Asegurar la entrega de correo y evitar el spoofing (SPF)

Protégete frente a correos electrónicos falsificados y asegúrate de que los mensajes no se marquen como spam.

El marco de políticas del remitente (SPF) es un método de autenticación de correo electrónico que especifica los servidores de correo que pueden enviar mensajes desde tu dominio. SPF ayuda a proteger tu dominio frente al spoofing y permite que tus mensajes se entreguen correctamente. Los servidores de correo que reciben mensajes de tu dominio utilizan SPF para verificar que los mensajes que parecen de tu dominio lo son realmente.

  • SPF ayuda a evitar el spoofing: los spammers pueden falsificar tu dominio u organización para enviar mensajes falsos que parezcan proceder de tu empresa. Esto se conoce como spoofing. Los mensajes falsificados se pueden utilizar con fines malintencionados, como divulgar información falsa, enviar software malicioso o engañar a los usuarios para que proporcionen información sensible. SPF ayuda a los servidores que reciben los mensajes a verificar que el correo enviado desde tu dominio procede realmente de tu organización y que se ha enviado desde un servidor de correo autorizado por ti.
  • SPF ayuda a entregar mensajes en las bandejas de entrada de los destinatarios, lo que impide que los mensajes de tu dominio se marquen como spam. Si tu dominio no utiliza SPF, los servidores de correo que reciben los mensajes no podrán verificar si los mensajes que parecen proceder de tu dominio son auténticos. Es posible que los servidores que reciben los mensajes envíen mensajes válidos a las carpetas de spam de los destinatarios o incluso que los rechacen.

Nota: Si compraste el dominio a un partner de Google cuando te registraste en G Suite, es posible que no tengas que configurar los registros SPF. Comprueba si SPF aparece en la Configuración gestionada por el host de tu dominio.

Prácticas recomendadas para autenticar correos electrónicos

Te recomendamos que tengas activados siempre estos métodos de autenticación en tu dominio:

  • SPF ayuda a los servidores a verificar que los mensajes que parecen proceder de un dominio concreto se envían desde servidores autorizados por el propietario de ese dominio.
  • DKIM añade una firma digital a cada mensaje, lo que permite a los servidores de recepción verificar que los mensajes no son falsos ni se han editado durante el envío.
  • DMARC autentica los mensajes con SPF y DKIM, y gestiona los mensajes recibidos sospechosos.
Consulta instrucciones detalladas en el artículo Evitar el spoofing, el phishing y el spam.

Antes de empezar

Lee la información de esta sección antes de habilitar SPF en tu organización.

Buscar el proveedor de un dominio
Habilita SPF en la consola de administración de tu proveedor de dominio, no en la consola de administración de Google. Si no sabes con certeza cuál es tu proveedor de dominio, sigue estos pasos.

Si no encuentras los registros de facturación, puedes buscar el host de tu dominio en Internet. La Corporación para la Asignación de Nombres y Números en Internet (ICANN) es una organización sin ánimo de lucro que se dedica a recoger información sobre dominios. Puedes usar la herramienta de búsqueda de ICANN para encontrar el host de tu dominio.

  1. Ve a lookup.icann.org.
  2. Escribe el nombre de tu dominio en el campo de búsqueda y haz clic en Lookup (Buscar).
  3. Cuando aparezca la página de resultados, desplázate hacia abajo hasta Registrar Information (Información del registrador). El registrador suele ser el host de tu dominio.

Distribuidores de dominios

Algunos dominios los alojan distribuidores mediante un registrador diferente. Si el campo del registrador aparece en blanco o si hay un nombre, pero no puedes iniciar sesión con él, puede que sea porque el host de tu dominio es un distribuidor.

  1. En la página de resultados de la búsqueda de ICANN, desplázate hacia abajo, hasta Raw Registry RDAP Response (Respuesta RDAP de un registro sin procesar).
  2. Busca la entrada Reseller (Distribuidor).
  3. Accede al sitio web del distribuidor.
  4. Inicia sesión con las credenciales que usaste al comprar o transferir tu dominio.
    Si no recuerdas la contraseña, ponte en contacto con el equipo de asistencia del distribuidor.

Si no aparece ningún distribuidor, ponte en contacto con el equipo de asistencia del registrador que se indica para que te ayude.

