Diagnóstico de DNS y autenticación del correo — y la solución.

SPF Verificador de registros SPF

Verifica el registro SPF de tu dominio y los servidores autorizados a enviar correo.

Busca el registro SPF (TXT) de tu dominio y lo explica en lenguaje claro.

Generar un registro SPF

Construye un registro SPF válido para tu dominio. Elige tu proveedor de correo y cualquier servicio adicional que envíe en tu nombre.

El servicio que aloja tu bandeja de entrada principal.
Marca cualquier herramienta que uses para correo de marketing, boletines o notificaciones transaccionales.
~all marca el correo no autorizado como sospechoso. -all indica a los receptores que lo rechacen de inmediato — úsalo solo cuando estés seguro de que todos tus remitentes están listados.

¿Qué es SPF?

SPF (Sender Policy Framework) es un registro DNS que indica a los servidores de correo receptores qué direcciones IP y servidores están autorizados a enviar correo en nombre de tu dominio.

Cuando llega un mensaje que dice provenir de [email protected], el servidor receptor consulta el registro SPF de tu dominio. Si la IP del servidor remitente aparece en tu lista de autorizados, el mensaje pasa SPF. Si no, puede rechazarse o marcarse como spam según la política que hayas establecido.

Qué prueba este verificador

  • Si tu dominio tiene un registro SPF en absoluto
  • Si el registro tiene el formato correcto
  • Cuántas consultas DNS usa (el límite del RFC es 10)
  • Qué política se aplica (fallo estricto, fallo leve, neutral o permisiva)
  • Si existen varios registros SPF (un error de configuración común)
  • Qué servicios de envío (Google, Microsoft 365, SendGrid, etc.) están autorizados

Errores SPF comunes y qué significan

Varios registros SPF

El RFC 7208 exige exactamente un registro SPF por dominio. Si tu dominio tiene dos o más registros v=spf1, los servidores receptores devolverán un PermError y el correo puede rechazarse. La solución es fusionarlos en un único registro que combine todas tus instrucciones include:.

Demasiadas consultas DNS

SPF permite un máximo de 10 mecanismos que requieren una consulta DNS (include:, a, mx, exists, redirect). Superarlo provoca un PermError. Si estás por encima del límite, considera aplanar algunas instrucciones include: directamente a entradas ip4:/ip6:, o eliminar los servicios que ya no usas.

Fallo leve o fallo estricto

El mecanismo all al final de un registro SPF establece la política predeterminada. ~all significa «fallo leve» — los mensajes de servidores no autorizados deberían aceptarse pero marcarse como sospechosos (normalmente como spam). -all significa «fallo estricto» — rechazar de inmediato a los remitentes no autorizados. +all significa «aceptar todo» y casi siempre es un error de configuración.

Sin registro SPF

Si tu dominio no tiene un registro SPF, los servidores de correo receptores no pueden verificar si los mensajes que dicen provenir de tu dominio son legítimos. Esto reduce considerablemente la entregabilidad — muchos proveedores marcarán el correo no firmado como spam o lo rechazarán. Gmail y Yahoo ahora exigen SPF para los remitentes masivos.

Preguntas frecuentes

¿Dónde publico mi registro SPF?

SPF se publica como un registro TXT en la raíz de tu dominio (ejemplo.com). La mayoría de los proveedores de DNS — Cloudflare, GoDaddy, Google Domains, Namecheap, Hover — permiten añadir o editar registros TXT desde su panel de gestión de DNS.

¿Cuánto tarda en surtir efecto un cambio SPF?

Los cambios DNS se propagan según el TTL (tiempo de vida) de tu registro TXT actual. Normalmente de 5 minutos a 1 hora, pero puede llegar a 24 horas. Después de publicar, puedes volver a ejecutar esta verificación para confirmar.

¿Necesito SPF si ya tengo DMARC?

Sí. DMARC se apoya en SPF y DKIM — exige que al menos uno de ellos pase. SPF y DKIM son los métodos de autenticación subyacentes; DMARC es la capa de política que indica a los receptores qué hacer cuando la autenticación falla.

¿Cuál es la diferencia entre ~all y -all?

~all (fallo leve) indica a los receptores que acepten el mensaje pero lo traten con sospecha — normalmente enviado a spam. -all (fallo estricto) indica a los receptores que rechacen el mensaje de inmediato. El fallo estricto es más riguroso y reduce el riesgo de suplantación, pero puede hacer que se pierda correo legítimo reenviado cuando servidores intermedios reescriben al remitente.

¿Puedo tener más de un registro SPF para el mismo dominio?

No. El RFC 7208 solo permite explícitamente un registro SPF por dominio. Varios registros v=spf1 provocan un PermError en el momento de la evaluación, y la mayoría de los receptores rechazarán el correo. Para autorizar varios servicios, combínalos en un único registro usando un include: por servicio.

¿Por qué mi registro SPF tiene tantas consultas DNS?

Cada instrucción include: obliga al receptor a obtener otro registro SPF, y las consultas de ese registro anidado también cuentan. El spf.protection.outlook.com de Microsoft 365, por ejemplo, cuenta como una consulta directa pero se encadena internamente. Si estás por encima del límite de 10 consultas, aplana los servicios que no se usan a rangos ip4: o elimina los servicios desde los que ya no envías.

¿Quieres el panorama completo? Ejecuta una verificación de dominio completa →