Ir al contenido principal
CaptainDNS
NUEVO·Monitorización de seguridad y entregabilidad del correo. Recibe una alerta en cuanto un cambio de puntuación o de registro DNS pone en riesgo tu dominio.Más información

Generador SPF gratis

Crea un registro SPF válido para tus proveedores de correo

Crea un registro SPF correcto sin adivinar los includes ni contar las búsquedas a mano. Elige tus proveedores de correo, añade tus IP y el generador resuelve la cadena en DNS para mostrar el número real de búsquedas y señalar los void lookups. También comprueba si ya existe un SPF y te indica si debes añadirlo, reemplazarlo o no tocar nada.

1Tu dominio y tus proveedores de envío

El dominio para el cual generar el registro SPF.

Proveedores que envían en tu nombre

Cargando proveedores...

2Nivel de protección
3Fuentes avanzadasopcional
Añadir IPs, includes o los mecanismos a / mx
Mecanismos del dominio

Actívalo si tus servidores de correo (A/MX del dominio) también envían correo.

Presupuesto de consultas DNS

Introduce un dominio para estimar el presupuesto de consultas DNS.

Catálogo de proveedores

Google Workspace, Microsoft 365, Amazon SES, SendGrid, Brevo, Zoho y muchos más. Una búsqueda cubre todo el catálogo para encontrar el tuyo en un clic.

Búsquedas DNS resueltas

Estimación rápida durante la selección y recuento real tras resolver la cadena de includes. Aviso en cuanto te acercas al límite de 10 (RFC 7208).

Detección de void lookups

El generador cuenta los includes que no resuelven. Por encima de 2 void lookups, el SPF cae en permerror: lo ves antes de publicar.

Añadir, reemplazar o no cambiar

El generador lee el SPF ya publicado en tu dominio y adapta las instrucciones: añadir, reemplazar el existente o no cambiar nada si el registro es idéntico.

Paso lógico hacia DMARC

SPF por sí solo no basta. El generador detecta si existe un DMARC y propone verificarlo; si no, configurarlo para completar la autenticación.

Lo que el generador verifica realmente

Muchas herramientas se limitan a pegar includes unos detrás de otros. La nuestra va más allá: resuelve la configuración en DNS antes de dejarte publicar.

En concreto, en el momento de la generación, hace cuatro cosas.

Primero resuelve la cadena de includes en DNS, con el mismo motor que nuestro verificador de sintaxis SPF. Un include:_spf.google.com no es una sola búsqueda: contiene otras, que a su vez contienen más. El generador las sigue todas y muestra el número real de búsquedas, no una estimación a ojo.

Después cuenta los void lookups. Un void lookup es una búsqueda DNS que no devuelve nada: un include hacia un dominio que ha desaparecido, un NXDOMAIN, una respuesta vacía. La RFC 7208 §4.6.4 tolera 2. Al tercero, es permerror. Muchos SPF rotos lo están por culpa de un antiguo proveedor cuyo include ya no resuelve, sin que nadie se dé cuenta.

También revisa tu SPF ya publicado. Si encuentra uno, no te deja apilar un segundo (sería un permerror inmediato). Te propone reemplazar el existente, o te indica que nada cambia si el SPF en uso ya es idéntico al resultado.

Por último, verifica tu DMARC. SPF por sí solo deja huecos; DMARC cierra el círculo. Si ya existe un DMARC, el generador propone verificarlo; si no, configurarlo.

Estimación durante la selección, recuento real en la generación

El formulario muestra una estimación en vivo de las búsquedas DNS mientras marcas tus proveedores. Es rápida, está basada en el catálogo y da una idea inmediata del orden de magnitud.

El resultado final, en cambio, muestra el recuento real tras resolver por completo la cadena. Puede ser más alto que la estimación. ¿Por qué? Porque los includes anidados solo son visibles una vez resueltos en DNS. Un proveedor que «cuesta» 1 en el catálogo puede consumir tres una vez resuelta su cadena.

Fíate de la cifra final antes de publicar. Es la que cuenta para el límite de 10.

Añadir, reemplazar o no cambiar: lo que el generador recomienda

El generador lee el SPF publicado actualmente en tu dominio y adapta sus instrucciones.

Situación detectadaInstrucciónPor qué
Ningún SPF publicadoAñadir un registro TXTEl dominio no está protegido, hay que crear el SPF
Existe un SPF y difiereReemplazar el registro existenteDos SPF en un mismo dominio provocan un permerror
Ya hay un SPF idénticoNinguna modificaciónNo tiene sentido republicar el mismo valor

La regla que hay que recordar cabe en una frase: un dominio, un solo SPF. Si añades un proveedor, editas el registro existente, no creas uno nuevo.

¿Qué es un registro SPF?

SPF (Sender Policy Framework) es un mecanismo de autenticación de correo definido en la RFC 7208. Permite a un dominio declarar qué servidores tienen derecho a enviar correos en su nombre.

Sin SPF, cualquiera puede escribir un correo haciéndose pasar por tu dominio. Con un SPF correcto, los servidores destinatarios comparan el remitente real con tu lista autorizada y rechazan o marcan lo que no encaja.

Configurar SPF sirve para proteger tu dominio contra la suplantación, mejorar la entregabilidad de tus correos legítimos y asentar uno de los dos pilares de DMARC (el otro es DKIM). Gmail, Outlook y Yahoo verifican todos SPF: no tenerlo es empezar con desventaja.

