Asegurar la entrega de correo y evitar el spoofing con SPF

Protégete frente a correos electrónicos falsificados y asegúrate de que los mensajes no se marquen como spam.

El marco de políticas del remitente (SPF) es un método de autenticación de correo electrónico que especifica los servidores de correo que pueden enviar mensajes desde tu dominio. SPF ayuda a proteger tu dominio frente al spoofing y permite que tus mensajes se entreguen correctamente. Los servidores de correo que reciben mensajes de tu dominio utilizan SPF para verificar que los mensajes que parecen de tu dominio lo son realmente.

  • SPF ayuda a evitar el spoofing: los spammers pueden falsificar tu dominio u organización para enviar mensajes falsos que parezcan proceder de tu empresa. Esto se conoce como spoofing. Los mensajes falsificados se pueden utilizar con fines malintencionados, como divulgar información falsa, enviar software malicioso o engañar a los usuarios para que proporcionen información sensible. SPF ayuda a los servidores que reciben los mensajes a verificar que el correo enviado desde tu dominio procede realmente de tu organización y que se ha enviado desde un servidor de correo autorizado por ti.
  • SPF ayuda a entregar mensajes en las bandejas de entrada de los destinatarios: evita que los mensajes de tu dominio se marquen como spam. Si tu dominio no utiliza SPF, los servidores de correo que reciben los mensajes no podrán verificar si los mensajes que parecen proceder de tu dominio son auténticos. Es posible que los servidores que reciben los mensajes envíen mensajes válidos a las carpetas de spam de los destinatarios o incluso que los rechacen.

Nota: Si compraste el dominio a un partner de Google cuando te registraste en G Suite, es posible que no tengas que configurar los registros SPF. Comprueba si SPF aparece en la Configuración gestionada por el host de tu dominio.

Prácticas recomendadas para autenticar correos electrónicos

Te recomendamos que tengas activados siempre estos métodos de autenticación en tu dominio:

  • SPF ayuda a los servidores a verificar que los mensajes que parecen proceder de un dominio concreto se envían desde servidores autorizados por el propietario de ese dominio.
  • DKIM añade una firma digital a cada mensaje, lo que permite a los servidores de recepción verificar que los mensajes no son falsos ni se han editado durante el envío.
  • DMARC autentica los mensajes con SPF y DKIM, y gestiona los mensajes recibidos sospechosos.
Consulta instrucciones detalladas en el artículo Evitar el spoofing, el phishing y el spam.

Antes de empezar

Lee la información de esta sección antes de habilitar SPF en tu organización.

Buscar el host de un dominio

Habilita SPF en la consola de administración de tu proveedor de dominio, no en la consola de administración de Google. Si no estás seguro de cuál es tu proveedor de dominio, sigue estos pasos.

Si no encuentras los registros de facturación, puedes buscar el host de tu dominio en Internet. La Corporación para la Asignación de Nombres y Números en Internet (ICANN) es una organización sin ánimo de lucro que se dedica a recoger información sobre dominios. Puedes usar la herramienta de búsqueda de ICANN para encontrar el host de tu dominio.

  1. Ve a lookup.icann.org.
  2. Escribe el nombre de tu dominio en el campo de búsqueda y haz clic en Lookup (Buscar).
  3. Cuando aparezca la página de resultados, desplázate hacia abajo hasta Registrar Information (Información del registrador). El registrador suele ser el host de tu dominio.

Distribuidores de dominios

Algunos dominios los alojan distribuidores mediante un registrador diferente. Si el campo del registrador aparece en blanco o si hay un nombre, pero no puedes iniciar sesión con él, puede que sea porque el host de tu dominio es un distribuidor.

  1. En la página de resultados de la búsqueda de ICANN, desplázate hacia abajo, hasta Raw Registry RDAP Response (Respuesta RDAP de un registro sin procesar).
  2. Busca la entrada Reseller (Distribuidor).
  3. Accede al sitio web del distribuidor.
  4. Inicia sesión con las credenciales que usaste al comprar o transferir tu dominio.
    Si no recuerdas la contraseña, ponte en contacto con el equipo de asistencia del distribuidor.

Si no aparece ningún distribuidor, ponte en contacto con el equipo de asistencia del registrador que se indica para que te ayude.

Proveedores de correo electrónico de terceros y SPF

Es posible que los mensajes válidos enviados por proveedores de correo electrónico de terceros desde tu dominio no superen las comprobaciones de SPF. Si esto ocurre, es posible que el servidor que recibe el mensaje lo marque como spam.

Para asegurarte de que los mensajes enviados por proveedores externos pasan las comprobaciones de SPF, haz lo siguiente:

  • Verifica los registros SPF de tu proveedor.
  • Pide al proveedor que enrute mensajes a través de tu dominio o red.

