Cómo configurar registros SPF: guía de autenticación de email
Busca y valida tu registro SPF. Guía paso a paso con la sintaxis SPF, los límites de búsquedas DNS, errores comunes y herramientas de prueba gratuitas.
Por qué SPF importa (justo ahora)#
En febrero de 2026, Gmail y Yahoo han comenzado a aplicar de forma estricta la autenticación de email. Los correos sin un registro SPF correcto están siendo rechazados a un ritmo sin precedentes.
La realidad: si tu registro SPF no está bien configurado, tus emails transaccionales (recuperación de contraseñas, confirmaciones, facturas) están siendo bloqueados en silencio. Tus clientes piensan que tu servicio no funciona. Tú no te enteras del problema hasta que se quejan.
Esta guía te lleva por la configuración de SPF en 15 minutos.
¿Qué es SPF y cómo funciona?#
SPF (Sender Policy Framework) es un registro DNS que dice: "Estos servidores están autorizados a enviar email en nombre de mi dominio".
El problema que resuelve SPF#
Sin SPF, cualquiera puede enviar email que parezca venir de tu dominio:
From: you@yourcompany.com
Reply-To: attacker@attacker.com
El email parece venir de tu empresa (un regalo para el phishing). SPF lo evita validando que el servidor remitente esté realmente autorizado.
Cómo funciona la validación SPF#
- El email llega a Gmail
- Gmail comprueba: "¿Cuál es el registro SPF de yourcompany.com?"
- El registro SPF dice: "Solo mail.yourcompany.com y SendGrid están autorizados"
- El email viene de: SendGrid (autorizado)
- Resultado: SPF pasa ✅
Ahora, si attacker.com intenta enviar email haciéndose pasar por yourcompany.com:
- El email llega a Gmail desde el servidor del atacante
- Gmail comprueba: "¿Está el servidor del atacante en el registro SPF de yourcompany.com?"
- Respuesta: No
- Resultado: SPF falla ❌
Formato y sintaxis del registro SPF#
Un registro SPF es un registro DNS de tipo TXT. Tiene una sintaxis concreta:
v=spf1 [mechanisms] [qualifier]
Vamos por partes:
v=spf1: versión (siempre se empieza por esto)[mechanisms]: define los servidores autorizados[qualifier]: cómo tratar a los servidores no autorizados
Mechanisms (los más comunes)#
| Mechanism | Significado | Ejemplo |
|---|---|---|
include: | Incluye el SPF de otro dominio | include:_spf.google.com |
ip4: | Autoriza una IPv4 concreta | ip4:203.0.113.50 |
ip6: | Autoriza una IPv6 concreta | ip6:2001:db8::1 |
mx | Autoriza el servidor MX | mx |
ptr | Autoriza por DNS inverso | ptr (poco usado, evítalo) |
a | Autoriza el registro A | a |
Qualifiers (cómo gestionar los fallos)#
| Qualifier | Significado | Cuándo usarlo |
|---|---|---|
+ | Pass (permitir) | Explícitamente autorizado |
- | Fail (rechazar) | Explícitamente no autorizado |
~ | Soft fail (aceptar pero marcar) | Por defecto para no autorizados |
? | Neutral (sin política) | Casi nunca se usa |
Ejemplo real#
v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all
Qué significa esto:
- Incluye el registro SPF de Google (Gmail)
- Incluye el registro SPF de SendGrid (SendGrid)
- Autoriza también la IP 203.0.113.50 (tu servidor de correo de oficina)
- Soft fail (~all) para todos los demás (marcar como sospechosos pero no rechazar)
Paso 1: identifica todos tus servicios de envío de email#
Antes de escribir tu registro SPF, lista cada servicio que envía email en tu nombre:
Preguntas que responder:
- ¿Usas Google Workspace?
- ¿Usas Microsoft 365?
- ¿Usas SendGrid, Mailgun u otro servicio de email?
- ¿Tienes servidores de correo en local?
- ¿Usas apps de terceros que envían email (Zapier, herramientas de automatización)?
Apúntalos todos. Este es el error número uno: olvidarse de un servicio de envío y que sus emails fallen el SPF.
Servicios habituales y sus include de SPF:
# Google Workspace
include:_spf.google.com
# Microsoft 365
include:spf.protection.outlook.com
# SendGrid
include:sendgrid.net
# Mailgun
include:mailgun.org
# Klaviyo
include:klavan.net
# HubSpot
include:hstsrv.net
Paso 2: reúne las sentencias include de SPF#
Para cada servicio, busca la sentencia include oficial (en su documentación, no en webs aleatorias).
Fuentes oficiales:
- Google Workspace: support.google.com
- Microsoft 365: learn.microsoft.com
- SendGrid: sendgrid.com/docs
- Mailgun: mailgun.com/docs
NO te fíes de un blog o web cualquiera para esto. Acude siempre a la fuente oficial.