Sintaxis de un registro SPF

Un registro SPF es un registro DNS TXT que siempre empieza por v=spf1:

v=spf1 include:_spf.google.com include:sendgrid.net ip4:192.0.2.1 ~all

Mecanismos SPF

MecanismoDescripciónEjemploBúsqueda DNS
include:Incluye el SPF de otro dominioinclude:_spf.google.com
ip4:Autoriza una dirección o rango IPv4ip4:192.0.2.1 o ip4:192.0.2.0/24No
ip6:Autoriza una dirección o rango IPv6ip6:2001:db8::1No
aAutoriza la IP del registro A del dominioa o a:mail.captaindns.com
mxAutoriza los servidores MX del dominiomx
allDefine el comportamiento por defecto-all, ~all, ?allNo

Calificadores de política

PolíticaSintaxisSignificadoRecomendación
Fail-allRechazar los envíos no autorizadosProducción, tras las pruebas
Softfail~allMarcar como sospechoso, sin bloquearPara empezar
Neutral?allNinguna indicaciónDesaconsejado

El ?all merece un comentario. A efectos de la evaluación, no protege casi nada: un servidor destinatario lo trata casi como la ausencia de SPF. Conviene evitarlo, salvo durante el breve lapso de un diagnóstico.

El límite de 10 búsquedas DNS

La RFC 7208 limita a 10 el número de búsquedas DNS durante la evaluación de un SPF. Es un límite estricto: superarlo provoca un permerror y el fallo de la validación.

Lo que cuenta como búsqueda

Mecanismo¿Cuenta?Observación
include:Sí, más las búsquedas anidadasUn include puede ocultar varias
a
mxMás 1 por cada registro MX resuelto
redirect=
exists:
ip4: / ip6:NoConviene priorizarlas para ahorrar
allNo

La trampa clásica: un include que parece inofensivo. include:_spf.google.com contiene a su vez varios includes. Ahí es donde el recuento real del generador marca la diferencia frente a una estimación a bulto.

Proveedores de correo compatibles

El generador conoce los principales proveedores de correo y añade su include con el formato correcto en cuanto los marcas. Una búsqueda cubre todo el catálogo, más allá de los proveedores habituales que se muestran por defecto. Estos son algunos ejemplos entre los proveedores compatibles:

ProveedorInclude SPF
Google Workspace_spf.google.com
Microsoft 365spf.protection.outlook.com
Amazon SESamazonses.com
SendGridsendgrid.net
Mailgunmailgun.org
Brevo (antes Sendinblue)spf.sendinblue.com
Zohospf.zoho.com
Mailchimpservers.mcsv.net
Postmarkspf.mtasv.net
HubSpotspf.hubspot.com
Salesforce_spf.salesforce.com
Infomaniakspf.infomaniak.ch

¿Tu proveedor no está en la lista? Busca su nombre en el generador: el catálogo va mucho más allá de estos pocos ejemplos.

FAQ - Preguntas frecuentes

P: ¿Cómo crear un registro SPF para mi dominio?

R: Elige tus proveedores de correo, añade tus IP si es necesario y selecciona la política (~all para empezar). El generador resuelve los includes, muestra el número real de búsquedas DNS y te indica si debes añadir un SPF o reemplazar el que ya existe. Copia el registro TXT y publícalo en tu zona DNS.

P: ¿Qué es un void lookup en SPF?

R: Una búsqueda DNS que no devuelve nada: include hacia un dominio desaparecido, NXDOMAIN, respuesta vacía. La RFC 7208 §4.6.4 permite 2 como máximo. Por encima de ese límite, la evaluación falla en permerror. El generador los detecta y los cuenta mientras resuelve la cadena.

P: ¿El generador muestra el número real de búsquedas?

R: Durante la selección es una estimación rápida basada en el catálogo. Al generar, resuelve realmente la cadena de includes en DNS, con el mismo motor que nuestro verificador de sintaxis SPF. El recuento final es exacto y, a veces, más alto que la estimación, porque sigue los includes anidados.

P: ¿Puede el generador detectar mi SPF actual?

R: Sí. Lee el SPF publicado en tu dominio. Sin SPF: propone añadir uno. SPF existente y diferente: propone reemplazarlo, nunca crear un segundo. SPF ya idéntico: ninguna modificación.

P: ¿Puedo tener varios registros SPF?

R: No. Un solo SPF por dominio. Publicar dos provoca un permerror. Combina los includes de tus proveedores en un único registro.

P: ¿Qué diferencia hay entre ~all y -all?

R: ~all (softfail) marca como sospechosos los envíos no autorizados sin bloquearlos. -all (fail) los rechaza. Empieza con ~all mientras validas y luego pasa a -all.

P: ¿Cómo resolver el error too many DNS lookups?

R: Elimina los includes inútiles, reemplaza algunos includes por IP directas (ip4/ip6 no cuentan) o aplana el registro con nuestro SPF Flattener. El generador muestra el contador de búsquedas reales para evitar llegar a ese punto.

Herramientas complementarias

HerramientaUtilidad
SPF Record CheckVerifica tu SPF publicado y su validez
SPF FlattenerAplana tu SPF para bajar de las 10 búsquedas DNS
SPF Syntax CheckValida la sintaxis SPF antes de publicar
DKIM GeneratorCrea tus claves DKIM (RSA/Ed25519)
DMARC GeneratorConfigura DMARC para completar la autenticación
Mail TesterPrueba la entregabilidad de tus correos

Recursos útiles