Home > Hosting web  > Registro SPF: Protege tu dominio y evita el spam

Registro SPF: Protege tu dominio y evita el spam

Registro SPF
02/06/2025 en Hosting web, Seguridad web por
0
(0)

En este post vengo a hablarte de seguridad. Concretamente, te explicaré todo lo relacionado con el registro SPF y cómo proteger tu dominio frente al envío de correos no autorizados.

De momento, quédate con que el registro SPF es una herramienta esencial para validar correos electrónicos, protegerte de ataques de suplantación de identidad y prevenir el SPAM.

El registro SPF es un tipo de registro DNS que básicamente le dice a los servidores de correo qué direcciones están autorizadas para enviar correo en tu nombre y utilizando tu dominio. De esta forma, evitas que terceros no autorizados envíen correos intentando hacerse pasar por ti.

Ya te puedes imaginar lo importante que es esto para la reputación de tu dominio, tu marca y tu negocio, ¿verdad?

Por eso, en esta guía vas a encontrar todo lo que necesitas saber sobre registros SPF. Te explicaré qué es y cómo funciona, sus componentes y cómo configurarlo correctamente para proteger tu dominio y asegurar la autenticidad de tus correos electrónicos.

¿Empezamos?

¿Qué es un registro SPF?

Para entender qué es un registro SPF, mejor vemos primero qué es eso de SPF.

SPF (por sus siglas en inglés, Sender Policy Framework) es un protocolo de autenticación de correo electrónico para evitar ataques de suplantación de correo electrónico, también conocido como phishing.

En otras palabras, el SPF te permite especificar qué servidores pueden enviar correos electrónicos en nombre de tu dominio.

Pero, ¿y cómo se especifica esto? Pues mediante un registro SPF.

Un registro SPF es un tipo de registro DNS, de tipo TXT ,que contiene una lista de servidores autorizados para enviar correos en nombre del dominio.

Este registro se configura en la zona DNS del dominio en cuestión y es consultado por los servidores de correo de destino para corroborar que el correo electrónico es auténtico.

Cómo funciona un registro DNS

Como acabamos de ver, el SPF permite autorizar o validar qué servidores pueden enviar emails con el nombre de tu dominio.

Para ello, es necesario establecer en los DNS de tu dominio un registro SPF en el que se incluyan todas las direcciones IP o servidores que autorizas para enviar correos electrónico.

De esta forma, el servidor de correo que recibe el email, realiza una serie de comprobaciones en los DNS para saber si el correo electrónico proviene de un servidor autorizado o no. Precisamente, la consulta se realiza en el registro TXT y se verifica que la IP origen está autorizada.

De esta forma, cuando alguien recibe un correo tuyo, el servidor en donde se recibe lo que hace es comprobar el registro SPF. Si el mensaje viene de un servidor autorizado, lo acepta. En caso contrario, puede marcarlo como spam o directamente rechazarlo.

Por ese motivo, tener el SPF bien configurado es tan importante, ya que mejora la entrega de tus correos, cuida la reputación de tu dominio y evita que otras personas puedan suplantar la identidad (spoofing) o que utilicen tus correos para enviar spam.

Ventajas de usar el registro SPF

Ahora que sabes qué es un registro SPF te estarás preguntando… ¿Pero es necesario utilizarlo? ¿Qué beneficios tiene? ¿Qué ocurriría si no lo utilizo?

La principal razón para crear y añadir un registro SPF es la seguridad. Al autenticar los servidores que pueden enviar correos con tu dominio, estás mejorando la entregabilidad de tus mensajes, pero también protegiendo a tus clientes y, muy importante, protegiendo la reputación de tu dominio y tu marca.

Prevención de la suplantación de identidad (spoofing)

Quizá el término spoofing no te suene tanto como phishing, pero es uno de los métodos más utilizados en las ciberestafas.

Spoofing hace referencia a los ataques realizados por suplantación de identidad. Los ciberdelincuentes se hacen pasar por una empresa o persona con una finalidad maliciosa. En función del canal que elijan para suplantar la identidad, podemos hablar de phishing (por correo electrónico) o smishing (por SMS).

El spoofing y el phishing son técnicas de ciberataques que, aunque a menudo se utilizan conjuntamente, tienen objetivos y métodos distintos.

Mejora de la entregabilidad del correo

¿Sabías que además de prevenir ataques, también mejoras la tasa de entrega de tus emails?

Los proveedores de email valoran positivamente que te preocupes por la seguridad y tengas un registro SPF configurado en tu dominio. De esta forma, la probabilidad de que tus correos lleguen a sus destinatarios es mayor.

