Asegurar la entrega de correo y evitar el spoofing (SPF)

Protégete frente a correos electrónicos falsificados y asegúrate de que los mensajes no se marquen como spam.

El marco de políticas del remitente (SPF) es un método de autenticación de correo electrónico que especifica los servidores de correo que pueden enviar mensajes desde tu dominio. SPF ayuda a proteger tu dominio frente al spoofing y permite que tus mensajes se entreguen correctamente. Los servidores de correo que reciben mensajes de tu dominio utilizan SPF para verificar que los mensajes que parecen de tu dominio lo son realmente.

  • SPF ayuda a evitar el spoofing, que es una práctica mediante la cual los spammers falsifican tu dominio u organización para enviar mensajes falsos que parezcan proceder de tu empresa. Los mensajes falsificados se pueden utilizar con fines malintencionados, como divulgar información falsa, enviar software malicioso o engañar a los usuarios para que proporcionen información sensible. SPF ayuda a los servidores que reciben los mensajes a verificar que el correo enviado desde tu dominio procede realmente de tu organización y que se ha enviado desde un servidor de correo autorizado por ti.
  • SPF ayuda a entregar mensajes en las bandejas de entrada de los destinatarios, lo que impide que los mensajes de tu dominio se marquen como spam. Si tu dominio no utiliza SPF, los servidores de correo que reciben los mensajes no podrán verificar si los mensajes que parecen proceder de tu dominio son auténticos. Es posible que los servidores que reciben los mensajes envíen mensajes válidos a las carpetas de spam de los destinatarios o incluso que los rechacen.

Nota: Si compraste el dominio a un partner de Google cuando te registraste en G Suite, es posible que no tengas que configurar los registros SPF. Comprueba si SPF aparece en la Configuración gestionada por el host de tu dominio.

Prácticas recomendadas para autenticar correos electrónicos

Te recomendamos que tengas activados siempre estos métodos de autenticación en tu dominio:

  • SPF ayuda a los servidores a verificar que los mensajes que parecen proceder de un dominio concreto se envían desde servidores autorizados por el propietario de ese dominio.
  • DKIM añade una firma digital a cada mensaje, lo que permite a los servidores de recepción verificar que los mensajes no son falsos ni se han editado durante el envío.
  • DMARC autentica los mensajes con SPF y DKIM, y gestiona los mensajes recibidos sospechosos.
Consulta instrucciones detalladas en el artículo Evitar el spoofing, el phishing y el spam.

Antes de empezar

Lee la información de esta sección antes de habilitar SPF en tu organización.

Buscar el proveedor de un dominio
Habilita SPF en la consola de administración de tu proveedor de dominio, no en la consola de administración de Google. Si no sabes con certeza cuál es tu proveedor de dominio, sigue estos pasos.

Si no encuentras los registros de facturación, puedes buscar el host de tu dominio en Internet. La Corporación para la Asignación de Nombres y Números en Internet (ICANN) es una organización sin ánimo de lucro que se dedica a recoger información sobre dominios. Puedes usar la herramienta de búsqueda de ICANN para encontrar el host de tu dominio.

  1. Ve a lookup.icann.org.
  2. Escribe el nombre de tu dominio en el campo de búsqueda y haz clic en Lookup (Buscar).
  3. Cuando aparezca la página de resultados, desplázate hacia abajo hasta Registrar Information (Información del registrador). El registrador suele ser el host de tu dominio.

Distribuidores de dominios

Algunos dominios los alojan distribuidores mediante un registrador diferente. Si el campo del registrador aparece en blanco o si hay un nombre, pero no puedes iniciar sesión con él, puede que sea porque el host de tu dominio es un distribuidor.

  1. En la página de resultados de la búsqueda de ICANN, desplázate hacia abajo, hasta Raw Registry RDAP Response (Respuesta RDAP de un registro sin procesar).
  2. Busca la entrada Reseller (Distribuidor).
  3. Accede al sitio web del distribuidor.
  4. Inicia sesión con las credenciales que usaste al comprar o transferir tu dominio.
    Si no recuerdas la contraseña, ponte en contacto con el equipo de asistencia del distribuidor.

Si no aparece ningún distribuidor, ponte en contacto con el equipo de asistencia del registrador que se indica para que te ayude.

