El email spoofing es uno de los vectores de ataque más habituales en internet. Alguien envía un email que parece proceder de tu dominio, pero en realidad sale de un servidor completamente distinto. El destinatario ve el nombre de tu empresa en el campo "De" y se fía. SPF (Sender Policy Framework) es la primera línea de defensa frente a esto, y configurarlo correctamente es una de las cosas más importantes que puedes hacer por la seguridad del email de tu dominio.

Esta guía te lleva por todo lo que necesitas saber sobre los registros SPF: qué son, cómo funcionan y cómo configurar uno paso a paso para tu dominio.

Qué es SPF y por qué importa#

SPF, o Sender Policy Framework, es un protocolo de autenticación de email definido en el RFC 7208. Permite a los propietarios de dominios especificar qué servidores de correo están autorizados a enviar email en nombre de su dominio. Cuando un servidor receptor recibe un email que dice venir de tu dominio, consulta tu registro SPF para verificar que el servidor remitente está realmente autorizado.

Por qué SPF importa#

Sin un registro SPF, cualquiera puede enviar emails que parezcan venir de tu dominio. Esto provoca varios problemas serios:

Email spoofing y phishing: los atacantes pueden suplantar tu marca para engañar a tus clientes, partners o empleados y conseguir que revelen información sensible o hagan clic en enlaces maliciosos.
Problemas de deliverability: los grandes proveedores de email como Gmail, Outlook y Yahoo usan SPF como señal a la hora de decidir si un email va a la bandeja de entrada o a spam. Los dominios sin registro SPF tienen más probabilidades de que sus emails legítimos se filtren.
Daño a la reputación de marca: si los spammers usan tu dominio para enviar correo basura masivo, la reputación de tu dominio cae en las redes de los proveedores de email. Esto afecta a la entregabilidad de todo el email que envías, incluidas las comunicaciones comerciales legítimas.
Requisitos de cumplimiento: muchos estándares y normativas del sector esperan que las organizaciones implementen autenticación de email. SPF es la base mínima.

Cómo funciona SPF#

Entender la mecánica de SPF te ayuda a configurarlo correctamente y a resolver problemas cuando aparecen.

El proceso de comprobación SPF#

Tu organización envía un email desde tu@tudominio.com usando tu servidor de correo autorizado.
El servidor receptor extrae el dominio del envelope sender (la cabecera Return-Path, no la cabecera From).
El servidor receptor hace un lookup DNS TXT sobre tudominio.com para obtener el registro SPF.
El servidor compara la dirección IP del servidor remitente con la lista de IPs y hostnames autorizados en el registro SPF.
Según la comparación, el servidor devuelve uno de estos resultados:
- Pass: el servidor remitente está autorizado. El email continúa con normalidad.
- Fail: el servidor remitente no está autorizado y el propietario del dominio ha indicado explícitamente que rechace remitentes no autorizados.
- SoftFail: el servidor remitente no está autorizado, pero el propietario del dominio no tiene la confianza suficiente para pedir un rechazo directo. El email suele aceptarse pero queda marcado.
- Neutral: el propietario del dominio no hace ninguna afirmación sobre el servidor remitente.

El formato del registro SPF#

Un registro SPF es un registro DNS TXT publicado en tu dominio. Sigue una sintaxis concreta:

v=spf1 [mechanisms] [qualifier]

v=spf1 es obligatorio e identifica el registro como SPF versión 1.
Los mecanismos definen qué servidores están autorizados.
El qualifier al final define la política por defecto para los servidores que no coincidan con ningún mecanismo.

Aquí tienes un ejemplo real:

v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 -all

Este registro dice: permite a los servidores de correo de Google, a los de SendGrid y a la dirección IP concreta 203.0.113.50 enviar email para este dominio. Rechaza a todos los demás.

Configuración SPF paso a paso#

Sigue estos pasos para crear y publicar un registro SPF para tu dominio.

Paso 1: identifica todos tus servicios de envío de email#

Antes de escribir tu registro SPF, necesitas una lista completa de cada servicio y servidor que envíe email en nombre de tu dominio. Es el paso que más se pasa por alto, y olvidar una fuente de envío hará que esos emails fallen las comprobaciones SPF.

Las fuentes de envío de email habituales incluyen:

Tu proveedor de email: Google Workspace, Microsoft 365, Zoho Mail, ProtonMail, etc.
Servicios de email transaccional: SendGrid, Mailgun, Amazon SES, Postmark, Resend, etc.
Plataformas de email marketing: Mailchimp, HubSpot, ActiveCampaign, ConvertKit, etc.
Tu servidor web: si tu sitio web envía emails directamente (formularios de contacto, restablecimiento de contraseñas, confirmaciones de pedido).
Herramientas de CRM y soporte: Zendesk, Freshdesk, Intercom, Salesforce, etc.
Otras herramientas SaaS: cualquier aplicación que envíe email usando tu dominio.

