2check.click

5 min de lectura Actualizado: junio de 2026

SPF explicado: qué es el Sender Policy Framework y por qué importa

SPF, o Sender Policy Framework, es un mecanismo de autenticación del correo electrónico que permite a los propietarios de un dominio declarar qué servidores tienen permiso para enviar mensajes en su nombre. Cuando un servidor receptor recibe un email, consulta el registro SPF del dominio del remitente para comprobar si el servidor que lo envió está autorizado. Si no lo está, el correo puede marcarse como sospechoso o rechazarse.

Cómo funciona SPF paso a paso

El propietario de un dominio publica un registro DNS de tipo TXT con la lista de servidores autorizados. Por ejemplo, el registro SPF de un banco podría ser:

v=spf1 include:_spf.bancosantander.es ip4:195.76.0.0/18 -all

Cuando un servidor de correo recibe un mensaje que dice venir de @bancosantander.es, busca ese registro en el DNS y comprueba si la dirección IP del servidor emisor aparece en él. El resultado puede ser:

  • pass: el servidor está autorizado; el correo sigue adelante.
  • fail: el servidor no está autorizado; según la política, el correo puede rechazarse o ir a spam.
  • softfail (~all): el servidor no está en la lista pero el dominio pide tratar el mensaje con precaución, no rechazarlo.
  • neutral / none: el dominio no tiene política definida o no dice nada al respecto.

Qué protege SPF y qué no

  • Protege contra: el uso no autorizado del dominio en el campo técnico envelope (Return-Path), que es el que SMTP usa para gestionar rebotes.
  • No protege contra: la falsificación del header From visible en el cliente de correo. Un atacante puede tener SPF configurado correctamente en su propio dominio y aun así mostrar una dirección falsa en el campo "De:". Para eso es necesario DMARC.
  • No protege contra: el reenvío de correo. Cuando un servidor reenvía un mensaje, la IP que envía ya no coincide con el registro SPF original, lo que puede causar falsos fallos.

Limitaciones del reenvío de correo

El reenvío es el talón de Aquiles de SPF. Si un usuario reenvía automáticamente su correo del trabajo a Gmail, el servidor de Gmail ve que el mensaje llega desde el servidor de reenvío, no desde el servidor original del dominio. Ese servidor de reenvío no suele estar en el registro SPF, así que SPF puede fallar aunque el correo original fuera legítimo. DKIM, al verificar una firma en el contenido, resiste mejor el reenvío.

Por qué SPF no es suficiente solo

SPF valida el sobre del mensaje (el Return-Path), no lo que el usuario ve. Un estafador puede registrar el dominio correos-aviso.com, publicar un registro SPF para ese dominio y enviar correos que superen la verificación SPF, pero que en el header From muestren @correos.es. DMARC es quien detecta esa discordancia y actúa en consecuencia. Por eso SPF, DKIM y DMARC deben usarse conjuntamente.

SPF para usuarios y para administradores

Como usuario final no necesita configurar nada: su proveedor de correo (Gmail, Outlook, Yahoo) comprueba SPF automáticamente en todos los mensajes entrantes. Como administrador de un dominio, publicar un registro SPF es una medida básica que protege su marca e impide que terceros envíen correo en su nombre sin autorización.

Compruebe un enlace sospechoso

Pegue una URL, mensaje o código QR en 2check.click para analizar el destino, las redirecciones y otras señales de phishing.

Abrir el analizador de 2check.click

Preguntas frecuentes

¿Un resultado SPF pass significa que el correo es seguro?

No necesariamente. SPF solo confirma que el servidor emisor está autorizado para ese dominio. Un atacante puede tener un dominio propio con SPF correcto y usarlo para phishing. SPF es una capa de protección, no una garantía de contenido legítimo.

¿Cómo puedo ver si un correo pasó SPF?

Abra las cabeceras completas del mensaje y busque la línea Authentication-Results. Verá algo como spf=pass o spf=fail junto al dominio verificado. En Gmail, acceda a "Mostrar original" para ver todas las cabeceras.

¿Qué ocurre cuando SPF falla?

Depende de la política DMARC del dominio. Si existe una política estricta (p=reject), el correo se rechaza. Si la política es p=quarantine, va a spam. Si no hay DMARC o la política es p=none, el correo puede entregarse de todas formas a pesar del fallo SPF.

¿El registro SPF tiene un límite de consultas DNS?

Sí. SPF permite un máximo de diez consultas DNS adicionales (mecanismos include y a combinados). Superarlo puede provocar errores de tipo permerror que hacen fallar la validación, por lo que los registros SPF complejos requieren mantenimiento cuidadoso.

¿SPF protege el correo que mi empresa envía a clientes?

Sí. Cuando su dominio tiene SPF publicado, los servidores receptores de sus clientes pueden verificar que el correo viene realmente de sus servidores. Esto reduce la probabilidad de que sus mensajes legítimos sean filtrados y dificulta que impostores usen su dominio.

Guías populares

¿Recibió un enlace sospechoso?

Analícelo ahora →

Artículos relacionados