Registros TXT de DNS

Para activar SPF en tu dominio, actualiza los registros TXT de DNS de SPF de tu dominio. Hazlo en la consola de administración del proveedor de tu dominio, no en la consola de administración de Google. 

Para actualizar un registro TXT de DNS, introduce el texto que representa a tu registro SPF en la consola de administración del proveedor de tu dominio. Para obtener instrucciones detalladas, consulta el artículo Habilitar SPF en tu dominio.

Paso 1: Crear un registro SPF

Los registros SPF identifican los servidores de correo que pueden enviar mensajes desde tu dominio. Un dominio solo puede tener un registro SPF. Sin embargo, un registro SPF puede tener varios servidores y dominios que pueden enviar mensajes desde tu dominio.

Si todo el correo electrónico de tu organización se envía desde G Suite, utiliza este registro SPF:

v=spf1 include:_spf.google.com ~all

Si también envías correos desde otros servidores, o si utilizas un proveedor de correo de terceros, crea un registro SPF personalizado. Consulta las secciones Información del servidor para el registro SPF y Formato de registro SPF para crear el registro.

Información del servidor para el registro SPF
Para definir un registro SPF en tu dominio, necesitas algunos datos sobre tus servidores de correo.

Direcciones IP de todos tus servidores de correo

Recopila las direcciones IP de todos los servidores que envían correo desde tu organización. Estos servidores pueden incluir:

  • Servidores web
  • Servidores de correo locales, como Microsoft Exchange
  • Servidores de correo que utiliza tu proveedor de servicios
  • Cualquier proveedor o servicio de terceros que envíe correos electrónicos desde tu dominio

Dominios que envíen correos electrónicos desde tu organización

Identifica todos los dominios que controla tu organización, incluidos los que no utilices para enviar correos electrónicos. Los spammers pueden intentar falsificar los dominios que no utilizas para enviar correo, especialmente después de proteger con SPF aquellos que sí usas.

Formato de registro SPF

Los registros SPF son una línea de texto sin formato compuesta por una lista de etiquetas y valores. Las etiquetas se denominan mecanismos. Hay otro conjunto de etiquetas opcionales llamadas calificadores que definen la acción que se llevará a cabo cuando haya una coincidencia de mecanismo.

A continuación, te mostramos algunos ejemplos de registros SPF para configuraciones habituales. Sustituye estas direcciones IP y estos dominios de ejemplo por tus direcciones y nombres de dominio propios.

Permitir cualquier dirección IP entre 192.168.0.1 y 192.168.255.255:

v=spf1 ip4:192.168.0.1/16 -all

Si tienes un dominio que no envía correo, utiliza este registro SPF para evitar que se falsifique:

v=spf1 -all

Mecanismos de registro SPF

Las etiquetas utilizadas para crear un registro SPF se llaman mecanismos.

Importante: Un registro SPF puede tener hasta diez peticiones. Por lo general, cada mecanismo de un registro SPF genera una petición. Si tu registro SPF tiene más de diez peticiones, los mensajes de tu dominio no superarán la comprobación de autenticación de SPF del servidor que recibe el mensaje. Es posible que estos mensajes acaben marcados como spam. Consulta información detallada en el artículo Comprobar las peticiones de DNS del registro SPF.

A continuación, te ofrecemos una lista de los mecanismos que puedes utilizar en tu registro SPF. Los mecanismos se comprueban por orden de aparición en el registro SPF. Si hay una coincidencia de mecanismos y no se utiliza ningún calificador, se aprobará de forma predeterminada.

Nota: Los valores de esta tabla son ejemplos. Debes sustituir los valores de ejemplo por las direcciones IP y los dominios de tus propios servidores de correo y organizaciones.

Mecanismo Descripción y valores permitidos
v Versión SPF. Debe ser spf1. Esta etiqueta es obligatoria y debe ser la primera etiqueta del registro.
ip4 Especifica un servidor de correo o varios por cada dirección o intervalo de direcciones IPv4. El valor debe ser una dirección IPv4 en formato estándar, por ejemplo:
ip4:192.168.0.1
ip6 Especifica un servidor de correo o varios por cada dirección o intervalo de direcciones IPv6. El valor debe ser una dirección IPv6 en formato estándar, por ejemplo:
ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF
a Especifica un servidor de correo por nombre de dominio, por ejemplo:
a:solarmora.com
mx Especifica un servidor de correo por registro MX. Por ejemplo:
mx:ASPMX.L.GOOGLE.COM
include Especifica un servidor de correo de terceros por dominio. Se trata de un dominio diferente al tuyo, por ejemplo:
include:sparkpostmail.com
all Si se utiliza, suele ser la última etiqueta del registro. Te recomendamos que utilices este mecanismo con un calificador de superar con reserva: ~all

Calificadores de registro SPF

Las etiquetas opcionales llamadas calificadores definen la acción que se debe realizar cuando hay una coincidencia con un mecanismo en el registro SPF.