Proveedores externos de correo electrónico

Es posible que los mensajes válidos enviados por proveedores externos de correo electrónico desde tu dominio no superen las comprobaciones de SPF. Si esto ocurre, es posible que el servidor que recibe el mensaje lo marque como spam.

Para asegurarte de que los mensajes enviados por proveedores externos pasan las comprobaciones de SPF, haz lo siguiente:

  • Verifica los registros SPF de tu proveedor.
  • Configura el relay SMTP para enrutar mensajes a través de tu dominio o red.
Registro TXT de SPF

Para habilitar SPF en tu dominio, actualiza el registro TXT para SPF en la consola de administración del proveedor de tu dominio. 

Los registros TXT son un tipo de registros de sistema de nombres de dominio (DNS) que contienen información de texto para servidores y otras fuentes externas a tu dominio. Más información sobre los registros TXT

Consulta instrucciones detalladas en la sección Habilita SPF en tu dominio.

(Opcional) Comprobar si tu registro TXT actual está preparado para SPF

Es posible que ya tengas un registro TXT configurado para SPF con el proveedor de tu dominio. Para comprobarlo, utiliza la función Check MX de la caja de herramientas de G Suite:

  1. Ve a la caja de herramientas de G Suite.
  2. Introduce el nombre de tu dominio.
  3. Haz clic en Realizar comprobaciones.
  4. Cuando finalice la prueba, haz clic en Intervalos de direcciones de SPF efectivos.
  5. Comprueba los resultados de SPF, en los que debe aparecer lo siguiente:
    • _spf.google.com
    • _netblocks.google.com seguido de varias direcciones IP
    • _netblocks2.google.com seguido de varias direcciones IP
    • _netblocks3.google.com seguido de varias direcciones IP

Paso 1: Crea el registro TXT para SPF

Un registro TXT para SPF define los servidores de correo que pueden enviar correo electrónico desde tu dominio.

Cada dominio puede tener únicamente un registro TXT para SPF. Sin embargo, el registro TXT de un dominio puede especificar varios servidores y dominios con permiso para enviar correo electrónico desde el dominio.

Contenido del registro TXT

Si en tu organización todo el correo electrónico se envía con G Suite, utiliza esta línea en tu registro TXT:

v=spf1 include:_spf.google.com ~all

Si envías correo de una o varias de las formas descritas a continuación además de con G Suite, debes crear un registro TXT personalizado para SPF:

  • Envías correo desde otros servidores.
  • Utilizas un proveedor externo de correos electrónicos.
  • Tu sitio web utiliza un servicio que genera correos electrónicos automáticos, como un formulario de contacto.

Crea tu registro TXT con los datos especificados en las secciones Información del servidor para tu registro TXT y Formato del registro TXT.

Información del servidor para tu registro TXT
El registro TXT para SPF debe incluir información sobre los servidores de correo.

Direcciones IP de todos tus servidores de correo

Identifica las direcciones IP de todos los servidores que envían correo de tu organización. Estos servidores pueden incluir lo siguiente:

  • Servidores web
  • Servidores de correo locales, como Microsoft Exchange
  • Servidores de correo que utiliza tu proveedor de servicios
  • Cualquier proveedor o servicio externo que envíe correos electrónicos desde tu dominio

Todos los dominios controlados por tu organización

Identifica todos los dominios que controla tu organización, incluidos los que no envían correos electrónicos. Los spammers pueden intentar falsificar dominios que no envían correo, especialmente después de que protejas con SPF los que sí lo envían.

Formato del registro TXT

Un registro TXT consiste en una lista con etiquetas y valores en una línea de texto sin formato. Las etiquetas se denominan mecanismos. Hay otras etiquetas opcionales llamadas calificadores que definen la acción que se llevará a cabo cuando haya una coincidencia de mecanismo.

A continuación hay ejemplos de registros TXT para SPF. Sustituye las direcciones IP y los dominios de ejemplo por tus direcciones y nombres de dominio.

v=spf1 ip4:192.168.0.1/16 -all

Este registro TXT autoriza a cualquier dirección IP entre 192.168.0.1 y 192.168.255.255 a enviar correo electrónico de tu dominio.

v=spf1 -all

Este registro TXT evita el spoofing en tus dominios que no envían correo.

Mecanismos de los registros TXT para SPF

Las etiquetas que se utilizan para crear un registro TXT para SPF se denominan mecanismos.

