Ir al contenido

SPF

Una recomendación para la configuración  segura de tus correos


SPF es un protocolo que ayuda a reducir el spam por correo electrónico, se establece un registro SPF en la zona DNS del nombre de dominio. Los servidores de correo que reciben pueden comprobar la presencia de un registro SPF y esta comprobación verifica que el servidor desde el que se envía un correo electrónico tiene permiso para hacerlo y el servidor que tiene permiso para enviar correos electrónicos en nombre del nombre de dominio aparece en el registro SPF.

¿Qué es un registro SPF?Anatomia de un registro SPFPasos para la ConfiguraciónErrores Comunes que debes evitarVerificaciónEjemplo de GodDaddyValores para MicrosoftAgregar valor del SPF en Microsoft

¿Qué es un registro SPF?

 Es un registro de tipo TXT en tu configuración de DNS que indica qué servidores o direcciones IP tienen permiso para enviar correos electrónicos en nombre de tu dominio.


Anatomia de un registro SPF

Un registro típico se ve así: v=spf1 ip4:1.2.3.4 include:_spf.google.com ~all.


ComponenteFunción
v=spf1Define la versión de SPF (obligatorio al inicio).
ip4 / ip6Autoriza una dirección IP específica del servidor de correo.
includeAutoriza a terceros (ej. Google Workspace, Microsoft 365, Mailchimp).
a / mxAutoriza la IP del registro A o los registros MX de tu dominio.
~all / -allIndica qué hacer con los correos que no vienen de estas fuentes.



Pasos para la Configuración


Paso A: Identifica tus fuentes de envío

Haz una lista de todo lo que envía correos con tu dominio:

  • Tu servidor de correo principal (Google, Outlook, Zoho).

  • Tu servidor web (correos de formularios o PHP).

  • Herramientas de marketing (Mailchimp, SendGrid).

  • Sistemas ERP o CRM.

Paso B: Crea el registro TXT

Sigue esta sintaxis base:

  1. Inicio: Siempre empieza con v=spf1.

  2. IPs de tu servidor: Si usas un VPS, añade ip4:tu_direccion_ip.

  3. Servicios externos: Añade los include.

    • Google: include:_spf.google.com

    • Microsoft: include:spf.protection.outlook.com

  4. El Cierre (Muy importante):

    • ~all (Soft Fail): El correo se acepta pero se marca como sospechoso si falla. Recomendado para pruebas.

    • -all (Hard Fail): El correo se rechaza si no cumple. Configuración de máxima seguridad.

Paso C: Publica en tu DNS

  1. Accede al panel de control de tu registrador (Cloudflare, GoDaddy, Namecheap).

  2. Crea un nuevo Registro TXT.

  3. En Nombre/Host, pon @ (o deja en blanco, según el panel).

  4. En Valor/Contenido, pega tu cadena, por ejemplo:

    v=spf1 include:_spf.google.com ip4:192.168.1.10 ~all

Errores Comunes que debes evitar

  • Tener más de un registro SPF: Solo puede haber uno por dominio. Si tienes varios, combínalos en una sola línea.

  • Demasiados "lookups": No puedes tener más de 10 mecanismos include o nombres de dominio en un solo registro.

  • Sintaxis incorrecta: Un espacio de más o un carácter mal puesto invalidará todo el registro.


Verificación

Una vez publicado, puedes usar herramientas como MXToolbox o el comando de terminal: nslookup -type=txt tu-dominio.com


Ejemplo de GodDaddy



Para configurar un registro SPF en GoDaddy, debes tener en cuenta que la precisión es vital. El receptor del correo comparará la IP de origen con tu lista autorizada; si no coinciden, el correo será rechazado o marcado como SPAM.

Aquí tienes el ejemplo paso a paso:


💡 El concepto clave: La coincidencia de origen

Antes de ir al panel, recuerda esto: El servidor que "dispara" el correo debe estar incluido en el registro.

Si mandas correos desde tu servidor web (donde está tu página de  tu sitio ) pero en tu SPF solo autorizas a Google, los correos de tu web fallarán. El dominio del remitente (@en1gm4.com por ejemplo)  debe estar respaldado por una IP o un include presente en tu configuración DNS.

🛠 Configuración en GoDaddy (Paso a Paso)


1. Acceder a la gestión de DNS

  • Inicia sesión en tu cuenta de GoDaddy.