Proveedores externos de correo electrónico

Es posible que los mensajes válidos enviados por proveedores externos de correo electrónico desde tu dominio no superen las comprobaciones de SPF. Si esto ocurre, es posible que el servidor que recibe el mensaje lo marque como spam.

Para asegurarte de que los mensajes enviados por proveedores externos pasan las comprobaciones de SPF, haz lo siguiente:

  • Verifica los registros SPF de tu proveedor.
  • Configura el relay SMTP para enrutar mensajes a través de tu dominio o red.
Registros TXT de DNS

Para habilitar SPF en tu dominio, actualiza el registro TXT de DNS de SPF en la consola de administración del proveedor de tu dominio. Los registros TXT son un tipo de registros de sistema de nombres de dominio (DNS) que contienen información de texto para servidores y otras fuentes externas a tu dominio. Puedes añadir estos registros a su configuración. Más información sobre los registros TXT

Consulta instrucciones detalladas en el apartado Habilita SPF en tu dominio.

(Opcional) Comprobar tu registro SPF actual

Es posible que ya tengas un registro SPF configurado con el proveedor de tu dominio. Para comprobarlo, utiliza la aplicación Check MX, que encontrarás en la caja de herramientas de G Suite:
  1. Ve a la caja de herramientas de G Suite.
  2. Introduce el nombre de tu dominio.
  3. Haz clic en Realizar comprobaciones.
  4. Cuando finalice la prueba, haz clic en Intervalos de direcciones de SPF efectivos.
  5. Comprueba los resultados de SPF, en los que debe aparecer lo siguiente:
    • _spf.google.com
    • _netblocks.google.com seguido de varias direcciones IP
    • _netblocks2.google.com seguido de varias direcciones IP
    • _netblocks3.google.com seguido de varias direcciones IP

Paso 1: Crea tu registro SPF

Los registros SPF identifican los servidores de correo que pueden enviar mensajes desde tu dominio. Un dominio solo puede tener un registro SPF. Sin embargo, un registro SPF puede tener varios servidores y dominios que pueden enviar mensajes desde tu dominio.

Si todo el correo electrónico de tu organización se envía desde G Suite, utiliza este registro SPF:

v=spf1 include:_spf.google.com ~all

Crea un registro SPF personalizado si se cumple alguna de estas condiciones:

  • Además de G Suite, también envías correo desde otros servidores.
  • Utilizas un proveedor externo de correos electrónicos.
  • Tu sitio web utiliza un servicio que genera correos electrónicos automáticos, por ejemplo, un formulario de contacto.

Crea tu registro SPF con la información de las secciones Información del servidor para el registro SPF y Formato de registro SPF.

Información del servidor para el registro SPF
Para definir un registro SPF en tu dominio, necesitas algunos datos sobre tus servidores de correo.

Direcciones IP de todos tus servidores de correo

Obtén las direcciones IP de todos los servidores que envían correo desde tu organización. Estos servidores pueden incluir lo siguiente:

  • Servidores web
  • Servidores de correo locales, como Microsoft Exchange
  • Servidores de correo que utiliza tu proveedor de servicios
  • Cualquier proveedor o servicio externo que envíe correos electrónicos desde tu dominio

Todos los dominios controlados por tu organización

Identifica todos los dominios que controla tu organización, incluidos los que no envían correos electrónicos. Los spammers pueden intentar falsificar dominios que no envían correo, especialmente después de que protejas con SPF aquellos que sí lo envían.

Formato de registro SPF

Los registros SPF son una línea de texto sin formato compuesta por una lista con etiquetas y valores. Estas etiquetas se denominan mecanismos. Hay otras etiquetas opcionales llamadas calificadores que definen la acción que se llevará a cabo cuando haya una coincidencia de mecanismo.

A continuación, te mostramos algunos ejemplos de registros SPF empleados en configuraciones habituales. Sustituye estas direcciones IP y estos dominios de ejemplo por tus direcciones y nombres de dominio propios.

Permitir cualquier dirección IP entre 192.168.0.1 y 192.168.255.255:

v=spf1 ip4:192.168.0.1/16 -all

Si tienes un dominio que no envía correo, utiliza este registro SPF para evitar que se falsifique:

v=spf1 -all

Mecanismos de registro SPF

Las etiquetas utilizadas para crear un registro SPF se llaman mecanismos.