Importante: Los registros TXT para SPF pueden tener hasta 10 peticiones. Estos mecanismos del registro TXT generan una petición que puede ser a,mx o include. Si tu registro TXT tiene más de diez peticiones, los mensajes de tu dominio no superarán la comprobación de autenticación de SPF del servidor que reciba el mensaje. Es posible que estos mensajes se acaben marcando como spam. Consulta más información en la sección Comprobar las peticiones de DNS de tu registro SPF.

A continuación hay una lista con mecanismos que puedes utilizar en tu registro TXT. Los mecanismos se comprueban por orden de aparición en el registro TXT. Si hay una coincidencia de mecanismos y no se utiliza ningún calificador, se aprobará de forma predeterminada.

Nota: Las direcciones y los dominios de esta tabla son ejemplos. Sustituye los valores de ejemplo por las direcciones IP y los dominios de tus propios servidores de correo y organizaciones.

Mecanismo Descripción y valores permitidos
v Versión SPF. Debe ser spf1. Esta etiqueta es obligatoria y debe aparecer en primer lugar en el registro.
ip4 Especifica un servidor de correo o varios por cada dirección o intervalo de direcciones IPv4. El valor debe ser una dirección IPv4 en formato estándar; por ejemplo:
ip4:192.168.0.1
ip6 Especifica un servidor de correo o varios por cada dirección o intervalo de direcciones IPv6. El valor debe ser una dirección IPv6 en formato estándar; por ejemplo:
ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF
a Especifica un servidor de correo por nombre de dominio, por ejemplo:
a:solarmora.com
mx

Especifica uno o varios servidores de correo haciendo referencia a un registro MX de dominio. Por ejemplo:
mx:mail.solarmora.com

Es opcional especificar un dominio con este mecanismo. Si no especificas ninguno, el predeterminado son los registros MX del dominio en el que se usa el registro SPF.

include

Especifica los servidores de correo de un dominio diferente al tuyo; por ejemplo:
include:sparkpostmail.com

Usa este mecanismo para permitir remitentes externos de correo.

all Si se utiliza, debe ser la última etiqueta del registro. Las comprobaciones de SPF ignoran los mecanismos incluidos después de all. Te recomendamos que utilices este mecanismo con un calificador de superar con reserva: ~all

Calificadores de los registros TXT para SPF

Las etiquetas opcionales llamadas calificadores definen qué acción se llevará a cabo cuando se detecte una coincidencia con un mecanismo del registro TXT para SPF.

Los mecanismos se comprueban por orden de aparición en el registro TXT. Si no utilizas calificadores, el SPF se aprobará de forma predeterminada. La acción predeterminada es Neutral cuando no existe ningún mecanismo.

A continuación hay una lista con calificadores que se pueden utilizar en un registro TXT. Un calificador es un prefijo opcional que se puede añadir a cualquier mecanismo del registro. Los calificadores especifican la acción que se debe realizar si se produce una coincidencia con un valor de mecanismo.

Te recomendamos que utilices ~all en tu registro TXT para SPF.

Calificador Descripción
+ Superar. El servidor con una dirección IP o un dominio coincidente puede enviar mensajes desde el dominio. Si no se usa ningún calificador, este es el valor predeterminado.
- No superar. El servidor con la dirección IP o el dominio coincidente no puede enviar mensajes desde el dominio. El registro SPF no incluye la dirección IP ni el dominio del servidor de envío.
~ Superar con reservas. Es posible que el servidor con la dirección IP o el dominio coincidente pueda enviar mensajes desde el dominio. Por lo general, el servidor que recibe los mensajes los acepta y los marca como sospechosos.
? Neutral. El registro SPF no indica de forma explícita si la dirección IP o el dominio pueden enviar mensajes desde el dominio. Los registros SPF con este resultado suelen incluir ?all.

Paso 2: Habilita SPF en tu dominio

Si quieres habilitar SPF en el proveedor de tu dominio, añade un registro TXT de DNS para SPF.

  • Puede que los nombres de los campos indicados en el paso 4 de esta sección no sean los mismos que los que utiliza tu proveedor. Los nombres de los campos del registro TXT de DNS pueden variar ligeramente de un proveedor a otro.
  • Si tu organización o dominio envía todo el correo electrónico desde G Suite, utiliza el valor del registro TXT que se muestra en el paso 4. Si has creado otro registro TXT, introduce ese valor.

