Bitelio
§ T-04  —  Herramienta← Todas las herramientas

Comprobador de
registros SPF

Consulta el registro SPF de cualquier dominio y descubre exactamente qué autoriza: un desglose mecanismo por mecanismo que detecta errores antes de que perjudiquen tu entregabilidad.

Consulta de registro SPF

Introduce el dominio sin http:// ni www.

§ 01SPF explicado

SPF, desde cero.

Es la primera barrera de tu dominio contra el correo suplantado y de phishing.

Autoriza remitentes

Publicar un registro SPF declara qué servidores pueden enviar en nombre de tu dominio. Todo lo que no esté en esa lista no supera la comprobación.

Evita la suplantación

Un registro SPF proporciona a los servidores receptores las pruebas que necesitan para detectar correo falsificado y rechazarlo; sin él, la suplantación pasa desapercibida.

Límite de 10 consultas

Cada evaluación puede desencadenar como máximo 10 consultas DNS. Si superas ese número, obtienes un PermError que rompe SPF por completo, así que vigila el recuento.

SPF no basta por sí solo

La comprobación se aplica al remitente del sobre, no a la cabecera From que realmente ven los usuarios. DMARC es la capa que conecta los resultados de SPF (y DKIM) con el remitente visible y bloquea la suplantación.

Un único registro

Exactamente un registro TXT v=spf1 por dominio, ni uno más. Los duplicados producen un PermError, así que integra todas las fuentes de envío en un único registro.

Hard fail frente a softfail

-all (hard fail) indica a los receptores que rechacen directamente a los remitentes no incluidos; ~all (softfail) solo los marca. Pasa a -all en producción en cuanto tu lista de remitentes esté completa.

SPF, DKIM, DMARC — sin complicaciones.

La autenticación de dominio incluye una configuración guiada, y tu reputación de envío se supervisa las 24 horas. Empieza gratis, sin tarjeta de crédito.

Preguntas frecuentes

¿Qué es un registro SPF?

SPF (Sender Policy Framework) es un registro TXT de DNS que enumera todos los servidores de correo autorizados a enviar emails en nombre de tu dominio. Cuando llega un mensaje que dice proceder de ti, el servidor receptor consulta esa lista para confirmar que el servidor emisor está realmente autorizado. Sin un registro SPF publicado, nada impide que cualquiera incluya tu dominio en la dirección From.

¿Qué diferencia hay entre -all y ~all?

-all es un hard fail: los receptores deben rechazar cualquier correo de servidores que no figuren en tu registro. ~all es un softfail: el correo no coincidente se marca como sospechoso, pero se sigue entregando. Cuando todas las fuentes de envío legítimas estén listadas, los dominios en producción deberían pasar a -all.

¿Por qué existe un límite de 10 consultas DNS?

El límite de 10 consultas proviene de la RFC 7208 y existe para evitar que la evaluación de SPF se use para inundar el DNS o realizar ataques de denegación de servicio. Cada mecanismo include, a, mx, ptr y exists consume una consulta, y superar las 10 produce un PermError, lo que en la práctica significa que SPF deja de funcionar para tu dominio.

¿Puedo tener varios registros SPF?

No: un dominio debe tener exactamente un registro TXT SPF (v=spf1). Publicar dos o más provoca un PermError y rompe la autenticación por completo. Cuando varios servicios necesiten enviar en tu nombre, combina sus mecanismos en un único registro conjunto.

¿SPF por sí solo protege contra la suplantación?

No por sí solo. SPF comprueba el remitente del sobre (la dirección "Return-Path"), que los destinatarios nunca ven; la cabecera "From" visible no se comprueba. Combinar SPF (y DKIM) con DMARC es lo que vincula la autenticación con la cabecera From y realmente bloquea la suplantación de tu dirección de remitente visible.