Importante: Un registro SPF puede tener hasta diez peticiones. Sus mecanismos generan una petición, que puede ser a, mx o include. Si tu registro SPF tiene más de diez peticiones, los mensajes de tu dominio no superarán la comprobación de autenticación de SPF del servidor que recibe el mensaje. Es posible que estos mensajes se acaben marcando como spam. Consulta información detallada en el apartado Comprobar las peticiones de DNS de tu registro SPF.

A continuación se incluye una lista con mecanismos que puedes utilizar en tu registro SPF. Los mecanismos se comprueban por orden de aparición en el registro SPF. Si hay una coincidencia de mecanismos y no se utiliza ningún calificador, se aprobará de forma predeterminada.

Nota: Las direcciones y los dominios de esta tabla son ejemplos. Sustituye los valores de ejemplo por las direcciones IP y los dominios de tus propios servidores de correo y organizaciones.

Mecanismo Descripción y valores permitidos
v Versión SPF. Debe ser spf1. Esta etiqueta es obligatoria y debe aparecer en primer lugar en el registro.
ip4 Especifica un servidor de correo o varios por cada dirección o intervalo de direcciones IPv4. El valor debe ser una dirección IPv4 en formato estándar; por ejemplo:
ip4:192.168.0.1
ip6 Especifica un servidor de correo o varios por cada dirección o intervalo de direcciones IPv6. El valor debe ser una dirección IPv6 en formato estándar; por ejemplo:
ip6:3FFE:0000:0000:0001:0200:F8FF:FE75:50DF
a Especifica un servidor de correo por nombre de dominio, por ejemplo:
a:solarmora.com
mx

Especifica uno o varios servidores de correo haciendo referencia a un registro MX de dominio. Por ejemplo:
mx:mail.solarmora.com

Es opcional especificar un dominio con este mecanismo. Si no especificas ninguno, el predeterminado son los registros MX del dominio en el que se usa el registro SPF.

include

Especifica los servidores de correo de un dominio diferente al tuyo; por ejemplo:
include:sparkpostmail.com

Usa este mecanismo para permitir remitentes externos de correo.

all Si se utiliza, debe ser la última etiqueta del registro. Las comprobaciones de SPF ignoran los mecanismos incluidos después de all. Te recomendamos que utilices este mecanismo con un calificador de superar con reserva: ~all

Calificadores de registro SPF

Las etiquetas opcionales llamadas calificadores definen la acción que se debe realizar cuando hay una coincidencia con un mecanismo en el registro SPF.

Los mecanismos se comprueban por orden de aparición en el registro SPF. Si no utilizas calificadores, el SPF se aprobará de forma predeterminada. La acción predeterminada es Neutral cuando no existe ningún mecanismo.

A continuación, se incluye una lista con calificadores que se pueden utilizar en un registro SPF. Un calificador es un prefijo opcional que se puede añadir a cualquier mecanismo del registro. Los calificadores especifican la acción que se debe realizar si se produce una coincidencia con un valor de mecanismo.

Te recomendamos que utilices ~all en tu registro SPF.

Calificador Descripción
+ Superar. El servidor con una dirección IP o un dominio coincidente puede enviar mensajes desde el dominio. Si no se usa ningún calificador, este es el valor predeterminado.
- No superar. El servidor con la dirección IP o el dominio coincidente no puede enviar mensajes desde el dominio. El registro SPF no incluye la dirección IP ni el dominio del servidor de envío.
~ Superar con reservas. Es posible que el servidor con la dirección IP o el dominio coincidente pueda enviar mensajes desde el dominio. Por lo general, el servidor que recibe los mensajes los acepta y los marca como sospechosos.
? Neutral. El registro SPF no indica de forma explícita si la dirección IP o el dominio pueden enviar mensajes desde el dominio. Los registros SPF con este resultado suelen incluir ?all.

Paso 2. Habilita SPF en tu dominio

Habilita SPF en tu proveedor de dominio.

  • Puede que los nombres de los campos indicados en el paso 4 de este apartado no sean los utilizados con su proveedor. Los nombres de los campos del registro TXT de DNS pueden variar ligeramente de un proveedor a otro.
  • Si tu organización o dominio envía todo el correo electrónico desde G Suite, utiliza el valor del registro SPF que se muestra en el paso 4. Si has creado otro registro SPF, introduce ese valor.

