¿Qué es v=spf1? ¿Para qué sirve?
por
Última actualización: 11 minutos de lectura
Puntos clave
- «v=spf1» es la etiqueta que activa un registro SPF; sin ella, el SPF no funciona.
- El SPF define qué servidores pueden enviar correos electrónicos en nombre de tu dominio mediante mecanismos como IPv4 e include.
- El SPF sigue una lógica de «el primer elemento coincidente es el que cuenta», evaluándose de izquierda a derecha.
- Solo se permite un registro SPF por dominio; si hay varios registros, la autenticación falla.
- Máximo 10 consultas DNS; si se supera este límite, se produce un PermError y un error de SPF.
- entre otras cosas: añade flexibilidad, pero aumenta el riesgo de búsqueda; IPv4/IPv6 son más rápidos, pero requieren mantenimiento.
- ~todo (softfail) es para pruebas; -all (hardfail) impone un bloqueo estricto.
- El SPF por sí solo no protege contra la suplantación de identidad; se necesita DKIM + DMARC.
- El SPF debe actualizarse constantemente a medida que cambian las herramientas y los remitentes.
Estás viendo un registro DNS que empieza por v=spf1, y sabes que es importante, pero cambiarlo sin entenderlo del todo puede afectar al envío de correos electrónicos en todo tu dominio.
Basta con que falte un «include:», haya una consulta de más o se produzca un error de sintaxis para que los correos electrónicos no superen la autenticación, terminen en la carpeta de spam o sean rechazados directamente
El SPF (Sender Policy Framework) es un componente fundamental de la autenticación del correo electrónico. Indica a los servidores receptores qué fuentes están autorizadas a enviar correos electrónicos en tu nombre. El etiqueta v=spf1 es lo que activa esa política, pero todo lo que viene a continuación determina si tus correos electrónicos se consideran fiables o se bloquean.
El reto radica en que el SPF parece sencillo a simple vista, pero se vuelve complejo a medida que se añaden múltiples fuentes de envío, herramientas de marketing e infraestructura. Los límites de consulta, las inclusiones anidadas y los problemas de alineación introducen puntos de fallo que no siempre son visibles hasta que disminuye la capacidad de entrega.
Esta guía explica con detalle qué es exactamente v=spf1 , cómo están estructurados los registros SPF, cómo funciona la evaluación y cómo crear y mantener un registro que no falle en condiciones reales.
Cómo funciona la evaluación del FPS
La evaluación SPF es un proceso de validación paso a paso que se lleva a cabo cada vez que se recibe un correo electrónico. Determina si el servidor remitente está autorizado a enviar mensajes en nombre del dominio utilizado en el campo «Return-Path».
Así es como funciona en la práctica:
- Se recibe un correo electrónico que afirma proceder de tu dominio: El mensaje llega al servidor de correo del destinatario con los encabezados visibles (De) y los detalles de enrutamiento ocultos (Return-Path).
- El servidor receptor extrae el dominio de Return-Path: Este es el dominio que SPF comprueba realmente. Representa al remitente utilizado durante la transmisión del correo electrónico.
- El servidor consulta el DNS para obtener el registro SPF (v=spf1): Busca el registro TXT publicado en ese dominio. Si no existe ningún registro SPF, el resultado es Ninguno (sin autenticación).
- La dirección IP del servidor remitente se compara con el registro SPF: El servidor procesa el registro SPF de izquierda a derecha:
- Comprueba cada mecanismo (ip4, incluir, a, etc.)
- Resuelve cualquier consulta de DNS necesaria
- Se detiene en la primera regla que coincida
- Se genera un resultado en función de la coincidencia: Entre los posibles resultados se incluyen:
- Aceptar → El remitente está autorizado
- Error / Error leve → El remitente no está autorizado (gestión estricta frente a gestión flexible)
- Neutro / Ninguno → No hay una política clara o no hay registro SPF
- PermError / TempError → No se ha podido evaluar el SPF debido a errores
- El resultado se combina con DKIM y DMARC: El SPF por sí solo no determina la entrega. El servidor receptor lo utiliza junto con:
- DKIM (integridad del mensaje)
- DMARC (alineación + política)
para decidir si se acepta, se filtra o se rechaza el mensaje
¿Qué es un registro SPF?