  • Ve a Mis productos y haz clic en DNS junto al dominio que quieres configurar.

2. Crear o Editar el registro TXT

Si ya existe un registro que empieza por v=spf1, edítalo. Si no, crea uno nuevo:

  • Tipo: TXT

  • Nombre (Host): @ (Esto representa a tu dominio raíz, ej. en1gm4.com)

  • Valor (TXT Value): v=spf1 ip4:123.123.123.123 include:_spf.google.com ~all

  • TTL: 1 hora (o el predeterminado).

📋 Ejemplo de Valor Desglosado


Supongamos que tu servidor web tiene la IP 123.123.123.123 y además usas Google Workspace:

ComponenteQué significa en este ejemplo
v=spf1Indica el inicio del protocolo de seguridad.
ip4:123.123.123.123Explícitamente autoriza a tu servidor web a enviar correos.
include:_spf.google.comAutoriza a los servidores de Google a enviar en tu nombre.
~allIndica que si el origen no coincide con lo anterior, el correo pase pero con advertencia (Soft Fail).
⚠️ ¡Cuidado con el desajuste!


Si envías un correo desde una plataforma como Mailchimp o SendGrid y no los incluyes en esta línea de GoDaddy, el servidor de destino dirá:

"El dominio dice que solo manda desde la IP 123... y Google, pero este correo viene de Mailchimp. Bloqueado".

Regla de oro: Cada vez que contrates un servicio nuevo que mande correos con tu dominio, debes actualizar este registro en GoDaddy añadiendo su respectivo include:.


Valores para Microsoft


 El Registro SPF para Microsoft 365

Si utilizas Microsoft 365 como tu único proveedor de correo, el valor que debes insertar en tu DNS (GoDaddy, Cloudflare, etc.) es el siguiente:

v=spf1 include:spf.protection.outlook.com -all

Desglose técnico:

  • v=spf1: Versión obligatoria.

  • include:spf.protection.outlook.com: Este es el "visto bueno" para que todos los servidores de intercambio de Microsoft (Exchange Online) puedan enviar correos legítimos en tu nombre.

  • -all: Es un Hard Fail. Indica a los servidores receptores que si el correo no viene de Microsoft, debe ser rechazado de inmediato.


Agregar valor del SPF en Microsoft


Si tienes tu dominio gestionado directamente en el Centro de Administración de Microsoft 365 (porque cambiaste los servidores de nombre a Microsoft), los pasos son ligeramente distintos a GoDaddy.

Aquí tienes la guía paso a paso para añadir el registro TXT del SPF:

1. Acceder al Panel de Control

  1. Inicia sesión en el Centro de administración de Microsoft 365.

  2. En el menú lateral izquierdo, haz clic en Mostrar todo para desplegar todas las opciones.

  3. Ve a Configuración > Dominios.

2. Seleccionar tu dominio

  1. Verás la lista de tus dominios (ej. en1gm4.com). Haz clic sobre el nombre del dominio que quieres configurar.

  2. Haz clic en la pestaña que dice Registros DNS.

3. Agregar el registro TXT (SPF)

  1. Haz clic en el botón + Agregar registro.

  2. Se abrirá un panel lateral. Completa los campos con esta información:

    • Tipo: Selecciona TXT.

    • Nombre de host: Escribe @.

    • Valor TXT: Aquí es donde defines la seguridad. Pega la cadena:

      v=spf1 include:spf.protection.outlook.com -all

    • TTL: Déjalo en 1 hora (o el valor predeterminado).

  3. Haz clic en Guardar.

🔍 Punto Crítico: La Coincidencia de Origen

Microsoft verificará que este registro sea exacto. Si el día de mañana decides enviar correos desde una herramienta externa (como una web de ventas o un CRM) y el dominio sigue siendo el mismo, debes volver aquí y editar este mismo registro.

Nunca crees dos registros que empiecen por v=spf1. Si necesitas agregar una IP de tu servidor, simplemente edita el valor existente para que se vea así: v=spf1 ip4:TU_IP_AQUÍ include:spf.protection.outlook.com -all

4. Verificación Final

Una vez guardado, Microsoft suele tardar unos minutos en reconocerlo. Puedes volver a la pestaña de Dominios y, si ves un mensaje en rojo de "Configuración incompleta", haz clic en Continuar configuración para que Microsoft escanee sus propios registros y te dé el "Check" verde de que todo está correcto.