Anota todos los servicios. Pregunta en distintos departamentos de tu organización. Marketing puede estar usando una plataforma que ingeniería desconoce, y al revés.

Paso 2: reúne los valores de include de SPF#

Cada proveedor de email publica su propio dominio include para SPF. Aquí tienes los valores include de los proveedores más habituales:

Proveedor	SPF Include
Google Workspace	`include:_spf.google.com`
Microsoft 365	`include:spf.protection.outlook.com`
SendGrid	`include:sendgrid.net`
Mailgun	`include:mailgun.org`
Amazon SES	`include:amazonses.com`
Mailchimp	`include:servers.mcsv.net`
Postmark	`include:spf.mtasv.net`
Zoho Mail	`include:zoho.com`
HubSpot	`include:hubspot-email.com`
Freshdesk	`include:email.freshdesk.com`

Consulta la documentación de tu proveedor para conocer el valor include exacto. Los proveedores los actualizan de vez en cuando, así que verifica siempre con la documentación más reciente.

Paso 3: construye tu registro SPF#

Combina la etiqueta de versión, todos tus mecanismos include y un qualifier en un único registro.

Plantilla:

v=spf1 [include:provider1] [include:provider2] [ip4:your.server.ip] [qualifier]

Ejemplo para una empresa que usa Google Workspace y SendGrid:

v=spf1 include:_spf.google.com include:sendgrid.net -all

Ejemplo para una empresa que usa Microsoft 365, Mailchimp y un servidor de correo propio:

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net ip4:198.51.100.25 -all

Paso 4: elige tu qualifier#

El qualifier al final de tu registro SPF define qué pasa cuando un email llega desde un servidor que no aparece en tu registro:

-all (Fail): los servidores no autorizados deben rechazarse. Es la configuración recomendada para una protección máxima. Le dice a los servidores receptores que confías en tu lista y que cualquier email desde un servidor no listado es fraudulento.
~all (SoftFail): los servidores no autorizados deben tratarse con sospecha pero sin rechazarlos directamente. Úsalo durante la configuración inicial o en pruebas, cuando aún no estés seguro de haber listado todas las fuentes legítimas.
?all (Neutral): no se hace ninguna afirmación. Aporta prácticamente cero protección y no se recomienda.
+all (Pass): todo el mundo está autorizado. Esto destruye por completo el sentido de SPF. No lo uses nunca.

Recomendación: empieza con ~all durante el despliegue inicial y el periodo de pruebas. Una vez que confirmes que todo el email legítimo pasa las comprobaciones SPF, cambia a -all para una protección total.

Paso 5: publica el registro en DNS#

Entra en tu proveedor de DNS (Cloudflare, Route53, GoDaddy, Namecheap, etc.) y añade o actualiza el registro TXT:

Ve a la página de gestión de DNS de tu dominio.
Añade un nuevo registro TXT (o edita el registro SPF existente si ya hay uno).
Pon Host/Name en @ (representa tu dominio raíz).
Pon Value/Content con la cadena completa de tu registro SPF.
Pon TTL en 3600 (1 hora) o el valor por defecto de tu proveedor.
Guarda el registro.

Los cambios en DNS pueden tardar hasta 48 horas en propagarse globalmente, aunque la mayoría se ven en 15 minutos a 1 hora.

Paso 6: verifica tu registro SPF#

Una vez publicado, verifica que el registro está bien configurado. Puedes usar el Email Health Checker de Nova Uptime para hacer una comprobación completa de la configuración de email de tu dominio, incluida la validación de SPF. La herramienta revisa la sintaxis de tu registro SPF, evalúa la política de tu qualifier, cuenta los lookups de DNS e identifica posibles problemas.

También puedes verificarlo desde la línea de comandos:

dig TXT yourdomain.com +short

nslookup -type=TXT yourdomain.com

Busca el registro TXT que empiece por v=spf1. Confirma que están todos los mecanismos include esperados y que el qualifier es correcto.

Entender los mecanismos SPF#

Los registros SPF admiten varios tipos de mecanismos que te dan flexibilidad para definir remitentes autorizados.