Un registro SPF es un registro TXT del DNS que define todos los servidores y servicios autorizados a enviar correo electrónico en nombre de tu dominio. Cuando se recibe un correo electrónico, el servidor receptor comprueba este registro para verificar si el remitente está autorizado.
¿Qué significa v=spf1?
El etiqueta v=spf1 es el identificador que indica a los servidores de correo receptores que este registro TXT de DNS es una política SPF. Indica que el registro debe analizarse y evaluarse utilizando las reglas SPF definidas en el RFC 7208.
Sin esta etiqueta, el registro no se considera en absoluto como SPF, no se lleva a cabo ninguna validación y, en la práctica, el dominio carece de protección SPF.
Cuando un servidor receptor consulta tu dominio:
- Busca entre los registros TXT uno que comience por v=spf1
- Para la evaluación del SPF solo se tiene en cuenta ese registro
- Todo lo que sigue se interpreta como reglas de autorización (mecanismos, calificadores, modificadores)
Para que SPF funcione correctamente, v=spf1 debe cumplir unos requisitos estrictos:
- Debe aparecer al principio del registro
- Debe escribirse exactamente así v=spf1 (sin errores tipográficos ni espacios de más)
- Solo puede haber un registro SPF por dominio
Si la etiqueta de versión es incorrecta en algún aspecto, todo el registro se rechaza:
- Falta por completo → El SPF devuelve Ninguno (no se ha encontrado ningún registro)
- Errores ortográficos (v=spf 1, v=spf2, v=SPF1) → Sintaxis no válida → PermError
- Si se coloca después de otro valor → El registro se ignora por estar mal formado
Los servidores receptores no pueden interpretar tu política SPF, por lo que la autenticación falla en todos los correos electrónicos.
Anatomía de un registro SPF: análisis detallado de la sintaxis
Todos los registros SPF siguen una estructura coherente, con un conjunto de reglas que se ejecutan en orden. Comprender cómo contribuye cada parte a esa evaluación es lo que evita los errores de configuración.
Un registro SPF siempre comienza con una etiqueta de versión (v=spf1), seguida de una serie de mecanismos que definen los remitentes autorizados. Estos mecanismos pueden combinarse con calificadores, que controlan cómo se tratan las coincidencias, y a veces con modificadores, que ajustan la forma en que se evalúa el registro. Todo esto se encuentra en una sola línea de texto, pero cada elemento afecta directamente a la forma en que los servidores receptores interpretan el correo electrónico de tu dominio.
Ejemplo de registro
v=spf1 ip4:192.0.2.0/24 include:_spf.google.com include:spf.protection.outlook.com -all
ip4:192.0.2.0/24 (donde /24 representa un rango de 256 direcciones IP utilizando la notación de enrutamiento entre dominios sin clases (CIDR))
Para qué sirve cada pieza
- v=spf1 identifica el registro como una política SPF y permite su evaluación
- ip4:192.0.2.0/24 permite explícitamente un rango de direcciones IP conocido, normalmente su propia infraestructura
- incluye:_spf.google.com autoriza Google Workspace haciendo referencia a su registro SPF
- incluye:spf.protection.outlook.com hace lo mismo para Microsoft 365
- -all define la política por defecto: no se permite a ningún remitente que no haya sido identificado anteriormente
Esta combinación da lugar a un modelo de autorización completo: solo se permiten fuentes específicas y todo lo demás queda denegado.
