¿Qué es un registro SPF?
SPF (Sender Policy Framework) es un mecanismo de autenticación de correo definido en la RFC 7208. Permite a un dominio declarar qué servidores están autorizados para enviar correos en su nombre.
Por qué configurar SPF:
- Proteger tu dominio — Evita la suplantación de identidad (spoofing) de tus correos
- Mejorar la entregabilidad — Los correos legítimos son mejor aceptados por los destinatarios
- Prerrequisito para DMARC — SPF es uno de los dos pilares de la autenticación DMARC (junto con DKIM)
- Estándar de la industria — Todos los grandes proveedores (Gmail, Outlook, Yahoo) verifican SPF
Sintaxis de un registro SPF
Un registro SPF es un registro DNS TXT que siempre comienza con v=spf1:
v=spf1 include:_spf.google.com include:sendgrid.net ip4:192.0.2.1 ~all
Mecanismos SPF
| Mecanismo | Descripción | Ejemplo | DNS Lookup |
|---|---|---|---|
include: | Incluye el SPF de otro dominio | include:_spf.google.com | Sí |
ip4: | Autoriza una dirección o rango IPv4 | ip4:192.0.2.1 o ip4:192.0.2.0/24 | No |
ip6: | Autoriza una dirección o rango IPv6 | ip6:2001:db8::1 | No |
a | Autoriza la IP del registro A del dominio | a o a:mail.ejemplo.com | Sí |
mx | Autoriza los servidores MX del dominio | mx | Sí |
all | Define el comportamiento por defecto | -all, ~all, ?all | No |
Calificadores de policy
| Policy | Sintaxis | Significado | Recomendación |
|---|---|---|---|
| Fail | -all | Rechazar correos no autorizados | Producción (después de pruebas) |
| Softfail | ~all | Marcar como sospechoso pero aceptar | Recomendado para empezar |
| Neutral | ?all | Sin política (protección débil) | No recomendado |
El límite de 10 DNS lookups
La RFC 7208 impone un máximo de 10 DNS lookups durante la evaluación de un registro SPF. Es un límite estricto que, si se supera, provoca un error permerror y el fallo de la validación.
Qué cuenta como lookup
| Mecanismo | ¿Cuenta como lookup? | Observación |
|---|---|---|
include: | Sí (+ lookups anidados) | Google = ~4 lookups |
a | Sí | |
mx | Sí | + 1 por cada MX resuelto |
redirect= | Sí | |
exists: | Sí | |
ip4: / ip6: | No | Úsalos para ahorrar |
all | No |
Ejemplo de recuento
v=spf1 include:_spf.google.com include:sendgrid.net include:servers.mcsv.net mx ~all
| Mecanismo | Lookups |
|---|---|
include:_spf.google.com | 4 |
include:sendgrid.net | 1 |
include:servers.mcsv.net | 1 |
mx | 1 |
| Total | 7 / 10 |
Nuestro generador muestra este contador en tiempo real para ayudarte a mantenerte bajo el límite.
Proveedores de correo preconfigurados
Nuestro generador incluye 14 proveedores con sus includes SPF oficiales:
| Proveedor | Include SPF | DNS Lookups |
|---|---|---|
| Google Workspace | _spf.google.com | ~4 |
| Microsoft 365 | spf.protection.outlook.com | ~2 |
| SendGrid | sendgrid.net | 1 |
| Mailchimp | servers.mcsv.net | 1 |
| Amazon SES | amazonses.com | 1 |
| Brevo (Sendinblue) | sendinblue.com | 1 |
| Mailgun | mailgun.org | 1 |
| Postmark | spf.mtasv.net | 1 |
| HubSpot | spf.hubspot.com | 1 |
| Salesforce | _spf.salesforce.com | ~2 |
| Zendesk | mail.zendesk.com | 1 |
| Freshdesk | email.freshdesk.com | 1 |
| Zoho | zoho.com | 1 |
| Klaviyo | _spf.klaviyo.com | 1 |
FAQ - Preguntas frecuentes
P: ¿Cómo creo un registro SPF para mi dominio?
R: Usa nuestro generador: 1) Selecciona tus proveedores de correo, 2) Añade tus IPs personalizadas si es necesario, 3) Elige la policy (~all recomendado), 4) Copia el registro TXT y añádelo en tu zona DNS.
P: ¿Cuál es el límite de 10 DNS lookups en SPF?
R: La RFC 7208 impone un máximo de 10 DNS lookups. Cada include, a, mx, redirect y exists cuenta. Los ip4/ip6 no cuentan. Superar este límite provoca un error permerror.
P: ¿Cuál es la diferencia entre ~all y -all?
R: ~all (softfail) marca los correos no autorizados como sospechosos. -all (fail) los rechaza. Empieza con ~all para probar, luego pasa a -all en producción.
P: ¿Puedo tener varios registros SPF?
R: No, un dominio solo debe tener un SPF. Varios SPF provocan un error permerror. Combina tus proveedores en un solo registro.
P: ¿Cómo configuro SPF para Google Workspace?
R: Añade include:_spf.google.com. Nuestro generador lo hace automáticamente. Este include cuenta aproximadamente 4 DNS lookups.
P: ¿Cómo configuro SPF para Microsoft 365?
R: Añade include:spf.protection.outlook.com. Nuestro generador lo añade cuando seleccionas Microsoft 365. Cuenta aproximadamente 2 lookups.
P: ¿Cómo soluciono "too many DNS lookups"?
R: 1) Elimina los includes que no uses, 2) Reemplaza algunos includes por IPs directas (ip4/ip6), 3) Usa un servicio de SPF flattening. Nuestro generador muestra el contador para prevenir este problema.
Herramientas complementarias
| Herramienta | Utilidad |
|---|---|
| SPF Record Check | Verifica tu SPF publicado y su validez |
| SPF Syntax Check | Valida la sintaxis SPF antes de publicar |
| DKIM Generator | Crea tus claves DKIM (RSA/Ed25519) |
| DMARC Generator | Configura DMARC para completar la autenticación |
| Mail Tester | Prueba la entregabilidad de tus correos |
Recursos útiles
- RFC 7208 - Sender Policy Framework (SPF) — Especificación oficial SPF
- RFC 7489 - DMARC — Cómo SPF se integra con DMARC
- Google Workspace - Configurar SPF — Guía oficial de Google
- Microsoft 365 - Configurar SPF — Guía oficial de Microsoft