¿Qué es SPF? Guía completa de Sender Policy Framework
Descubre qué es SPF, cómo los registros SPF frenan la suplantación de remitente y cómo configurarlo correctamente, con ejemplos de sintaxis, errores habituales y buenas prácticas.
SPF, abreviatura de Sender Policy Framework, es un estándar de autenticación de email que te permite declarar, directamente en tu DNS, qué servidores de correo tienen permiso para enviar mensajes usando tu dominio.
Una analogía útil: SPF funciona como la lista de un portero en la puerta. Los servidores receptores la consultan y solo admiten el correo que procede de los servidores que has aprobado explícitamente.
Cómo funciona SPF
El mecanismo es sencillo: tu DNS anuncia los servidores autorizados a enviar en tu nombre, y los receptores lo verifican. Paso a paso, funciona así:
1. Publicas un registro SPF
Se añade un registro TXT al DNS de tu dominio con todas las direcciones IP y los servicios de terceros autorizados a enviar correo en tu nombre.
2. Se envía un email
Un mensaje llega a un proveedor de buzón de correo indicando tu dominio como remitente. El servidor receptor registra qué dirección IP lo entregó realmente.
3. El servidor receptor comprueba el SPF
El receptor consulta el DNS en busca del registro SPF de tu dominio y compara la IP de entrega con la lista de remitentes aprobados que has publicado.
4. Aprobado o rechazado
Si coincide, la comprobación se supera. Si no coincide, el SPF falla, y según la política que hayas elegido, el mensaje puede marcarse como spam o rechazarse por completo.
SPF valida el servidor, no el contenido
SPF solo responde a una pregunta: ¿tenía este servidor permiso para enviar? No dice nada sobre si el mensaje fue manipulado, de eso se encarga DKIM. Desplegar ambos protocolos juntos te da una protección mucho más sólida que cualquiera de los dos por separado.
Sintaxis de un registro SPF
Todo registro SPF es simplemente un registro TXT que sigue una estructura definida. Un ejemplo representativo:
v=spf1 include:_spf.google.com include:sendgrid.net ip4:192.0.2.1 ~all
# Breaking down the components:
# v=spf1 -> SPF version (always v=spf1)
# include:_spf.google.com -> Include Google's SPF record
# include:sendgrid.net -> Include SendGrid's SPF record
# ip4:192.0.2.1 -> Authorize specific IPv4 address
# ~all -> Soft fail for all othersMecanismos SPF habituales
| Mecanismo | Descripción |
|---|---|
| ip4:192.0.2.1 | Autoriza una única dirección IPv4 |
| ip6:2001:db8::1 | Autoriza una única dirección IPv6 |
| include:domain.com | Incorpora el registro SPF de otro dominio |
| a | Autoriza la IP del registro A del dominio |
| mx | Autoriza las IPs de los registros MX del dominio |
| ~all | Fallo suave (marca como sospechosos a los remitentes no listados) |
| -all | Fallo duro (rechaza a todos los remitentes no listados) |
Límite de 10 consultas DNS
La especificación SPF limita la evaluación a 10 consultas DNS, y cada include: consume una. Si superas ese límite, la validación falla directamente, así que mantén el registro ligero y elimina los include que ya no necesites.
Por qué importa SPF
Evita la suplantación de remitente
Con SPF configurado, falsificar correo bajo tu dominio se vuelve mucho más difícil: los mensajes de servidores que no has aprobado simplemente no se autentican.
Mejora la entregabilidad
Los proveedores de buzones de correo confían más en los dominios que publican un registro SPF válido, y esa confianza se traduce en que más de tu correo llegue a la bandeja de entrada.
Protege tu dominio
Declarar tus remitentes legítimos protege el nombre de tu dominio frente al secuestro para esquemas de phishing y operaciones de spam masivo.
Necesario para DMARC
DMARC —la capa que añade políticas de aplicación e informes sobre la autenticación— no puede funcionar sin SPF o DKIM por debajo.
Cómo configurar SPF
Identifica todos tus remitentes de email
Haz un inventario de todo lo que envía correo en nombre de tu dominio: tu proveedor de bandeja de entrada, tu plataforma de marketing, tu software de soporte, tu sistema de facturación y cualquier otra herramienta.
Reúne los valores include de SPF
Cada proveedor documenta su propio valor include. Algunos de los más habituales:
Google Workspace: include:_spf.google.com
Microsoft 365: include:spf.protection.outlook.com
Bitelio: include:spf.bitelio.com
SendGrid: include:sendgrid.netCrea tu registro SPF
Combina todos los remitentes aprobados en un único registro:
v=spf1 include:_spf.google.com include:spf.bitelio.com ~allAñádelo al DNS
Publícalo como un registro TXT a través de tu proveedor de DNS, usando tu dominio raíz como nombre del registro (normalmente "@" o "tudominio.com").
Verifica el SPF
Pasa el registro por un verificador de SPF para confirmar que la sintaxis es válida y que te mantienes con margen por debajo del límite de 10 consultas.
Bitelio se encarga de esto automáticamente
Añade un dominio en Bitelio y generamos el registro SPF exacto por ti: pégalo en tu DNS y nuestras comprobaciones de verificación confirman que todo se resuelve correctamente.
Errores habituales de SPF que debes evitar
✗ Varios registros SPF
Un dominio tiene exactamente UN registro SPF: publicar dos o más rompe la validación. Si envías a través de varios servicios, incorpora todos los include en ese único registro.
✗ Superar las 10 consultas DNS
Recuerda que cada include: consume una de tus 10 consultas permitidas. Si acumulas demasiadas, SPF deja de superarse: recorta y consolida siempre que puedas.
✗ Olvidar actualizar el SPF
¿Has incorporado una nueva herramienta de envío? Añade su valor include de inmediato. Un registro desactualizado hace que correo perfectamente legítimo falle la autenticación sin que te des cuenta.
✗ Usar +all
+all (aprobar todo) nunca debería aparecer en tu registro: autoriza a todo internet a enviar en nombre de tu dominio. Usa siempre ~all o -all.