Cómo funciona realmente la evaluación
El SPF se procesa de una manera rigurosa y predecible:
- El servidor receptor lee el registro de izquierda a derecha
- Cada mecanismo se comprueba sucesivamente con la dirección IP del servidor de origen
- En cuanto se encuentra una coincidencia, la evaluación se detiene inmediatamente
- El condicionante asociado a ese mecanismo determina el resultado
Si no hay ningún mecanismo que coincida:
- El mecanismo actúa como decisión de reserva
Esto significa que el SPF no es un sistema en el que «se comprueba todo y luego se decide». Es un sistema en el que gana la primera coincidencia.
Explicación de los mecanismos del SPF
Los mecanismos constituyen el núcleo de un registro SPF. Definen qué fuentes de envío están autorizadas y conforman la lógica que el servidor receptor aplica a la dirección IP del remitente. Cada mecanismo añade una regla y, en conjunto, crean la lista de permitidos de tu dominio.
En la práctica, lo que importa no es solo lo que hace cada mecanismo, sino cómo se comporta durante la evaluación y cómo influye en los límites y la fiabilidad.
Los mecanismos se evalúan por orden, y el primero que coincida con la IP de origen determina el resultado. Esto significa que cada mecanismo que se añada afecta tanto a la cobertura de la autorización como a la complejidad de la evaluación.
Algunos mecanismos asocian directamente las direcciones IP, mientras que otros requieren consultas al DNS para obtener datos adicionales.
Cómo se comportan los distintos mecanismos
| Mecanismo | Qué hace | ¿Es necesario realizar una consulta DNS? | Ejemplo |
|---|---|---|---|
| incluyen: | Autoriza el registro SPF de otro dominio | Sí | incluir:_spf.google.com |
| ip4: | Permite una dirección IPv4 específica o un rango | No | IPv4: 192.0.2.0/24 |
| ip6: | Permite una dirección IPv6 específica o un rango | No | ip6:2001:db8::/32 |
| a | Autoriza las direcciones IP de los registros A/AAAA del dominio | Sí (1) | a |
| mx | Autoriza las direcciones IP de los registros MX del dominio | Sí (1) | mx |
| ptr | Utiliza la búsqueda DNS inversa (obsoleta) | Sí | ptr |
| existe: | Coincide si un dominio se resuelve en el DNS | Sí | exists:%{i}._spf.example.com |
| todo | Coincide con todos los remitentes (se utiliza con criterios de selección) | No | -todos |
Entre incluyen: El mecanismo «include» es el más utilizado y el que más problemas de límite de búsquedas suele causar debido a las consultas DNS anidadas.
SPF permite un máximo de 10 consultas DNS por evaluación. Mecanismos que cuentan para este límite:
- incluyen:
- a
- mx
- existe:
- redirect=
- ptr
Mecanismos que no:
- ip4:
- ip6:
Esto plantea una disyuntiva práctica:
- Comodidad (incluye:) → mayor coste de búsqueda
- Control (IPv4/IPv6) → menor coste de búsqueda, pero mayor mantenimiento
Explicación de los factores de protección solar (FPS)
Los calificadores definen qué acción se debe llevar a cabo cuando un mecanismo coincide. Mientras que los mecanismos responden a la pregunta «¿quién está autorizado?», los calificadores responden a la pregunta «¿qué debe suceder a continuación?». Juntos, determinan el grado de rigor con el que se aplica tu política SPF.
A cada mecanismo se le puede anteponer un calificador. Si no se especifica ningún calificador, el valor predeterminado es «pass» (+). El calificador influye directamente en cómo interpreta el servidor receptor la coincidencia y en el grado de confianza que deposita en el mensaje o en su rechazo.
Cómo se comportan los calificadores durante la evaluación
Cuando un mecanismo coincide:
- El calificativo que lo acompaña determina el resultado de inmediato
- La evaluación del SPF se detiene en ese punto
- Ese resultado se utiliza (junto con DKIM y DMARC) para determinar cómo se gestionará el mensaje
Esto significa que las eliminatorias son señales de decisión final en el proceso SPF.