Protección de la reputación de tu dominio

Si un ciberdelincuente suplanta tu identidad y hace envíos de correo electrónico en tu nombre, dañará la reputación de tu dominio y esto puede ser extensible también a la reputación de tu marca.

¿Pero y para qué sirve la reputación del dominio? Principalmente, para que las comunicaciones legítimas (emails transaccionales, newsletters…) se entreguen en la bandeja de entrada de tus clientes y que los proveedores no las bloqueen.

Protección contra el SPAM

Otro de los beneficios que no podemos pasar por alto es la protección de tu dominio frente al spam.

Al crear y añadir un registro SPF en la zona DNS de tu dominio, te aseguras de que tus correos no acaben en la bandeja de SPAM de tus usuarios. Por otra parte, también reduce la posibilidad de que tu dominio sea utilizado para el envío de SPAM.

Componentes de un registro SPF

Vale, entiendo qué es y para qué sirve el registro SPF, pero… ¿Cómo es? ¿Qué elementos tiene? ¿Qué significan cada una de sus partes?

continuación, te muestro un ejemplo de la sintaxis de un registro SPF:

Sintaxis del registro SPF

Ahora veamos cada uno de los elementos por separado.

Versión del protocolo

Todos los registros SPF empiezan así, con la versión del protocolo que utilizan. Prácticamente, siempre se establece la versión 1, ya que es la versión «estándar» y la reconocida por la mayoría de servidores.

Mecanismos SPF

Son los encargados de indicar las cómo se envían los correos en nombre del dominio.

Los mecanismos más utilizados son:

  • a: Permite envíos de correos desde la IP asociada al registro A del dominio.
  • mx: Permite envíos de correos desde los servidores de correo entrante (registros MX).
  • ip4/ip6: Especifica desde qué IPs se envían los correos.
  • include: Autoriza a los servidores que se establezcan a enviar emails en nombre de tu dominio.
  • all: Determina que si un correo no cumple las reglas SPF, se marca como sospechoso o spam.

Calificadores SPF

Mediante un calificador se indica al servidor cómo debe leer el registro y qué hacer con los resultados obtenidos. Los más habituales son:

  • + (Pass): Si la dirección IP coincide, pasa la verificación y está autorizada.
  • – (Fail): Si falla la verificación, la IP no está autorizada.
  • ~ (Softfail): Es probable que la dirección IP no esté autorizada. Es posible que el correo se acepte, pero se marca como sospechoso.
  • ? (Neutral): No hay una política clara sobre la autorización de la IP. En este caso el servidor receptor decide qué hacer con el email.

Ejemplo de un registro SPF

¿Quieres ver un ejemplo real? Así es cómo se vería un ejemplo de registro SPF en LucusHost:

v=spf1 +a +mx +ip4:51.210.195.216 include:hl132.lucushost.org include:spf.lucushost.org ~all

Desglosando este registro tenemos:

  •  v=spf1: En LucusHost, la versión del protocolo siempre tiene el valor v=spf1.
  • +a: Se permiten envíos de correos desde la IP asociada al registro A del dominio.
  • +mx: Se permiten envíos de correos desde los servidores de correo entrante (registros MX).
  • +ip4:51.210.195.216: Se autoriza a esta dirección IP el envío de correo (es la IP del servidor).
  • include:hl132.lucushost.org include:spf.lucushost.org: Se importan las reglas SPF de estos dominios. De esta forma, se autoriza a estos servidores a enviar en nombre de tu dominio.
  • ~all: Si un correo no cumple las reglas SPF, se marca como sospechoso o spam.

En algunos casos, se muestra –all, con lo que directamente se rechazarían los correos que no sigan las reglas SPF.

Es posible que también veas ?all, donde el servidor actuaría neutral y sería el servidor receptor de correo el que decide qué hacer.

Cómo crear un registro SPF

Si tienes tu plan de hosting en LucusHost, verás que, por defecto, ya tienes el registro SPF configurado para todos los dominios que tengas asociados en tu plan de alojamiento.

No obstante, si necesitas crear uno nuevo, puedes seguir estos pasos:

  1. Establece la versión del protocolo que se está utilizando. Como dijimos antes, este valor debe ser  v=spf1.
  2. Añade los mecanismos de envío autorizados. Dicho de otra manera, establece las direcciones IP a las que autorizas el envío de emails. Por ejemplo:
    1. ip4:192.0.2.0/24 para una dirección IPv4.
    2. ip6:2001:db8::/32 para una dirección IPv6.
    3. include:spf.proveedor.com para incluir las reglas SPF de un proveedor externo.
  3. Define la política para correos no autorizados. Al final del registro, utiliza un mecanismo como -all, ~all o ?all para indicar cómo deben tratarse los correos que no coincidan con los mecanismos anteriores.