`include`

Hace referencia al registro SPF de otro dominio. Es el mecanismo más habitual porque es la forma en que los proveedores de email publican sus rangos de IPs autorizadas.

include:_spf.google.com

Cuando el servidor receptor encuentra esto, hace un lookup DNS adicional para obtener el registro SPF de Google y comprueba la IP remitente contra los rangos autorizados de Google.

`ip4` e `ip6`

Especifica direcciones IP individuales o rangos CIDR autorizados a enviar email.

ip4:203.0.113.50
ip4:198.51.100.0/24
ip6:2001:db8::/32

Úsalo para tus propios servidores de correo o para cualquier servicio del que conozcas las IPs concretas.

`a`

Autoriza la dirección IP a la que apunta el registro A de tu dominio. Si tu servidor web también envía email, es una forma concisa de autorizarlo.

`mx`

Autoriza las direcciones IP de los servidores MX (mail exchange) de tu dominio. Como tus servidores MX reciben email, a menudo también necesitan enviarlo (respuestas, rebotes, reenvíos).

mx

`redirect`

Apunta al registro SPF de otro dominio entero, sustituyendo al tuyo. Distinto de include porque sustituye en lugar de complementar.

redirect=_spf.example.com

Errores SPF habituales y cómo evitarlos#

Error 1: superar el límite de 10 lookups DNS#

La especificación SPF (RFC 7208) limita el número total de lookups DNS a 10. Cada mecanismo include, a, mx y redirect cuenta como un lookup. Los includes anidados (un include que a su vez contiene includes) también cuentan para este límite.

Si tu registro supera los 10 lookups, la comprobación SPF devuelve un resultado PermError, y muchos servidores receptores tratarán esto igual que si no hubiera registro SPF.

Cómo arreglarlo:

Sustituye mecanismos include por ip4/ip6 cuando sea posible (los mecanismos IP no cuentan como lookups DNS).
Usa herramientas de SPF flattening para resolver los includes en sus IPs subyacentes.
Consolida servicios de email cuando sea factible.
Elimina includes de servicios que ya no usas.

Error 2: publicar varios registros SPF#

Un dominio debe tener exactamente un registro SPF. Si publicas dos registros TXT que empiezan por v=spf1, la comprobación SPF devuelve un PermError. Esto suele pasar cuando alguien añade un nuevo registro SPF sin eliminar ni actualizar el existente.

Cómo arreglarlo: Combina todos tus remitentes autorizados en un único registro SPF.

Mal:

v=spf1 include:_spf.google.com -all
v=spf1 include:sendgrid.net -all

Bien:

v=spf1 include:_spf.google.com include:sendgrid.net -all

Error 3: usar `+all`

Poner +all como qualifier significa que cualquier servidor del mundo está autorizado a enviar email como tu dominio. Esto anula por completo el propósito de SPF y supone un riesgo de seguridad serio.

Error 4: olvidar actualizar tras cambiar de proveedor#

Cuando cambias de proveedor de email, migras de plataforma de marketing o añades nuevas herramientas SaaS, tu registro SPF necesita actualizarse. Los includes antiguos de servicios que ya no usas malgastan lookups DNS, y la falta de includes para servicios nuevos hace que los emails legítimos fallen.

Error 5: no probar después de hacer cambios#

Cada vez que modifiques tu registro SPF, pruébalo. Envía emails de prueba desde todos tus servicios y verifica que pasan las comprobaciones SPF. Usa herramientas como el Email Health Checker de Nova Uptime para validar la sintaxis y la configuración de tu registro.

SPF y el panorama completo de la autenticación de email#

SPF es uno de los tres grandes protocolos de autenticación de email. Para una protección integral, deberías implementar los tres:

SPF + DKIM + DMARC#

SPF verifica que el servidor remitente está autorizado para el dominio.
DKIM (DomainKeys Identified Mail) añade una firma criptográfica a los emails salientes, verificando que el mensaje no se ha alterado en tránsito y que lo envió una parte autorizada.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) une SPF y DKIM con una política que indica a los servidores receptores qué hacer cuando la autenticación falla. También aporta reporting para que veas quién está enviando email como tu dominio.

Juntos, estos tres protocolos ofrecen una protección sólida frente al email spoofing y al phishing. SPF por sí solo es un buen comienzo, pero es más eficaz combinado con DKIM y DMARC.

Cómo probar tu registro SPF#

Después de configurar tu registro SPF, hacer pruebas a fondo es esencial. Esta es una checklist de pruebas:

Verificación DNS: confirma que el registro existe y es sintácticamente correcto usando herramientas de lookup DNS.
Envía emails de prueba: envía emails desde cada servicio autorizado y revisa las cabeceras del email en el lado receptor buscando spf=pass.
Comprueba el número de lookups: asegúrate de que el total de lookups DNS es 10 o menos.
Verifica que solo existe un registro SPF: comprueba que no tienes registros TXT SPF duplicados.
Prueba con un servidor no autorizado: si puedes, envía un email desde una fuente no autorizada y confirma que falla o hace soft-fail SPF.