Qué hace realmente cada calificativo (en su contexto)
| Calificador | Símbolo | Significado | Cuándo utilizarlo |
|---|---|---|---|
| Pasar | + | El remitente está expresamente autorizado | Comportamiento predeterminado (que rara vez se especifica explícitamente) |
| Error (error grave) | - | El remitente no está autorizado; el mensaje debe rechazarse | Utilizar tras haber completado la configuración de SPF con DMARC |
| SoftFail | ~ | Es probable que el remitente no esté autorizado; aceptarlo, pero marcarlo como sospechoso | Uso durante la configuración y las pruebas |
| Neutral | ? | No se proporciona ninguna información sobre el remitente | Evitar en producción |
En la mayoría de los registros SPF, los calificadores se aplican a la todos » al final para definir la política por defecto.
Cómo se suelen utilizar los calificadores en los registros SPF
La mayoría de los registros SPF se basan en los calificadores de un único lugar: el all al final.
- ~todos → Aplicación flexible por defecto (fase de seguimiento)
- -todo → Aplicación estricta por defecto (política lista para producción)
Este criterio de selección final determina cómo tratar a cualquier remitente que no haya sido identificado explícitamente anteriormente.
Orientación práctica
- Empieza con ~all durante la configuración: Esto le permite observar los resultados de SPF sin bloquear a los remitentes legítimos que pueda haber pasado por alto.
- Ir a -todo una vez que tu registro esté completo: Después de confirmar que se han incluido todas las fuentes válidas, cambie a «hardfail» para una aplicación completa.
- Evita ?all :No proporciona una protección ni una orientación significativas a los servidores receptores.
- Nunca utilices +all: Esto permite que cualquier remitente supere el SPF, lo que desactiva de hecho la autenticación de su dominio.
Explicación de los modificadores del FPS (aclaración)
Los modificadores son una parte pequeña pero importante de la sintaxis de SPF. A diferencia de los mecanismos, no definen quién está autorizado a enviar mensajes. En cambio, modifican la forma en que se lleva a cabo la evaluación de SPF una vez que se procesa el registro.
Son opcionales y se utilizan en situaciones concretas en las que las reglas estándar basadas en mecanismos no resultan suficientes.
Cómo se comportan los modificadores durante la evaluación
Los modificadores se evalúan una vez que se han procesado los mecanismos, e influyen en la forma en que se determina o se presenta el resultado final.
- No coinciden con las direcciones IP de origen
- No autorizan ni rechazan directamente a los remitentes
- Ajustan el caudal o resultado de la evaluación del SPF
Por este motivo, los modificadores suelen utilizarse únicamente en configuraciones avanzadas o estructuradas, y no en registros SPF básicos.
redirect= – delegación completa de la evaluación SPF
El modificador redirect= modificador transfiere la evaluación del SPF a otro dominio.
- Le indica al servidor receptor: «Ignora el resto de este registro y evalúa el SPF utilizando la política definida en otro dominio».
- A diferencia de incluyen::
- incluye: añade otra política a tu evaluación
- redirect= sustituye por completo tu evaluación
Por ejemplo:
v=spf1 redirect=_spf.example.com
En este caso:
- Tu dominio no define sus propias reglas SPF
- Toda la evaluación la lleva a cabo _spf.example.com
Cuándo utilizarlo:
- Gestión de varios dominios con una política SPF centralizada
- Garantizar la coherencia entre los distintos ámbitos sin duplicar los registros
exp= – explicación personalizada de los fallos
El modificador exp= ofrece una explicación comprensible para los usuarios cuando falla el SPF.
- Apunta a un registro DNS que contiene un mensaje de texto
- Ese mensaje puede reenviarse al servidor remitente en caso de error
Por ejemplo:
v=spf1 -all exp=explain._spf.example.com
Esto te permite definir una explicación personalizada como:
- ¿Por qué falló el mensaje?
