Bitelio

¿Qué es SPF? Guía completa de Sender Policy Framework

Descubre qué es SPF, cómo los registros SPF frenan la suplantación de remitente y cómo configurarlo correctamente, con ejemplos de sintaxis, errores habituales y buenas prácticas.

Updated July 14, 2026
7 min read

SPF, abreviatura de Sender Policy Framework, es un estándar de autenticación de email que te permite declarar, directamente en tu DNS, qué servidores de correo tienen permiso para enviar mensajes usando tu dominio.

Una analogía útil: SPF funciona como la lista de un portero en la puerta. Los servidores receptores la consultan y solo admiten el correo que procede de los servidores que has aprobado explícitamente.

Cómo funciona SPF

El mecanismo es sencillo: tu DNS anuncia los servidores autorizados a enviar en tu nombre, y los receptores lo verifican. Paso a paso, funciona así:

1. Publicas un registro SPF

Se añade un registro TXT al DNS de tu dominio con todas las direcciones IP y los servicios de terceros autorizados a enviar correo en tu nombre.

2. Se envía un email

Un mensaje llega a un proveedor de buzón de correo indicando tu dominio como remitente. El servidor receptor registra qué dirección IP lo entregó realmente.

3. El servidor receptor comprueba el SPF

El receptor consulta el DNS en busca del registro SPF de tu dominio y compara la IP de entrega con la lista de remitentes aprobados que has publicado.

4. Aprobado o rechazado

Si coincide, la comprobación se supera. Si no coincide, el SPF falla, y según la política que hayas elegido, el mensaje puede marcarse como spam o rechazarse por completo.

SPF valida el servidor, no el contenido

SPF solo responde a una pregunta: ¿tenía este servidor permiso para enviar? No dice nada sobre si el mensaje fue manipulado, de eso se encarga DKIM. Desplegar ambos protocolos juntos te da una protección mucho más sólida que cualquiera de los dos por separado.

Sintaxis de un registro SPF

Todo registro SPF es simplemente un registro TXT que sigue una estructura definida. Un ejemplo representativo:

Example SPF Record
v=spf1 include:_spf.google.com include:sendgrid.net ip4:192.0.2.1 ~all

# Breaking down the components:
# v=spf1                    -> SPF version (always v=spf1)
# include:_spf.google.com   -> Include Google's SPF record
# include:sendgrid.net      -> Include SendGrid's SPF record
# ip4:192.0.2.1            -> Authorize specific IPv4 address
# ~all                     -> Soft fail for all others

Mecanismos SPF habituales

MecanismoDescripción
ip4:192.0.2.1Autoriza una única dirección IPv4
ip6:2001:db8::1Autoriza una única dirección IPv6
include:domain.comIncorpora el registro SPF de otro dominio
aAutoriza la IP del registro A del dominio
mxAutoriza las IPs de los registros MX del dominio
~allFallo suave (marca como sospechosos a los remitentes no listados)
-allFallo duro (rechaza a todos los remitentes no listados)

Límite de 10 consultas DNS

La especificación SPF limita la evaluación a 10 consultas DNS, y cada include: consume una. Si superas ese límite, la validación falla directamente, así que mantén el registro ligero y elimina los include que ya no necesites.

Por qué importa SPF

Evita la suplantación de remitente

Con SPF configurado, falsificar correo bajo tu dominio se vuelve mucho más difícil: los mensajes de servidores que no has aprobado simplemente no se autentican.

Mejora la entregabilidad

Los proveedores de buzones de correo confían más en los dominios que publican un registro SPF válido, y esa confianza se traduce en que más de tu correo llegue a la bandeja de entrada.

Protege tu dominio

Declarar tus remitentes legítimos protege el nombre de tu dominio frente al secuestro para esquemas de phishing y operaciones de spam masivo.

Necesario para DMARC

DMARC —la capa que añade políticas de aplicación e informes sobre la autenticación— no puede funcionar sin SPF o DKIM por debajo.

Cómo configurar SPF

1

Identifica todos tus remitentes de email

Haz un inventario de todo lo que envía correo en nombre de tu dominio: tu proveedor de bandeja de entrada, tu plataforma de marketing, tu software de soporte, tu sistema de facturación y cualquier otra herramienta.