El Email Health Checker de Nova Uptime automatiza la mayoría de estas comprobaciones. Introduce tu dominio y obtén un informe instantáneo sobre tu registro SPF, incluida la fortaleza concreta de la política, cualquier problema de sintaxis y recomendaciones de mejora. También revisa tu configuración de DKIM y DMARC para que veas tu postura completa de autenticación de email en un solo sitio.

Mantenimiento de tu registro SPF#

SPF no es algo de "configurar y olvidarse". Programa revisiones periódicas:

Auditorías trimestrales: revisa tu registro SPF frente a tu lista actual de servicios de envío de email. Elimina los includes antiguos y añade los nuevos.
Tras cualquier cambio de infraestructura: siempre que añadas, elimines o cambies un proveedor de email, actualiza tu registro SPF de inmediato.
Tras problemas de deliverability: si notas que los emails caen en spam, revisa tu registro SPF lo primero. Un registro mal configurado es una de las causas más habituales.
Monitoring automatizado: usa una herramienta de monitoring de salud del email para revisar de forma continua tu configuración SPF y avisarte si se rompe.

Resumen#

Configurar SPF correctamente es una de las mejoras de mayor impacto y menor esfuerzo que puedes hacer por la seguridad y la deliverability del email de tu dominio. Recapitulando:

Lista cada servicio que envíe email como tu dominio.
Reúne los valores include de SPF de cada servicio.
Crea un único registro SPF que combine a todos los remitentes autorizados.
Empieza con ~all y pasa a -all cuando confirmes que todo funciona.
Publica el registro TXT en DNS.
Verifica con el Email Health Checker de Nova Uptime.
Revisa y actualiza cada trimestre.

La reputación de tu email se construye durante meses y puede destruirse en días. Un registro SPF bien configurado es la base que la mantiene protegida.

Preguntas frecuentes#

¿Cómo compruebo mi registro SPF?#

Usa una herramienta SPF checker gratis para consultar y validar tu registro SPF. Introduce tu dominio y la herramienta consulta DNS para obtener tu registro TXT, valida la sintaxis, cuenta los lookups DNS (máximo 10 permitidos) y revisa tu política de aplicación. También puedes comprobarlo con dig TXT yourdomain.com o nslookup -type=TXT yourdomain.com.

¿Qué hace una comprobación SPF?#

Una comprobación SPF verifica que el servidor que envía email en nombre de tu dominio está autorizado en tu registro DNS SPF. Los servidores de correo receptores hacen esta comprobación de forma automática. Si la IP remitente no aparece en tu registro SPF, el email puede marcarse como spam o rechazarse según tu política DMARC.

¿Cómo pruebo mi registro SPF?#

Después de publicar tu registro SPF, pruébalo: (1) ejecuta una comprobación SPF gratuita, (2) envía un email de prueba a Gmail y revisa las cabeceras de "Mostrar original" buscando spf=pass, o (3) usa nslookup -type=TXT yourdomain.com para verificar que el registro está publicado correctamente.

¿Qué es el límite de 10 lookups de SPF?#

Los registros SPF están limitados a 10 lookups DNS. Cada mecanismo include:, a:, mx:, ptr: y redirect= cuenta como un lookup. Superar este límite provoca un fallo permanente de SPF (permerror), lo que significa que todo tu email falla SPF. Usa el SPF Checker para contar tus lookups actuales.

¿Debería usar -all o ~all en mi registro SPF?#

Usa -all (hard fail) para máxima protección: le dice a los servidores receptores que rechacen el email de fuentes no autorizadas. Usa ~all (soft fail) durante la configuración inicial o una migración. Una vez que confirmes que todos los remitentes legítimos están incluidos, cambia a -all. Nuestro Email Health Checker revisa tu política SPF y recomienda la opción adecuada.

Lecturas relacionadas#

Guía de búsqueda y validación de registros SPF — Configuración SPF avanzada y resolución de problemas
Guía completa de SPF, DKIM y DMARC — Cómo encaja SPF en el stack completo de autenticación
Checklist de deliverability de email — 15 pasos incluyendo la configuración de SPF
Configuración de DMARC: de None a Reject — Configura DMARC después de tener SPF listo
SPF Checker gratis — Valida tu registro SPF al instante