- Qué debe hacer ahora el remitente
Cómo crear un registro SPF
Creación de un registro SPF es un proceso controlado y paso a paso. El objetivo es enumerar con precisión todas las fuentes de envío legítimas, manteniendo al mismo tiempo el registro válido, eficiente y aplicable.
Cada paso es importante, ya que el SPF se evalúa tal y como está escrito. Si falta un remitente o se añade una lógica incorrecta, esto puede afectar directamente a la entrega.
- Empieza con v=spf1: Esto activa el SPF para tu dominio. Sin ello, el registro se ignora y no se produce ninguna autenticación.
- Añade tu propia infraestructura de envío (ip4: / ip6:): Incluye cualquier servidor que controles directamente, como servidores de correo transaccional o sistemas internos. Estas son las entradas más fiables, ya que no dependen de consultas DNS externas.
- Añade tu proveedor de correo electrónico principal (incluye:): Si utilizas una plataforma como Google Workspace o Microsoft 365, debes incluir su registro SPF. Esto garantiza que toda su infraestructura de envío esté autorizada en tu nombre.
| Servicio | Valor de inclusión del SPF | Notas |
|---|---|---|
| Espacio de trabajo de Google | incluir:_spf.google.com | Abarca la infraestructura de envío de Gmail y Google Workspace |
| Microsoft 365 | incluir:spf.protection.outlook.com | Requisitos para Outlook / Exchange Online |
| Mailchimp | incluir:servers.mcsv.net | Se utiliza para campañas de marketing |
| SendGrid | incluir:sendgrid.net | Plataforma de correo electrónico transaccional y masivo |
| HubSpot | incluir:spf.hubspot.com | Automatización del marketing y correos electrónicos de CRM |
| Salesforce | incluyen:_spf.salesforce.com | CRM y flujos de trabajo de automatización |
| Zendesk | incluyen: mail.zendesk.com | Correos electrónicos de tickets de asistencia |
| Freshdesk | incluir:spf.freshdesk.com | Plataforma de atención al cliente |
Cada incluye: añade al menos una consulta DNS y puede introducir consultas anidadas adicionales dependiendo de la estructura SPF del proveedor.
- Añade todos los remitentes externos: Esto incluye herramientas de marketing, CRM, plataformas de asistencia y cualquier servicio que envíe correos electrónicos utilizando tu dominio. Cada uno de ellos debe ser autorizado explícitamente, ya que SPF no confía automáticamente en los servicios externos.
- Termina con tu política (~todos o -todos): Esto define cómo tratar a cualquier remitente que no figure en la lista anterior:
- ~todos → aceptar pero tratar como sospechoso (utilizado durante la configuración)
- -todos → rechazar remitentes no autorizados (se utiliza una vez validado por completo)
- Publicar como un único registro TXT de DNS: SPF solo permite un registro por dominio. Todos los mecanismos deben combinarse en esa única entrada.
- Comprueba antes y después de publicar: Comprueba si hay errores de sintaxis, límites de búsqueda y fuentes que falten. Comprueba también el registro DNS activo, no solo lo que se ha introducido.
La gestión manual del SPF se complica a medida que se añaden más fuentes de envío. Cada una de ellas aumenta la complejidad de la consulta, y los proveedores pueden cambiar las direcciones IP sin previo aviso.
Herramientas como PowerSPF (SPF alojado) de PowerDMARC automatizan este proceso mediante:
- Mantener tu registro dentro del límite de 10 consultas
- Actualización automática de los cambios de IP de los proveedores
- Reducción de los errores manuales y del mantenimiento
Esto ayuda a garantizar que tu registro SPF se mantenga válido y que la capacidad de entrega no se vea afectada con el paso del tiempo.
Ejemplo de registro
v=spf1 ip4:203.0.113.5 include:_spf.google.com include:servers.mcsv.net -all
Qué hace realmente este registro
- Autoriza un servidor dedicado (ip4:203.0.113.5)
- Autoriza a Google Workspace (incluir:_spf.google.com)
- Autoriza a Mailchimp (include:servers.mcsv.net)
- Rechaza cualquier remitente que no figure explícitamente en la lista (-all)
De este modo se establece una política cerrada y aplicable: solo las fuentes conocidas pueden enviar mensajes; todo lo demás queda bloqueado.
