¿Qué es un Registro SPF?
Un registro SPF (Sender Policy Framework) es un registro DNS de tipo TXT que especifica qué servidores de correo están autorizados para enviar email en nombre de su dominio. Ayuda a prevenir el spoofing y el phishing al permitir que los servidores receptores verifiquen si un email recibido proviene de un servidor autorizado.
Cuando un servidor de correo recibe un mensaje, consulta el registro SPF del dominio remitente y verifica si la IP del servidor que envió el mensaje está en la lista de servidores autorizados. Si no lo está, el email puede ser rechazado o marcado como spam según la política definida.
Nuestro verificador SPF gratis analiza el registro SPF completo de su dominio, valida la sintaxis conforme RFC 7208, cuenta las consultas DNS, resuelve todas las cadenas include y proporciona una puntuación de salud detallada. Combine con el verificador DMARC y el verificador DKIM para una autenticación completa de email.
Cómo Verificar el Registro SPF (3 Métodos)
Existen varias formas de verificar registros SPF de cualquier dominio. Nuestra herramienta en línea es el método más completo, pero las alternativas de línea de comandos son útiles para administradores de sistemas.
Siga los pasos a continuación para verificar y validar el registro SPF de su dominio.
Ingrese cualquier nombre de dominio en la herramienta de arriba y haga clic en "Check SPF". Verá instantáneamente el registro SPF completo con análisis de mecanismos, conteo de DNS lookups, cadenas include resueltas y puntuación de salud con 12 verificaciones.
Abra una terminal y ejecute nslookup -type=txt ejemplo.com. Busque el registro que comienza con v=spf1. Este método muestra el registro sin procesar pero no valida la sintaxis ni cuenta los lookups.
Ejecute dig ejemplo.com TXT +short para listar todos los registros TXT. Filtre el SPF buscando v=spf1. Para una consulta DNS completa, use nuestra herramienta dedicada.
Mecanismos del Registro SPF — Guía Completa
El registro SPF utiliza mecanismos para definir qué servidores están autorizados a enviar email por su dominio. Cada mecanismo puede tener un calificador: + (pass), - (fail), ~ (softfail) o ? (neutral). Comprender estos mecanismos es esencial para configurar SPF correctamente.
Nuestro verificador SPF analiza cada mecanismo de su registro y verifica que estén configurados correctamente según RFC 7208.
include
Referencia el registro SPF de otro dominio. Se usa para autorizar servicios de terceros como Google Workspace (include:_spf.google.com) o Microsoft 365. Cuenta como 1 DNS lookup.
ip4 / ip6
Autoriza direcciones IP específicas o rangos CIDR. Ejemplo: ip4:192.168.1.0/24. No cuenta como DNS lookup — ideal para reducir el conteo de lookups.
a / mx
El mecanismo a autoriza las IPs del registro A del dominio. El mx autoriza las IPs de los servidores MX. Ambos cuentan como 1 DNS lookup cada uno.
all
Mecanismo catch-all al final del registro. -all (hard fail) rechaza todo lo que no coincide. ~all (soft fail) marca como sospechoso. +all autoriza todo (nunca lo use).
redirect
Redirige la evaluación SPF a otro dominio. Reemplaza completamente el registro actual. Cuenta como 1 DNS lookup. A diferencia de include, que es aditivo.
exists
Verifica si un dominio específico existe mediante consulta DNS. Se usa en configuraciones avanzadas con macros SPF. Cuenta como 1 DNS lookup.
Las 12 Verificaciones de Validación SPF
Nuestro verificador SPF ejecuta 12 verificaciones exhaustivas para garantizar que su registro SPF está configurado correctamente y cumple con RFC 7208. Cada verificación se clasifica como aprobado, advertencia o fallo.
Estas verificaciones cubren desde la existencia del registro hasta la resolución completa de cadenas include y la detección de void lookups.