Para habilitar SPF, actualiza el registro TXT de DNS para SPF en el proveedor de tu dominio.

  1. Descarga el archivo de texto o la línea que define tu registro TXT.
  2. Inicia sesión en la consola de administración del host de tu dominio. Si no sabes con seguridad cuál es este host, sigue los pasos que se indican en la sección Buscar el proveedor de un dominio.
  3.  Busca la página donde se actualizan los registros TXT de tu dominio.
  4. Añade un nuevo registro TXT para tus servidores de correo de G Suite:
    Nombre/host/alias Tiempo de vida (TTL, time to live) Registro TXT de DNS que se va a actualizar Prioridad Valor/respuesta/destino
    @
    (o dejar en blanco)
    3600 SPF 1 v=spf1 include:_spf.google.com ~all
  5. Guarda los cambios. El SPF puede tardar hasta 48 horas en empezar a proteger tu dominio contra el spoofing y asegurar la entrega del correo.
  6. (Opcional) Repite estos pasos con todos los dominios que gestiones en tu organización. 

Añadir un servidor de correo o un dominio a tus registros SPF

Actualiza tu registro TXT en el proveedor de tu dominio cada vez que hagas una de las acciones siguientes:

  • Añadir servidores de correo a tu organización
  • Empezar a utilizar nuevos remitentes externos

Si no actualizas tu registro TXT con la información del nuevo servidor o remitente, es posible que los mensajes enviados desde servidores o remitentes nuevos se marquen como spam.

Primero, actualiza tu registro TXT para incluir servidores o dominios nuevos siguiendo las instrucciones del apartado Paso 1: Crea el registro TXT para SPF. A continuación, actualiza el registro SPF en el proveedor de tu dominio siguiendo las instrucciones del Paso 2: Habilitar SPF en tu dominio.

Solucionar problemas de registros SPF

Si los mensajes enviados desde tu dominio todavía se marcan como spam aun cuando están habilitadas las comprobaciones SPF, prueba estas recomendaciones para solucionar problemas.

Verificar que los mensajes superen las comprobaciones SPF

Para verificar que tu registro SPF funciona correctamente y que los mensajes de tu dominio superan las comprobaciones SPF, revisa un mensaje que se haya enviado desde tu dominio.
Pide a alguien que haya recibido un mensaje de tu dominio que lo abra y vea las cabeceras completas del correo electrónico. A continuación, comprueba la cabecera del mensaje para ver los resultados de la comprobación. Si el encabezado muestra que no se ha superado la comprobación SPF, revisa el registro SPF para buscar errores. Asegúrate de que el registro incluye referencias a todos los servidores y dominios que envían correo desde tu organización.
En primer lugar, consulta el Paso 1: Crea el registro TXT para SPF y haz los cambios necesarios en el registro. A continuación, actualiza el registro en el host de tu dominio siguiendo las instrucciones del Paso 2: Habilita SPF en tu dominio.
Comprobar las peticiones de DNS del registro TXT

Los registros TXT para SPF tienen un límite de 10 peticiones. Por lo tanto, tu registro TXT para SPF no puede incluir más de 10 referencias a otros dominios. Si tu registro TXT tiene más peticiones, los mensajes de tu dominio no superarán la comprobación SPF del servidor que los reciba. Es posible que estos mensajes se marquen como spam.

Cada instancia de estas etiquetas en el registro TXT genera una petición: a, mx, include, ptr.

Las peticiones anidadas cuentan. De esta forma, si un dominio al que se hace referencia en una etiqueta include tiene referencias de dominio en su registro TXT para SPF, dichos dominios se tendrán en cuenta para calcular el límite.

Si los mensajes se siguen marcando como spam, comprueba el número de peticiones de tu registro TXT con la función Check MX de la caja de herramientas de G Suite.

Para reducir el número de peticiones de tu registro TXT, sigue estas recomendaciones:

  • No uses etiquetas include a menos que sea necesario.
  • Si es posible, utiliza la etiqueta ip4 o ip6 y no include.
  • Quita las etiquetas duplicadas o las que hacen referencia al mismo dominio.

Incluye solo los dominios que envían mensajes de forma activa desde tu organización. Quita todas las declaraciones include de partners que ya no envían correo desde tu dominio.

Google y Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.