El límite de 10 búsquedas
Los siguientes mecanismos activan las consultas DNS:
- incluyen:
- a
- mx
- existe:
- redirect=
- ptr (obsoleto, pero sigue contando si se utiliza)
Estos mecanismos requieren que el servidor receptor consulte el DNS para resolver datos adicionales antes de continuar con la evaluación.
¿Qué NO cuenta?
Estos se evalúan directamente y no generan consultas DNS:
- ip4:
- ip6:
- todo
- v=spf1
El problema es que los problemas relacionados con el SPF no siempre se aprecian a simple vista. Las inclusiones anidadas, los remitentes inactivos y los rangos de IP ocultos pueden hacer que tu registro supere el límite sin que haya indicios evidentes.
Cómo se amplía el recuento de búsquedas
Incluso un registro SPF pequeño puede superar los límites debido a las inclusiones anidadas. Así es como se amplía el número de consultas en la práctica:
| Servicio | Incluir SPF | Búsquedas directas | Búsquedas anidadas | Contribución total |
|---|---|---|---|---|
| Espacio de trabajo de Google | incluir:_spf.google.com | 1 | 2–3 | 3–4 |
| Microsoft 365 | incluir:spf.protection.outlook.com | 1 | 1–2 | 2–3 |
| HubSpot | incluir:spf.hubspot.com | 1 | 0-1 | 1–2 |
| Salesforce | incluyen:_spf.salesforce.com | 1 | 1 | 2 |
| Total | — | 4 | 4–7 | 8–11 |
Aunque solo cuatro se incluyen: mecanismos, el recuento total de consultas puede superar el límite de 10 consultas una vez evaluados los registros anidados.
Límite de consultas nulas (a menudo pasado por alto)
SPF no solo impone un límite de 10 consultas DNS, sino también un límite de dos consultas nulas.
Una búsqueda sin resultados se produce cuando una consulta DNS no devuelve ningún resultado; por ejemplo, una respuesta de dominio inexistente (NXDOMAIN) o una respuesta DNS vacía.
Una búsqueda sin resultados se produce cuando una consulta DNS no devuelve ningún resultado, como una respuesta de dominio inexistente (NXDOMAIN) o una respuesta DNS vacía.
Causas comunes:
- Entre los datos incorrectos o desactualizados incluyen: dominios
- Errores tipográficos en los mecanismos SPF
- Referencias a dominios que ya no existen
Si se producen más de dos consultas nulas durante la evaluación del SPF:
- SPF devuelve un PermError
- Falla toda la comprobación del SPF
- Los correos electrónicos legítimos pueden perder la autenticación
A diferencia de los problemas relacionados con el recuento de consultas, las consultas nulas suelen ser más difíciles de detectar, ya que se deben a referencias DNS no válidas u obsoletas, y no a una complejidad visible.
¿No sabes cuántas consultas DNS realiza tu registro SPF?
Soluciones como el análisis y los informes SPF de PowerDMARC ofrecen:
- Visibilidad de todas las fuentes de envío y direcciones IP (incluso las anidadas)
- Detección de problemas relacionados con los límites de búsqueda y de configuraciones incorrectas
- Diagnósticos claros con soluciones prácticas
Esto facilita comprender qué hace realmente tu registro SPF y en qué aspectos es necesario optimizarlo.
Conclusión
SPF es una capa de control que define quién puede enviar correos electrónicos utilizando tu dominio. El etiqueta v=spf1 inicia ese proceso, pero la fiabilidad de tu configuración depende de lo bien que se haya creado y mantenido el registro, y de que se mantenga dentro de los límites.
