBA Global por la Universidad de Manchester y varias certificaciones profesionales, entre ellas CISSP, CISM, CRISC e ISC2 CCSP.

Últimos comentarios de Maitham Al Lawati (ver todos)

• Fallo del FPS: Qué significa y cómo solucionarlo - 29 de septiembre de 2025
• Política de uso aceptable: Elementos clave y ejemplos - 9 de septiembre de 2025
• ¿Qué es CASB? Explicación de Cloud Access Security Broker - 8 de septiembre de 2025