2

Reúne los valores include de SPF

Cada proveedor documenta su propio valor include. Algunos de los más habituales:

Google Workspace:     include:_spf.google.com
Microsoft 365:        include:spf.protection.outlook.com
Bitelio:                include:spf.bitelio.com
SendGrid:             include:sendgrid.net
3

Crea tu registro SPF

Combina todos los remitentes aprobados en un único registro:

dns
v=spf1 include:_spf.google.com include:spf.bitelio.com ~all
4

Añádelo al DNS

Publícalo como un registro TXT a través de tu proveedor de DNS, usando tu dominio raíz como nombre del registro (normalmente "@" o "tudominio.com").

5

Verifica el SPF

Pasa el registro por un verificador de SPF para confirmar que la sintaxis es válida y que te mantienes con margen por debajo del límite de 10 consultas.

Bitelio se encarga de esto automáticamente

Añade un dominio en Bitelio y generamos el registro SPF exacto por ti: pégalo en tu DNS y nuestras comprobaciones de verificación confirman que todo se resuelve correctamente.

Errores habituales de SPF que debes evitar

✗ Varios registros SPF

Un dominio tiene exactamente UN registro SPF: publicar dos o más rompe la validación. Si envías a través de varios servicios, incorpora todos los include en ese único registro.

✗ Superar las 10 consultas DNS

Recuerda que cada include: consume una de tus 10 consultas permitidas. Si acumulas demasiadas, SPF deja de superarse: recorta y consolida siempre que puedas.

✗ Olvidar actualizar el SPF

¿Has incorporado una nueva herramienta de envío? Añade su valor include de inmediato. Un registro desactualizado hace que correo perfectamente legítimo falle la autenticación sin que te des cuenta.

✗ Usar +all

+all (aprobar todo) nunca debería aparecer en tu registro: autoriza a todo internet a enviar en nombre de tu dominio. Usa siempre ~all o -all.

Preguntas frecuentes

¿Qué es SPF en el email?

Sender Policy Framework (SPF) es un estándar de autenticación que permite a los propietarios de un dominio declarar qué servidores de correo tienen permiso para enviar email en su nombre. Esta declaración vive en tu DNS como un registro TXT que contiene las direcciones IP y los servicios autorizados. Cada vez que llega un mensaje, el servidor de correo del destinatario compara la IP que lo entregó con esa lista publicada para decidir si el remitente es legítimo.

¿Cuál es la diferencia entre SPF y DKIM?

Ambos protocolos responden a preguntas distintas. SPF confirma la identidad del servidor emisor: el receptor comprueba si la IP que entregó el mensaje aparece en tu registro DNS. DKIM, en cambio, añade una firma criptográfica a las cabeceras y al cuerpo del mensaje, demostrando que el contenido llegó sin alteraciones. En resumen, SPF autentica el origen mientras que DKIM autentica el mensaje en sí. Son más fuertes combinados, y DMARC solo se supera si al menos uno de los dos está configurado correctamente.

¿Cómo creo un registro SPF?

Publica un registro TXT en tu dominio raíz (@ o tudominio.com) siguiendo este patrón: v=spf1 include:[tu-servicio-de-email] ~all, sustituyendo el valor de include: por el que te facilite tu proveedor de email. ¿Envías a través de varios servicios? Combina todos los include en un único registro, por ejemplo: v=spf1 include:_spf.google.com include:spf.bitelio.com ~all. Un dominio nunca puede tener más de un registro SPF.

¿Qué significa ~all en un registro SPF?

El ~all final (tilde-all) es el calificador de "fallo suave" (soft fail): indica a los receptores que acepten el correo de servidores que no están en tu lista, pero que lo traten con sospecha. Su hermano más estricto, -all (fallo duro o hard fail), ordena a los receptores rechazar ese correo directamente. Al implementar SPF por primera vez, la mayoría de los expertos recomienda ~all para no bloquear por error correo legítimo. Evita +all a toda costa: aprueba a cualquier remitente y deja SPF sin ningún efecto.

¿Por qué falla SPF aunque lo he configurado correctamente?

Los motivos más habituales son: (1) Existe más de un registro SPF en el dominio: solo se permite uno, así que combina todos los remitentes en él, (2) Tu registro supera las 10 consultas DNS permitidas: cada include: consume una, (3) Un servicio de email añadido recientemente nunca se incorporó al registro, (4) Los cambios de DNS todavía no han terminado de propagarse: espera hasta 48 horas, (5) El mensaje fue reenviado, por lo que la IP de entrega cambió y ya no coincide con tu lista (combina SPF con DKIM para sobrevivir a los reenvíos).