SPF Verificador de registros SPF
Verifica el registro SPF de tu dominio y los servidores autorizados a enviar correo.
Generar un registro SPF
Construye un registro SPF válido para tu dominio. Elige tu proveedor de correo y cualquier servicio adicional que envíe en tu nombre.
- 1Tus remitentes
- 2Obtén tu registro
- 3Agregar al DNS
- 4Verificar
Define tus remitentes
Primero, dinos quién envía correo por ti. Empieza por el proveedor que aloja tu bandeja de entrada y luego marca cualquier otra herramienta a través de la cual envíes. Cuanto más completa sea esta lista, menos sorpresas tendrás después.
Añade este registro TXT a tu DNS
Aquí está tu registro terminado. El «Valor» es la parte que importa — pulsa Copiar y tenlo a mano para el siguiente paso.
- Host
@(dominio raíz — algunos paneles también aceptan el nombre de dominio a secas)- Tipo
TXT- Valor
-
Revísalo antes de publicarlo. Este registro se construye a partir de las opciones que seleccionaste — MXHelper no puede ver toda tu configuración de correo. Confirma que incluye todos los servicios que envían correo en nombre de tu dominio, y compáralo con la documentación de tu proveedor antes de guardarlo.
Ten en cuenta: un dominio solo puede tener un registro SPF. Si ya tienes uno, haz una copia de seguridad primero (copia el texto en algún lugar o sácale una foto), y luego reemplázalo por el de arriba.
Añádelo en tu proveedor de DNS
Ahora inicia sesión donde vive tu dominio y añade el registro. Elige tu proveedor abajo y te mostraremos exactamente dónde hacer clic.
Verifica que esté activo
Último paso — una vez que hayas guardado el registro, vuelve aquí y verifica de nuevo para asegurarte de que está publicado y lista a todos los remitentes que definiste.
¿Guardaste el registro? Vuelve a verificar tu dominio para confirmar que SPF está publicado y autoriza a todos los remitentes que listaste.
Volver a verificar este dominioEspera unos minutos a que los cambios surtan efecto y luego fuerza la recarga (Ctrl+F5) para volver a verificar.
¿Qué es SPF?
SPF (Sender Policy Framework) es un registro DNS que indica a los servidores de correo receptores qué direcciones IP y servidores están autorizados a enviar correo en nombre de tu dominio.
Cuando llega un mensaje que dice provenir de tu@tudominio.com, el servidor receptor consulta el registro SPF de tu dominio. Si la IP del servidor remitente aparece en tu lista de autorizados, el mensaje pasa SPF. Si no, puede rechazarse o marcarse como spam según la política que hayas establecido.
Qué prueba este verificador
- Si tu dominio tiene un registro SPF en absoluto
- Si el registro tiene el formato correcto
- Cuántas consultas DNS usa (el límite del RFC es 10)
- Qué política se aplica (fallo estricto, fallo leve, neutral o permisiva)
- Si existen varios registros SPF (un error de configuración común)
- Qué servicios de envío (Google, Microsoft 365, SendGrid, etc.) están autorizados
Errores SPF comunes y qué significan
Varios registros SPF
El RFC 7208 exige exactamente un registro SPF por dominio. Si tu dominio tiene dos o más registros v=spf1, los servidores receptores devolverán un PermError y el correo puede rechazarse. La solución es fusionarlos en un único registro que combine todas tus instrucciones include:.
Demasiadas consultas DNS
SPF permite un máximo de 10 mecanismos que requieren una consulta DNS (include:, a, mx, exists, redirect). Superarlo provoca un PermError. Si estás por encima del límite, considera aplanar algunas instrucciones include: directamente a entradas ip4:/ip6:, o eliminar los servicios que ya no usas.
Fallo leve o fallo estricto
El mecanismo all al final de un registro SPF establece la política predeterminada. ~all significa «fallo leve» — los mensajes de servidores no autorizados deberían aceptarse pero marcarse como sospechosos (normalmente como spam). -all significa «fallo estricto» — rechazar de inmediato a los remitentes no autorizados. +all significa «aceptar todo» y casi siempre es un error de configuración.
Sin registro SPF
Si tu dominio no tiene un registro SPF, los servidores de correo receptores no pueden verificar si los mensajes que dicen provenir de tu dominio son legítimos. Esto reduce considerablemente la entregabilidad — muchos proveedores marcarán el correo no firmado como spam o lo rechazarán. Gmail y Yahoo ahora exigen SPF para los remitentes masivos.
Preguntas frecuentes
¿Dónde publico mi registro SPF?
SPF se publica como un registro TXT en la raíz de tu dominio (ejemplo.com). La mayoría de los proveedores de DNS — Cloudflare, GoDaddy, Google Domains, Namecheap, Hover — permiten añadir o editar registros TXT desde su panel de gestión de DNS.
¿Cuánto tarda en surtir efecto un cambio SPF?
Los cambios DNS se propagan según el TTL (tiempo de vida) de tu registro TXT actual. Normalmente de 5 minutos a 1 hora, pero puede llegar a 24 horas. Después de publicar, puedes volver a ejecutar esta verificación para confirmar.
¿Necesito SPF si ya tengo DMARC?
Sí. DMARC se apoya en SPF y DKIM — exige que al menos uno de ellos pase. SPF y DKIM son los métodos de autenticación subyacentes; DMARC es la capa de política que indica a los receptores qué hacer cuando la autenticación falla.
¿Cuál es la diferencia entre ~all y -all?
~all (fallo leve) indica a los receptores que acepten el mensaje pero lo traten con sospecha — normalmente enviado a spam. -all (fallo estricto) indica a los receptores que rechacen el mensaje de inmediato. El fallo estricto es más riguroso y reduce el riesgo de suplantación, pero puede hacer que se pierda correo legítimo reenviado cuando servidores intermedios reescriben al remitente.
¿Puedo tener más de un registro SPF para el mismo dominio?
No. El RFC 7208 solo permite explícitamente un registro SPF por dominio. Varios registros v=spf1 provocan un PermError en el momento de la evaluación, y la mayoría de los receptores rechazarán el correo. Para autorizar varios servicios, combínalos en un único registro usando un include: por servicio.
¿Por qué mi registro SPF tiene tantas consultas DNS?
Cada instrucción include: obliga al receptor a obtener otro registro SPF, y las consultas de ese registro anidado también cuentan. El spf.protection.outlook.com de Microsoft 365, por ejemplo, cuenta como una consulta directa pero se encadena internamente. Si estás por encima del límite de 10 consultas, aplana los servicios que no se usan a rangos ip4: o elimina los servicios desde los que ya no envías.