Registro SPF encontrado — Verifica si el dominio tiene un registro SPF válido publicado en DNS
Registro único — Confirma que existe solo un registro SPF (múltiples causan permerror)
Sintaxis válida — Valida que el registro comienza con
v=spf1y sigue la gramática RFC 7208Conteo de DNS lookups <= 10 — Cuenta todos los mecanismos que generan consultas DNS (include, a, mx, ptr, exists, redirect)
Void lookups <= 2 — Verifica consultas que retornan NXDOMAIN o SERVFAIL
Mecanismo all presente — Confirma que el registro termina con un mecanismo all (catch-all)
Calificador adecuado — Verifica que usa
-allo~all(no+allque autoriza todo)Sin mecanismo PTR — Detecta el uso del mecanismo PTR obsoleto según la RFC
Includes resolubles — Verifica que todos los dominios en mecanismos include existan y tengan SPF
Sin loops de include — Detecta referencias circulares en cadenas include
Longitud del registro — Verifica que el registro no exceda 450 caracteres (límite práctico de TXT)
IPs autorizadas — Lista todas las direcciones IP autorizadas tras la resolución completa
Buenas Prácticas de Registro SPF
Siga estas recomendaciones para mantener su registro SPF configurado correctamente. Los problemas de SPF pueden causar el rechazo de emails legítimos, fallos de autenticación y vulnerabilidades de seguridad.
El monitoreo regular con nuestro verificador SPF ayuda a detectar problemas antes de que afecten la entrega de emails. Combine con el verificador DMARC para una política de autenticación completa.
Use solo un registro SPF — Múltiples registros causan permerror e invalidan toda la autenticación
Mantenga debajo de 10 DNS lookups — Use
ip4/ip6en lugar deincludecuando sea posibleUse `-all` (hard fail) — Después de probar con
~all, cambie a-allpara seguridad máximaEvite el mecanismo PTR — Obsoleto por RFC 7208, lento y poco confiable
Revise regularmente — Servicios de terceros pueden cambiar sus registros SPF, afectando su conteo de lookups
Considere SPF flattening — Reemplace includes por IPs directas para reducir el conteo de lookups
Pruebe antes de publicar — Use nuestro verificador SPF para validar cambios antes de publicarlos en DNS
Combine con DKIM y DMARC — SPF solo no es suficiente; implemente los tres para protección completa
SPF vs DKIM vs DMARC — Autenticación de Email Explicada
El SPF, DKIM y DMARC son los tres pilares de la autenticación de email moderna. Cada protocolo protege contra diferentes tipos de ataques y todos deben configurarse juntos para una seguridad completa.
El SPF verifica si la IP del servidor remitente está autorizada. El DKIM agrega una firma criptográfica para verificar la integridad del mensaje. El DMARC define la política de tratamiento cuando SPF o DKIM fallan y habilita los informes. Use nuestro verificador DKIM y verificador DMARC para verificar los tres. También puede probar la conectividad con nuestro test SMTP.
SPF (Sender Policy Framework)
Verifica si la IP del servidor remitente está en la lista de servidores autorizados del dominio. Protege contra spoofing de sobre. Limitado a 10 DNS lookups.
DKIM (DomainKeys Identified Mail)
Agrega firma criptográfica al email que verifica que el mensaje no fue alterado en tránsito. Protege contra manipulación de contenido.
DMARC (Domain-based Message Authentication)
Define la política cuando SPF o DKIM fallan (none, quarantine, reject). Habilita informes de autenticación y alineación de dominio.
Herramientas de Email y DNS Relacionadas
DNS Robot ofrece diversas herramientas complementarias al verificador SPF para un análisis completo de autenticación de email y configuración DNS.
Verifique la política DMARC y la configuración de informes del dominio
Verifique firmas DKIM para autenticación de email
Cree registros DMARC con asistente visual paso a paso
Pruebe la conectividad SMTP y la configuración TLS de los servidores de correo
Verifique registros MX y servidores de correo de cualquier dominio
Ejecute 17 verificaciones de salud DNS incluyendo SPF y DMARC