Para habilitar SPF, entra en el proveedor de tu dominio y actualiza el registro TXT de DNS.

  1. Descarga el archivo de texto o la línea que define tu registro SPF.
  2. Inicia sesión en la consola de administración del host de tu dominio. Si no sabes con seguridad cuál es este host, sigue los pasos que se indican en el apartado Buscar el host de un dominio.
  3.  Ve a la página en la que se pueden editar los registros TXT de DNS.
  4. Añade un nuevo registro TXT de DNS de SPF para usarlos con tus servidores de correo de G Suite:
    Nombre/Host/Alias Tiempo de vida (TTL, Time to Live) Tipo de registro TXT de DNS Prioridad Valor/Respuesta/Destino
    @
    (o dejar en blanco)
    3600 SPF 1 v=spf1 include:_spf.google.com ~all
  5. Guarda los cambios. El SPF puede tardar hasta 48 horas en empezar a proteger tu dominio contra el spoofing y asegurar la entrega del correo.
  6. (Opcional) Repite estos pasos con todos los dominios que gestiones en tu organización. 

Añadir un servidor de correo o un dominio a tus registros SPF

Actualiza tu registro SPF en el proveedor de tu dominio cada vez que hagas una de las acciones siguientes:

  • Añadir servidores de correo nuevos a tu organización
  • Empezar a utilizar nuevos remitentes externos

Si no actualizas tu registro SPF con la información del nuevo servidor o remitente, es posible que los mensajes enviados desde servidores o remitentes nuevos se marquen como spam.

Primero, actualiza tu registro SPF para incluir servidores o dominios nuevos siguiendo las instrucciones del apartado Paso 1: Crea tu registro SPF. A continuación, actualiza tu registro SPF en el proveedor de tu dominio siguiendo las instrucciones del apartado Paso 2. Habilita SPF en tu dominio.

Solucionar problemas de registros SPF

Si los mensajes enviados desde tu dominio todavía se marcan como spam aun cuando están habilitadas las comprobaciones SPF, prueba estas recomendaciones para solucionar problemas.

Verificar que los mensajes superen las comprobaciones SPF

Para verificar que tu registro SPF funciona correctamente y que los mensajes de tu dominio superan las comprobaciones SPF, revisa un mensaje que se haya enviado desde tu dominio.
Pide a alguien que haya recibido un mensaje de tu dominio que lo abra y vea las cabeceras completas del correo electrónico. A continuación, comprueba la cabecera del mensaje para ver los resultados de la comprobación. Si el encabezado muestra que no se ha superado la comprobación SPF, revisa el registro SPF para buscar errores. Asegúrate de que el registro incluye referencias a todos los servidores y dominios que envían correo desde tu organización.
Revisa el apartado Paso 1. Crea tu registro SPF y haz los cambios necesarios en tu registro SPF. A continuación, actualiza el registro en el host de tu dominio siguiendo las instrucciones del apartado Paso 2. Habilita SPF en tu dominio.
Comprobar las peticiones de DNS de tu registro SPF

Un registro SPF está limitado a 10 peticiones, por lo que no puede incluir más de 10 referencias a otros dominios. Si tu registro SPF tiene más peticiones, los mensajes de tu dominio no superarán la comprobación SPF del servidor que los reciba y es posible que se marquen como spam.

Cada instancia de estas etiquetas en el registro SPF genera una petición: a, mx, include, ptr. Las peticiones anidadas cuentan. De esta forma, si un dominio al que se hace referencia en una etiqueta include tiene referencias de dominio en su registro SPF, dichos dominios se tendrán en cuenta para calcular el límite.

Si los mensajes se siguen marcando como spam, comprueba el número de peticiones de tu registro SPF con la función Check MX de la caja de herramientas de G Suite.

Para reducir el número de peticiones de tu registro SPF, sigue estas recomendaciones:

  • No uses etiquetas include a menos que sea necesario.
  • Si es posible, utiliza la etiqueta ip4 o ip6 y no include.
  • Quita las etiquetas duplicadas o las que hacen referencia al mismo dominio.

Incluye solo los dominios que envían mensajes de forma activa desde tu organización. Quita todas las declaraciones include de partners que ya no envían correo desde tu dominio.

Google y G Suite, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?