SPF (Sender Policy Framework) es la defensa más básica contra el spoofing de emails. Cuando lo configuras correctamente, le dices a los servidores de correo: «Solo estas IPs pueden enviar emails con mi dominio». Suena simple, pero en la práctica, pequeños errores rompen toda la validación y tus campañas terminan en la carpeta de spam.
El problema es invisibilidad: estos errores no generan alertas claras. Tu registro SPF existe, parece estar «correcto», pero falla de formas que ni Gmail ni Yahoo explican en sus logs. Si tus emails desaparecen sin motivo, es hora de revisar estos errores clásicos.
¿Qué es SPF y por qué es crítico?
SPF es un registro de texto (TXT) que publicas en el DNS de tu dominio. Dice: «Estos servidores tienen permiso para enviar emails en nombre de mi dominio». Sin SPF, cualquiera puede suplantar tu dominio.
Pero aquí está lo importante: SPF no garantiza que tus emails lleguen a Inbox. Es solo una parte del triángulo de autenticación. Gmail, Yahoo y otros filtros lo usan como indicador: si SPF falla, tu confianza baja y subes puntos hacia spam. Desde febrero de 2024, Google y Yahoo exigen SPF válido (junto con DKIM) como requisito mínimo para volúmenes altos.
Error #1: Superar el límite de 10 lookups DNS
Este es el error más silencioso y destructivo: SPF tiene un límite técnico de máximo 10 búsquedas DNS por validación. Si tu registro SPF genera más de 10 lookups, falla todo. El servidor rechaza el email con un PermError, que se traduce en no autenticado, ergo: spam score alto.
Cada uno de estos elementos suma una búsqueda:
include:— el más caro, porque cada include genera lookups internos adicionalesredirect=— 1 lookup, más internos recursivosa,mx,ptr— 1 cada uno si usan CIDR- Mecanismos con cualificadores (
-,~) — aún cuentan
Un registro con 3–4 includes + 1 redirect + varios mecanismos alcanza fácilmente 12–15 lookups. Resultado: PermError silencioso.
Solución: Consolida servicios. En lugar de 4 ESP diferentes, elige uno y agrega los otros como includes dentro de su panel (muchos permiten alias). O usa redirect= para apuntar a un subdominio con los includes condensados.
Error #2: Múltiples registros SPF
Aquí viene una sorpresa: no puedes tener dos registros SPF en el mismo dominio. Si publicas múltiples registros TXT que comienzan con v=spf1, solo el primero que el servidor DNS devuelva será procesado. Los demás se ignoran completamente.
Esto ocurre cuando:
- Migras a un nuevo ESP y no borras el registro del anterior
- Tu proveedor DNS o hoster agrega automáticamente un registro genérico
- Alguien en tu equipo crea un segundo registro sin darse cuenta
La regla es simple: un dominio = un registro SPF. Verifica con:
dig ejemplo.es TXTBusca todas las líneas que comienzan con v=spf1. Si ves más de una, borra las antiguas excepto la que uses actualmente.
Error #3: Includes rotos o desactualizados
Agregas include:mailrelay.net porque usas Mailrelay, pero la infraestructura de Mailrelay cambia. Si su dominio desaparece o no resuelve, tu include se vuelve inválido. Esto suma un lookup que falla y causa un TemporaryError, que algunos filtros tratan como «no confiable», penalizando tu spam score.
Cómo prevenirlo:
- Revisa la documentación oficial de cada servicio (Brevo, Mailrelay, Acumbamail, etc.) para el include correcto
- Prueba tu registro SPF cada vez que cambies de proveedor
- Usa el test gratuito de check.live-direct-marketing.online para verificar que tus registros DNS resuelven correctamente
Error #4: Sintaxis SPF incorrecta
SPF es sensible a la sintaxis. Los errores comunes:
- Espacios extras:
include: sendgrid.net(con espacio) falla - Falta de
~allo-all: Sin un mecanismo final, el registro es ambiguo. Usa-all(hard fail) o~all(soft fail para testing) - Mayúsculas o caracteres no soportados en mecanismos
Error #5: SPF solo no es suficiente
La verdad incómoda: SPF únicamente verifica que la IP tiene permiso de enviar desde tu dominio. No protege contra phishing ni contra modificaciones del encabezado From.
Alguien puede cambiar el From a un dominio autorizado por SPF con una IP válida, y el email pasará la validación aunque el contenido sea malicioso. Gmail, Yahoo y otros lo detectan porque analizan más allá de SPF: usan DKIM (firma digital del email) y DMARC (política de qué hacer si falla DKIM o SPF).
Si solo tienes SPF:
- Gmail te acepta, pero baja tu score de reputación
- Yahoo te clasifica como «menos confiable»
- Filtros corporativos (Proofpoint, Mimecast) tienden a rechazarte
La solución: configura DKIM (firma en el header, cada ESP ofrece esto) y publica un registro DMARC básico (v=DMARC1; p=none) para empezar. Después escala a p=quarantine y p=reject cuando todo esté validado.
¿Cuántos emails pierdo si tengo un error SPF?
¿Cómo sé si mi SPF tiene PermError o TemporaryError?
dig ejemplo.es TXT desde terminal o validadores online. Nuestro test también lo muestra: envía un email de prueba a check.live-direct-marketing.online y verás el resultado SPF en segundos.