Paso 3: construye tu registro SPF#
Empieza con:
v=spf1 [mechanisms] ~all
Añade cada include:
v=spf1 include:_spf.google.com include:sendgrid.net ~all
Añade las direcciones IP:
v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all
Paso 4: publícalo en DNS#
Accede a tu proveedor DNS (Cloudflare, GoDaddy, Route 53, etc.) y:
-
Ve a DNS Records o TXT Records
-
Añade un nuevo registro TXT con:
- Nombre: @ (o el nombre de tu dominio, según el proveedor)
- Valor: tu registro SPF
- TTL: 3600 (1 hora, suficiente para pruebas)
-
Guarda y espera entre 5 y 15 minutos a que se propague
Paso 5: prueba tu registro SPF#
Usa una de estas herramientas para verificar que tu registro es correcto:
Opciones gratuitas:
Qué deberías ver:
- ✅ Registro SPF encontrado
- ✅ Sin errores de sintaxis
- ✅ Recuento de búsquedas ≤ 10 (a partir de ahí falla)
Paso 6: monitoriza con el tiempo#
Publícalo con ~all (soft fail) al principio:
- Semana 1: vigila la entrega de email
- Comprueba si los emails llegan
- Revisa la carpeta de spam
Si todo va bien después de una semana, puedes pasar a -all (hard fail):
v=spf1 include:_spf.google.com include:sendgrid.net -all
Errores comunes con SPF y cómo evitarlos#
Error 1: superar las 10 búsquedas DNS#
La especificación SPF limita las búsquedas DNS a 10. Si te pasas, SPF devuelve PermError (fallo permanente) y los emails se rechazan.
Cómo arreglarlo:
- Sustituye
include:porip4:siempre que puedas - Usa herramientas de SPF flattening
- Consolida servicios de email (menos servicios = menos includes)
Error 2: usar +all en lugar de -all o ~all
+all significa "acepta a cualquiera que diga ser este dominio": deja a SPF inservible.
Uso correcto:
~all: soft fail (marcar como sospechoso pero entregar)-all: hard fail (rechazar)
Empieza con ~all y pasa a -all cuando hayas verificado todo.
Error 3: varios registros SPF#
La especificación DNS solo permite UN registro TXT por nombre. Si creas varios registros TXT de SPF, DNS solo lee el primero; los demás se ignoran.
Enfoque correcto:
- Crea UN único registro SPF
- Combina todos los mechanisms dentro:
v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all
NO tres registros separados.
Error 4: erratas en las sentencias include#
include:sendgrid.com frente a include:sendgrid.net: una letra mal y todo deja de funcionar.
Solución:
- Copia y pega desde la documentación oficial, no lo escribas a mano
- Verifica con una herramienta DNS después de publicar
Error 5: olvidarse de un servicio de envío#
Añades el SPF de SendGrid pero te olvidas de Klaviyo. Los emails de Klaviyo fallan el SPF.
Solución:
- Audita TODOS los servicios que envían email
- Añádelos todos, sin excepción
SPF vs DKIM vs DMARC#
SPF es solo una pieza de la autenticación de email. Para una protección completa, necesitas las tres:
- SPF: "¿Está autorizado el servidor remitente?"
- DKIM: "¿Es auténtico el contenido del mensaje (no ha sido falsificado)?"
- DMARC: "¿Pasan ambos Y el dominio está alineado?"
Nova Uptime monitoriza las tres automáticamente. Comprueba la salud de tu email con el Email Health Checker de Nova Uptime.
Probar que SPF funciona en escenarios reales#
Después de publicar el SPF:
- Envía emails de prueba desde tu dominio
- Revisa las cabeceras: busca
SPF: PASSoSPF: FAIL - Vigila el spam: ¿los emails siguen yendo a spam? Comprueba DKIM/DMARC
- Usa herramientas de verificación de email: reenvía a servicios temporales de email que muestran las cabeceras
Resumen#
- Lista todos los servicios de envío de email
- Consigue los include oficiales de cada uno
- Combínalos en un solo registro SPF que empiece con
~all - Publícalo en un registro TXT del DNS
- Pruébalo con herramientas de verificación de email
- Monitorízalo durante 1 semana
- Cambia a
-allsi todo funciona - Añade DKIM y DMARC para una autenticación completa
La reputación de tu email se construye en meses y se destruye en días. Una buena configuración de SPF es la base de todo.
Monitoriza la salud de tu email automáticamente con el Email Health Checker de Nova Uptime: audita SPF, DKIM, DMARC, registros MX y estado de blacklist. 🚀
Lecturas relacionadas#
- Guía de configuración y verificación del registro SPF — Configuración paso a paso de SPF para principiantes
- Guía completa de SPF, DKIM y DMARC — Cómo encaja SPF en el stack de autenticación completo
- Guía de comprobación y eliminación de blacklists de email — Listados negros por falta de SPF
- Configuración de DMARC: de None a Reject — Configura DMARC tras tener SPF listo
- Guía del Email Health Checker — Auditoría completa de autenticación de email
- SPF Checker gratis — Valida tu registro SPF al instante
Monitor Your Website Before It Goes Down
Get uptime monitoring, SSL tracking, domain expiry alerts, and email health checks. Free plan — no credit card required.
Start Monitoring FreeArtículos relacionados
SPF, DKIM y DMARC: la guía completa de autenticación de email
Guía sobre los tres pilares de la autenticación de email. Cómo SPF, DKIM y DMARC trabajan juntos para proteger tu dominio y la entrega en bandeja de entrada.
Configuración de Política DMARC: Previene el Spoofing de Email
Test DMARC gratis y guía de configuración. Define p=none, quarantine y reject, y alinea SPF/DKIM. Obligatorio en Gmail desde feb. de 2026.
Guía de Configuración DKIM: Setup Completo Paso a Paso
Configura DKIM en 20 minutos: encuentra el selector, genera claves y publica DNS. Validador DKIM gratis. Obligatorio en Gmail desde feb. de 2026.