SPF (Sender Policy Framework)

¿Qué es SPF?

SPF, o Sender Policy Framework, es un estándar de autenticación basado en DNS que le dice a los servidores de correo receptores qué direcciones IP tienen permiso de enviar correo desde un dominio dado. El dueño del dominio publica un registro TXT con los remitentes aprobados, y el receptor verifica la IP que se conecta contra esa lista.

Por qué importa

SPF es una de las defensas más antiguas y simples contra la suplantación de email, y todavía condiciona la entrega en casi todos los principales proveedores de bandeja de entrada. Un registro SPF roto o ausente puede hacer que tu correo legítimo sea marcado como spam, y vuelve imposible la aplicación de DMARC. Los equipos de infraestructura, marketers y cualquiera que agregue una nueva herramienta de envío deberían actualizar el SPF como parte del checklist de onboarding.

Cómo funciona

El dueño del dominio publica un registro TXT en el apex del dominio de envío listando los mecanismos aprobados.

acme.io IN TXT "v=spf1 include:sendkit.email include:_spf.google.com ip4:203.0.113.5 -all"

Cuando un servidor receptor acepta un mensaje, verifica el dominio del remitente del sobre, obtiene el registro SPF de ese dominio y confirma que la IP que se conecta está autorizada. Un sufijo -all significa que los remitentes no autorizados deben ser rechazados; ~all significa soft-fail.

Ejemplos

• Una empresa agregando include:sendkit.email después de cambiar su proveedor transaccional
• Un equipo auditando SPF y descubriendo que un CRM viejo seguía autorizado desde una migración previa
• Un marketer depurando una campaña que falla SPF por exceder el límite de 10 lookups de DNS

Mejores prácticas

• Mantén tu registro SPF bajo el límite de 10 lookups de DNS; aplana los includes si es necesario
• Usa -all en producción una vez que estés seguro de que todos los remitentes están listados
• Audita tu SPF cada trimestre y elimina servicios que ya no usas
• Publica SPF tanto para el dominio de envío como para el dominio del sobre cuando difieran

Preguntas frecuentes

¿Qué es el límite de 10 lookups?

La evaluación de SPF falla si se requieren más de 10 lookups de DNS para resolver todos los includes y mecanismos. Demasiadas entradas include: son la causa más común de fallos inesperados de SPF.

¿Puedo tener múltiples registros SPF?

No. Un dominio debe tener exactamente un registro TXT de SPF. Fusiona todos los mecanismos en un solo registro o la verificación fallará.

¿Qué pasa si SPF falla pero DKIM pasa?

DMARC permite que un mensaje pase si SPF o DKIM alinean con el dominio del From. Así que un SPF fallido por sí solo no significa automáticamente rechazo.