Una vez creado, deberás publicar el registro SPF en la zona DNS de tu dominio. A continuación te explico cómo hacerlo.

Cómo añadir un registro SPF

Una vez que tengas el registro SPF creado, puedes añadirlo en la zona DNS de tu dominio siguiendo estos pasos:

  1. Accede a cPanel con tu usuario o contraseña.
  2. Una vez que estés dentro de cPanel, dirígete a la sección «Zone editor» y pulsa en «Administrar», sobre el dominio en el que queramos crear el registro SPF:Sección "Zone Editor" de cPanel
  3. A continuación, pulsa en «Añadir registro».Añadir registro DNS
  4. En nombre, establece el nombre del dominio, en tipo «TXT» y en el apartado «Registrar» añadimos el valor del registro SPF. Para guardar el valor del registro, haz clic en «Save Record».Crear registro SPF

Cómo configurar un registro SPF

Si ya tienes un registro SPF creado y lo que necesitas es editar su configuración, puedes hacerlo sin problema. Para ello, debes seguir estos pasos:

  1. En registros DNS, filtra por SPF para localizarlo.Filtrar por registro SPF
  2. Ahora se listarán todos los registros. Localiza el que quieras modificar o configurar y pulsa en «Editar».Editar registro SPF
  3. Realiza los cambios necesarios y, por último y para guardar los cambios, pulsa en «Save record».Guardar cambios en un registro SPF

Cómo comprobar un registro SPF

Existen un montón de herramientas online que te ayudan a comprobar si el registro SPF de tu dominio está bien configurado.

Yo te recomiendo que utilices MXToolbox, para mí es la más útil y la más completa.

Lo único que tienes que hacer para verificar que todo está bien, es introducir el dominio para que la herramienta te de el resultado.

Si todo es correcto, verás algo como la siguiente imagen:

Registro SPF correcto con la herramienta MXToolbox

Pero, ¿cómo sería el resultado si el SPF no está bien configurado? Pues para ello, voy a forzar un error añadiendo “include:dominio.incorrecto” (un dominio que no resuelve) al SPF y el resultado sería algo como:

Registro SPF incorrecto con la herramienta MXToolbox

Como ves, la herramienta detecta que hay un problema y el SPF ya aparece en rojo.

Error registro SPF

Esta herramienta es de gran utilidad, ya que al tener localizado el error, podríamos corregirlo fácilmente editando el registro SPF.

Pero, ¿y si solo quiero ver si mi dominio tiene un SPF configurado? En el caso de querer comprobar si tienes o no un registro configurado, puedes optar por Whatsmydns, que te indica todos los registros TXT del dominio que introduzcas en ella. Filtras por “SPF” y ya obtienes el resultado.

Comprobar si existe un registro SPF con la herramienta Whatsmydns

De todas formas, esta herramienta no es tan útil, ya que solo nos indica el SPF configurado, pero no nos da información si hay algún error como es el caso de la herramienta anterior.

Errores habituales del registro SPF y cómo solucionarlos

Aunque para crear y añadir un registro SPF en tu dominio no necesitas tener muchos conocimientos técnicos, es verdad que hay algunos errores bastante comunes y que muchas veces llegan a nuestro departamento de soporte técnico que me gustaría mostrarte para que veas cómo resolverlos.

Múltiples registros SPF

Los estándares SPF indican que solo debe de haber un registro SPF configurado por dominio. En el caso de que se detecten varios, pueden crear conflicto con el servidor y hacer que el este los ignore.

De este modo, si tu dominio tiene más de un registro SPF, deberías fusionarlos de modo que te quede solo uno.

Por ejemplo, imagínate que tienes estos dos registros SPF:

El de LucusHost:

 v=spf1 +a +mx +ip4:51.210.195.216 include:hl132.lucushost.org include:spf.lucushost.org ~all

El de Google:

v=spf1 include:_spf.google.com ~all

Para solucionar el problema, deberíamos de unificar los dos en un mismo registro SPF y quedaría así:

v=spf1 +a +mx +ip4:51.210.195.216 include:hl132.lucushost.org include:spf.lucushost.org include:_spf.google.com ~all

Si te fijas, lo que hice fue añadir la propiedad del SPF más corta (include:_spf.google.com) al SPF más grande. Del resto de configuraciones no hay que tocar nada, ya que tanto el inicio (v=spf1) como el final (~all) es el mismo.

