Ir al contenido principal

Nuevo

Prueba la entregabilidad de tus correos

Envía un correo de prueba y obtén un diagnóstico completo de tu autenticación SPF, DKIM y DMARC en segundos.

  • Prueba de envío real
  • Diagnóstico instantáneo
  • Sin registro
Iniciar la prueba

SPF Checker

SPF check y lookup con resolución DNS en directo - corrige tus fallos SPF

¿Por qué está fallando tu SPF? Introduce tu dominio para un SPF check completo con lookup DNS, expansión de includes y detección de errores.

Lookup DNS en directo

El checker consulta el DNS en tiempo real para recuperar tu SPF tal como los destinatarios lo ven realmente.

Expansión recursiva

Cada include se resuelve recursivamente. Visualiza el árbol completo de tu política SPF hasta los mecanismos finales.

Conteo de lookups

El contador muestra el número exacto de lookups DNS. El límite RFC es 10 - supéralo y tus correos fallarán.

Detección de errores

Identifica problemas DNS (NXDOMAIN, timeout), bucles de referencia y sintaxis inválidas antes de que impacten la entregabilidad.

Recomendaciones claras

Cada diagnóstico incluye una explicación y una acción correctiva. Sigue las recomendaciones para optimizar tu SPF.

¿Por qué inspeccionar un registro SPF publicado?

El registro SPF (Sender Policy Framework) publicado en tu DNS define qué servidores pueden enviar correos para tu dominio. Pero una vez publicado, puede cambiar sin que lo sepas: proveedores que modifican sus includes, límites de lookups alcanzados, propagación DNS incompleta.

Tres casos de uso principales:

  • Después de publicar -> Verifica que el DNS devuelve tu SPF y los includes se resuelven
  • Diagnóstico de entregabilidad -> Identifica por qué los destinatarios ven SPF fail o permerror
  • Auditoría periódica -> Detecta derivas (lookups que aumentan, includes obsoletos)

Inspector SPF vs Validador de sintaxis

CriterioValidador de sintaxisInspector SPF
Cuándo usarloANTES de publicarDESPUÉS de publicar
Fuente de datosTexto pegado manualmenteDNS en directo
Resolución de includesNo (solo sintaxis)Sí (recursivo completo)
Conteo de lookupsEstimadoReal (con resolución)
Detección errores DNSNoSí (NXDOMAIN, timeout, CNAME)

Flujo recomendado:

  1. Redacta tu SPF
  2. Valida la sintaxis con el Validador SPF
  3. Publica en tu DNS
  4. Inspecciona con esta herramienta para confirmar la propagación y el conteo real

¿Qué analiza exactamente el inspector?

Resolución DNS en directo

El inspector consulta el DNS para recuperar:

  • Todos los registros TXT del dominio
  • Filtrado de registros que empiezan por v=spf1
  • Detección de anomalías (varios SPF, CNAME en el camino)

Expansión recursiva de includes

Para cada include: encontrado, la herramienta:

  1. Resuelve el dominio destino
  2. Recupera su registro SPF
  3. Cuenta el lookup en el presupuesto de 10
  4. Repite recursivamente hasta los mecanismos finales

Ejemplo de árbol de resolución:

captaindns.com
├── include:_spf.google.com (1 lookup)
│   ├── include:_netblocks.google.com (2 lookups)
│   ├── include:_netblocks2.google.com (3 lookups)
│   └── include:_netblocks3.google.com (4 lookups)
└── include:servers.mcsv.net (5 lookups)
    └── ip4:205.201.128.0/20 (sin lookup)

Diagnósticos devueltos

CódigoDescripciónSeveridad
lookup_no_spfNingún registro SPF encontradoError
lookup_bad_rcodeError DNS (NXDOMAIN, SERVFAIL)Error
lookup_multiple_spfVarios registros SPFError
lookup_limit_exceededMás de 10 lookups DNSError
lookup_cycleBucle de referencia detectadoError
void_lookup_limit_exceededMás de 2 respuestas vacíasError
permissive_allPolítica +all (autoriza a todos)Advertencia
softfail_allPolítica ~all sin endurecimientoAdvertencia

Casos de uso concretos

Caso 1: Verificación post-publicación

Situación: Acabas de publicar un nuevo SPF para captaindns.com.

