SPF es el más antiguo y simple de los tres registros de autenticación de correo, pero sus peculiaridades hacen tropezar a mucha gente, sobre todo el silencioso límite de 10 búsquedas. Esta guía explica qué significa cada parte de un registro SPF, muestra ejemplos reales y cubre los errores que lo rompen sin que te des cuenta.

Qué es un registro SPF

SPF (Sender Policy Framework) es un único registro DNS de tipo TXT, publicado en la raíz de tu dominio, que enumera qué servidores tienen permiso para enviar correo usando tu dominio. Cuando un servidor receptor recibe un mensaje que dice venir de ti, consulta tu registro SPF y comprueba si el servidor que se conecta está en la lista. Un ejemplo real de un dominio que usa Google Workspace:

v=spf1 include:_spf.google.com ~all

Cómo leer la sintaxis

Un registro SPF es una etiqueta de versión, seguida de uno o más mecanismos (cada uno opcionalmente con un calificador), evaluados de izquierda a derecha.

La etiqueta de versión

v=spf1 siempre va primero e identifica el registro como SPF. Un dominio debe tener exactamente un registro SPF: publicar dos rompe SPF por completo.

Mecanismos

• include: — autoriza el SPF de otro dominio, se usa para agregar un proveedor, por ejemplo include:_spf.google.com o include:sendgrid.net.
• a — autoriza las IP del registro A/AAAA del dominio.
• mx — autoriza los servidores listados en los registros MX del dominio.
• ip4: / ip6: — autoriza una IP o rango específico, por ejemplo ip4:203.0.113.10.
• all — coincide con todo; siempre va al final y establece el valor predeterminado para cualquier cosa que no haya coincidido antes.

Calificadores (el prefijo en all)

El carácter antes de un mecanismo define qué pasa al haber una coincidencia. En el all final establece tu política predeterminada:

• -all (fail) — todo lo que no esté listado debe rechazarse. El ajuste estricto y recomendado una vez que tengas la certeza de que tu registro está completo.
• ~all (softfail) — todo lo que no esté listado es sospechoso pero se acepta, normalmente marcado. Un buen punto de partida.
• ?all (neutral) — sin opinión. Ofrece casi ninguna protección.
• +all — autoriza a todos. Nunca uses esto; deja que cualquiera envíe como tú.

El límite de 10 búsquedas: la falla silenciosa más común

SPF permite un máximo de 10 búsquedas DNS al evaluar tu registro. Mecanismos como include, a y mx cuestan una búsqueda cada uno, y un include puede provocar más búsquedas dentro del registro incluido. Si superas las 10, SPF devuelve un permerror, que la mayoría de los receptores tratan como una falla. Tu SPF deja de funcionar de hecho, a menudo sin ningún síntoma evidente.

Es sorprendentemente fácil llegar al límite: un puñado de herramientas de marketing, un CRM y un soporte técnico pueden superar las 10 entre todos. Los mecanismos ip4: e ip6: no consumen búsquedas, así que "aplanar" —reemplazar los includes por sus IP resueltas— es una solución, a costa de tener que mantener esas IP a mano.

SPF y el reenvío

SPF tiene una debilidad de origen: cuando un mensaje se reenvía, el servidor que reenvía se convierte en el nuevo remitente, y tu SPF ya no coincide con su IP, así que SPF falla. Esto es por diseño y es exactamente la razón por la que existen DKIM y DMARC. DKIM sobrevive al reenvío porque la firma viaja con el mensaje, y por eso nunca deberías depender de SPF por sí solo.

Errores comunes de SPF

• Dos registros SPF. Solo se permite un registro TXT v=spf1. Fusiónalos en uno solo.
• Olvidar un servicio de envío. Cada herramienta que envía "como tú" tiene que estar en SPF, o su correo cae en softfail/fail.
• Usar +all u omitir all. De cualquier forma has autorizado a todo el mundo.
• Superar las 10 búsquedas. Audita y recorta con regularidad.
• Tratar SPF como suficiente. No lo es: combínalo con DKIM y DMARC.

Verifica y construye tu registro SPF

El verificador de SPF analiza tu registro, cuenta tus búsquedas DNS, marca problemas de sintaxis y te ayuda a construir uno correcto para tus proveedores. Para ver el panorama completo, consulta SPF, DKIM y DMARC explicados y DKIM explicado.