La mayoría de los problemas con SPF no se deben a una configuración incorrecta, sino a desviaciones, a la incorporación de nuevas herramientas sin las correspondientes actualizaciones, a inclusiones en desuso que se han ido acumulando o al rebasamiento de los límites de consultas a lo largo del tiempo. Estos fallos suelen pasar desapercibidos hasta que afectan a la entrega.
Para que SPF funcione correctamente:
- Mantén tus registros precisos y concisos
- Revisa periódicamente las fuentes de envío
- No sobrepase los límites de búsqueda
- Comprueba los cambios antes y después de la publicación
El SPF funciona mejor cuando se gestiona como una configuración activa, en lugar de como una configuración puntual. Si se mantiene adecuadamente, proporciona a los servidores receptores una señal clara y coherente en la que pueden confiar, lo que favorece directamente la capacidad de entrega y la autenticación en todo su programa de correo electrónico.
No esperes a que los errores de SPF afecten al envío de tus correos electrónicos.
Obtén una visión completa de tu registro SPF, soluciona los problemas de resolución y mantén tu configuración actualizada a medida que evoluciona tu infraestructura de envío.
Descubre cómo puedes supervisar y gestionar el SPF fácilmente con PowerDMARC.
Preguntas frecuentes
1. ¿Qué ocurre si mi registro SPF no existe o no está configurado?
Si no existe ningún registro SPF, los servidores receptores devuelven un «None» . Esto significa que tu dominio no cuenta con autenticación basada en SPF, y los receptores se basan en otras señales como DKIM o filtros antispam. En la práctica, esto aumenta el riesgo de suplantación de identidad y puede afectar negativamente a la capacidad de entrega.
2. ¿Puedo tener más de un registro SPF en mi dominio?
No. Un dominio debe tener exactamente un registro SPF. Si varios registros TXT comienzan por v=spf1, la evaluación SPF devuelve un PermErrory la autenticación falla para todos los correos electrónicos. Combina siempre todas las fuentes de envío en un único registro.
3. ¿Cómo puedo saber si mi registro SPF es correcto?
Debes comprobar tres cosas:
- La sintaxis es correcta (sin errores ortográficos ni de formato)
- Se incluyen todas las fuentes de envío legítimas
- El número de consultas DNS se mantiene dentro del límite de 10 consultas
Utiliza una herramienta de comprobación de SPF y revisa los resultados reales a través de los informes DMARC para confirmar que todo funciona según lo previsto.
4. ¿Cuál es la diferencia entre «SPF Pass», «Fail» y «PermError»?
- Aceptar → El servidor de envío está autorizado
- Error / Error leve → El remitente no está autorizado (gestión estricta frente a gestión flexible)
- PermError → El SPF no funciona correctamente debido a una configuración errónea (por ejemplo, demasiadas consultas, sintaxis no válida)
El error «PermError» es el más grave, ya que significa que el SPF no se puede evaluar en absoluto.
5. ¿Necesito SPF si ya tengo DKIM y DMARC?
Sí. El SPF es una de las señales de autenticación fundamentales que utiliza DMARC. Aunque el DKIM puede validarse de forma independiente, contar con ambos, SPF y DKIM, mejora la fiabilidad y la cobertura. Muchos destinatarios esperan que los tres estén correctamente configurados.
6. ¿Protege el SPF contra la suplantación de identidad en el correo electrónico?
Por sí solo, no. El SPF solo comprueba el dominio de la ruta de retorno (Return-Path), no la dirección «De» visible. Un atacante aún puede falsificar el encabezado «De» y superar el SPF utilizando su propio dominio. Se necesita DMARC para garantizar la alineación y evitar esto.
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.
Últimas publicaciones de Ahona Rudra (ver todas)
- Política antiphishing de Office 365: cómo configurarla - 3 de junio de 2026
- Seguridad de los agentes de IA: riesgos, buenas prácticas y autenticación del correo electrónico - 2 de junio de 2026
- PowerDMARC ya se integra con HaloPSA - 1 de junio de 2026