Más de 10 lookups

En un SPF no puedes realizar más de 10 consultas o «lookups». Te pongo un ejemplo para que me entiendas.

Tengo el siguiente SPF:

 v=spf1 +a +mx +ip4:51.210.195.216 include:hl132.lucushost.org include:spf.lucushost.org ~all

Las consultas que se están realizando son cuatro y son estas:

  • +a
  • +mx
  • include:hl132.lucushost.org
  • include:spf.lucushost.org

Es importante entender que la IP no cuenta como una consulta o «lookup»

Una buena práctica, en caso de que tengamos muchas consultar, sería cambiar los include por una dirección IP.

Uso incorrecto del all

Como ya viste más arriba, hay varias formas de utilizar el mecanismo all y muchas veces, por desconocimiento, se tiene mal configurado. Los errores más comunes:

  • Establecer +all en el registro SPF. Con esta configuración las reglas del registro SPF se anulan y no se apliquen. Se permitiría enviar correos desde cualquier servidor sin ninguna verificación. Ejemplo:
     v=spf1 +a +mx +ip4:51.210.195.216 include:hl132.lucushost.org include:spf.lucushost.org +all
  • El all siempre debe de ir al final del registro. De no ser así, no funcionará correctamente. Ejemplo:
     v=spf1 ~all +a +mx +ip4:51.210.195.216 include:hl132.lucushost.org include:spf.lucushost.org
  • No utilizar ningún all. Si el registro SPF no tiene all, también es incorrecto y no se va a aplicar la configuración. Ejemplo:
     v=spf1 +a +mx +ip4:51.210.195.216 include:hl132.lucushost.org include:spf.lucushost.org

Uso incorrecto del include

El mecanismo include importa las reglas SPF del servidor que se indique. Entonces, si en el include añades un nombre de dominio sin SPF, el registro estaría incorrecto.

Registro SPF demasiado largo

Muy importante, el registro SPF no puede tener más de 255 caracteres. En caso contrario, muchos servidores no podrían procesarlo.

Al igual que con los «lookups», una buena práctica aquí es usar direcciones IP en lugar de includes.

Formato incorrecto del registro SPF

Un registro SPF siempre debe de empezar por v=spf1. Si no es el caso, el registro SPF será incorrecto.

También es importante que cada mecanismo del registro (+a, +mx, +ip4, include … )  estén separados por un espacio. Tampoco debe de llevar comas.

Un SPF con formato incorrecto:

 v=spf1+a+mx,+ip4:51.210.195.216 include:hl132.lucushost.org include:spf.lucushost.org ~all

No tener un registro SPF

Puede parecer el error más obvio, pero muchas veces vemos que el error es precisamente que el SPF no está añadido en la zona DNS del dominio.

Puedes comprobar si lo tienes o no con algunas de las herramientas que te mostré más arriba.

¡Es tu turno! Protege tu reputación con un registro SPF

Después de lo que hemos visto, podemos decir que el registro SPF es determinante para proteger tus dominios y tus correos electrónicos de prácticas malintencionadas como el spoofing o el phishing, pero también para protegerte del SPAM y evitar que tus correos no acaben en la bandeja de correo no deseado.

En definitiva, tener un SPF bien configurado, te ayuda a mejorar la seguridad, pero también a proteger tu reputación online.

Aunque la sintaxis del propio SPF puede parecer algo complicada al principio (versión, mecanismos, calificadores…), lo cierto es que crearlo y añadirlo no te llevará más de un par de minutos. Además, recuerda que si tienes tu hosting en LucusHost, ya tendrás un SPF configurado por defecto para todos los dominios que tengas en tu plan de alojamiento.

¡Y lo más importante de todo! Cualquier duda o pregunta con tu registro SPF desde el equipo de soporte te ayudamos a resolverla. Ya sabes que estamos disponibles 24/7 para echarte una mano en todo lo que necesites.

Si no tienes tu servicio con nosotros, también puedes dejarnos un comentario aquí abajo y trataré de ayudarte.

¡Puntúa este artículo!

Total votos: 0. Promedio: 0

Artículos relacionados:

Álvaro Villar

Técnico de soporte y productor musical en mis ratos libres. Me encargo de que tu sitio web esté bien ‘mezclado’ y sin interrupciones, para que todo funcione como debe. ¡Rendimiento sin pausas!

No hay comentarios

Escribe un comentario