Acción: Ejecuta la inspección para verificar:

  • ✅ El registro es visible en el DNS
  • ✅ Todos los includes se resuelven correctamente
  • ✅ El total de lookups está por debajo de 10

Caso 2: Diagnóstico de fallo SPF

Síntoma: Los destinatarios ven SPF fail en tus correos.

Diagnóstico: El inspector revela:

  • El servidor de envío (IP 203.0.113.50) no está en el SPF
  • El include del proveedor cambió sin notificación

Acción: Añadir la IP o actualizar el include.

Caso 3: Permerror misterioso

Síntoma: SPF permerror intermitente en algunos destinatarios.

Diagnóstico: El inspector cuenta 11 lookups:

captaindns.com: 11 lookups (límite: 10)
├── include:_spf.google.com (4 lookups)
├── include:spf.protection.outlook.com (3 lookups)
├── include:amazonses.com (2 lookups)
└── include:sendgrid.net (2 lookups)

Acción: Reemplazar algunos includes por ip4/ip6 directos, usar un subdominio dedicado o aplanar tu SPF con el SPF Flattener.

Caso 4: Auditoría de seguridad periódica

Situación: Auditoría trimestral de la configuración de correo.

Verificación:

  • El SPF usa -all (hard fail) y no ~all (soft fail)
  • Ningún include hacia dominios abandonados
  • Los rangos IP corresponden a los servidores activos
  • El contador de lookups tiene margen de seguridad (≤8 recomendado)

FAQ - Preguntas frecuentes

P: ¿Cuál es la diferencia entre el inspector SPF y el validador de sintaxis?

R: El validador de sintaxis verifica un registro SPF ANTES de publicar (sin conexión, texto pegado). El inspector analiza un SPF YA PUBLICADO consultando el DNS en directo y resolviendo recursivamente todos los includes.

P: ¿Cuántos lookups DNS se permiten para SPF?

R: La RFC 7208 limita la evaluación SPF a 10 lookups DNS. Cada include, a, mx, ptr y exists cuenta. El inspector muestra el total real tras la resolución recursiva.

P: ¿Por qué mi SPF muestra "permerror"?

R: Un permerror ocurre cuando:

  1. Más de 10 lookups DNS
  2. Bucle de referencia (A incluye B que incluye A)
  3. Sintaxis inválida
  4. Más de 2 respuestas DNS vacías

El inspector identifica la causa exacta.

P: ¿Cómo resuelve la herramienta los includes?

R: El inspector sigue cada include: recursivamente: recupera el SPF del dominio destino, cuenta el lookup y repite hasta los mecanismos finales (ip4, ip6) o hasta alcanzar el límite.

P: ¿Puedo probar con diferentes resolveres DNS?

R: Sí. Elige Google (8.8.8.8), Cloudflare (1.1.1.1) o un resolver personalizado para verificar la propagación y confirmar que todos los servidores ven la misma política.

P: ¿Qué hacer si el inspector no encuentra un SPF?

R: Verifica en tu interfaz DNS que:

  1. Existe un registro TXT
  2. Empieza por v=spf1
  3. Solo hay un SPF (varios = permerror)
  4. La propagación DNS está completa (puede tardar hasta 48h)

P: ¿El inspector también valida la sintaxis?

R: Sí, el inspector valida la sintaxis de cada SPF encontrado. Pero para probar un borrador ANTES de publicar, usa el Validador de sintaxis SPF.

Herramientas complementarias

HerramientaUtilidad
Generador SPFCrear un registro SPF con proveedores preconfigurados
SPF FlattenerAplanar tu SPF para cumplir el límite de 10 DNS lookups
Validador sintaxis SPFProbar sintaxis ANTES de publicar
Inspector DKIMValidar tu firma DKIM
Inspector DMARCConfigurar y probar tu política DMARC
Analizador de encabezados emailDiagnosticar SPF/DKIM/DMARC en un correo recibido

Recursos útiles