Los mecanismos se comprueban en el orden en que aparecen en el registro SPF. Si no utilizas calificadores, la acción predeterminada es Superar. La acción predeterminada es Neutral cuando no existe ningún mecanismo.

A continuación, se incluye una lista de los calificadores que se pueden utilizar en un registro SPF. Un calificador es un prefijo opcional que se puede añadir a cualquier mecanismo del registro. Los calificadores especifican la acción que se debe realizar si se produce una coincidencia con un valor de mecanismo.

Te recomendamos que utilices ~all en tu registro SPF.

Calificador Descripción
+ Superar. El servidor con una dirección IP o un dominio coincidente puede enviar mensajes desde el dominio. Si no se usa ningún calificador, este es el valor predeterminado.
- No superar. El servidor con la dirección IP o el dominio coincidente no puede enviar mensajes desde el dominio. El registro SPF no incluye la dirección IP o el dominio del servidor de envío.
~ Superar con reservas. Es posible que el servidor con la dirección IP o el dominio coincidente pueda enviar mensajes desde el dominio. Por lo general, el servidor que recibe los mensajes los acepta y los marca como sospechosos.
? Neutral. El registro SPF no indica de forma explícita si la dirección IP o el dominio pueden enviar mensajes desde el dominio. Los registros SPF con resultados neutrales suelen incluir ?all.

Paso 2. Habilitar SPF en tu dominio

Habilita SPF en tu proveedor de dominio.

  • Los nombres de los campos del paso 4 pueden ser diferentes en función del proveedor. Los nombres de los campos del registro TXT de DNS pueden variar de un proveedor a otro.
  • Si tu organización o dominio envía todo el correo electrónico desde G Suite, utiliza el valor del registro SPF que se muestra en el paso 4. Si has creado un registro SPF personalizado, introduce ese valor.

Sigue estos pasos para actualizar el registro TXT de SPF en tu proveedor de dominio:

  1. Ten preparado el archivo de texto o la línea que representa a tu registro SPF.
  2. Inicia sesión en la consola de administración del host de tu dominio. Si no sabes con seguridad quién es el host de tu dominio, sigue los pasos que se indican en el artículo Buscar el host de un dominio.
  3.  Ve a la página en la que actualizas los registros DNS.
  4. Añade un nuevo registro DNS para tus servidores de correo de G Suite:
    Nombre/Host/Alias Tiempo de vida (TTL, Time to Live) Record Type Priority Valor/Respuesta/Destino
    @
    (o dejar en blanco)
    3600 SPF 1 v=spf1 include:_spf.google.com ~all
  5. Guarda los cambios. El SPF puede tardar hasta 48 horas en empezar a proteger tu dominio contra el spoofing y asegurar la entrega del correo.
  6. (Opcional) Repite estos pasos con todos los dominios que gestiones en tu organización. 

Añadir un servidor de correo o un dominio a tus registros SPF

Actualiza tu registro SPF en el proveedor de tu dominio cada vez que hagas una de las acciones siguientes:

  • Añadir servidores de correo nuevos a tu organización
  • Empezar a utilizar nuevos remitentes de terceros

Si no actualizas tu registro SPF con la información del nuevo servidor o remitente, es posible que los mensajes enviados desde servidores o remitentes nuevos se marquen como spam.

Primero, actualiza tu registro SPF con los servidores o dominios nuevos siguiendo las instrucciones del Paso 1: Crear un registro SPF. A continuación, actualiza el registro SPF en el proveedor de tu dominio siguiendo las instrucciones del Paso 2. Habilitar SPF en tu dominio.

Solucionar problemas de registros SPF

Comprobar las peticiones de DNS de tu registro SPF

Un registro SPF está limitado a diez peticiones, por lo que no puede incluir más de diez referencias a otros dominios. Si tu registro SPF tiene más de diez peticiones, los mensajes de tu dominio no superarán la comprobación SPF del servidor que recibe el mensaje. Es posible que los mensajes se marquen como spam.

Cada instancia de estas etiquetas en el registro SPF genera una petición: a, mx, include, ptr. Las peticiones anidadas cuentan. De esta forma, si un dominio al que se hace referencia en una etiqueta include tiene referencias de dominio en su registro SPF, dichos dominios se tendrán en cuenta para calcular el límite.

Si los mensajes se siguen marcando como spam, comprueba el número de peticiones de tu registro SPF con la función Check MX de la caja de herramientas de G Suite.

Para reducir el número de peticiones de tu registro SPF, sigue estas recomendaciones:

  • No uses etiquetas include a menos que sea necesario.
  • Si es posible, utiliza la etiqueta ip4 o ip6 en lugar de include.
  • Elimina las etiquetas duplicadas o las que hagan referencia al mismo dominio.

Incluye solo los dominios que envían mensajes de forma activa desde tu organización. Quita todas las declaraciones include de partners que ya no envíen correo desde tu dominio.

Google y G Suite, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?