Does HubSpot create the SPF record for me?

No. HubSpot shows you the SPF value it needs, but your DNS provider controls the record. HubSpot can confirm that it sees the expected entry, not whether the full SPF setup is merged correctly or safe under strict policies.

Can I have more than one SPF record on my domain?

You shouldn’t. SPF is meant to be evaluated as a single policy per domain. Multiple SPF TXT records can cause inconsistent behaviour or outright failure, even if each one looks valid on its own.

Why did deliverability drop after I tightened my DMARC policy?

Strict DMARC (p=quarantine or p=reject) removes margin for error. If SPF fails on a message and DKIM isn’t aligned, DMARC decides the outcome. Small SPF issues that were previously tolerated can suddenly cause filtering or rejection.

If SPF passes, why did my marketing email still go to spam?

SPF only authorises sending. It doesn’t measure engagement or trust. Mailbox providers still look at user behaviour, complaint rates, and list quality.

Errores de configuración del registro SPF de HubSpot

Si los correos electrónicos enviados a través de HubSpot van a parar a spam o no se entregan en absoluto, el registro SPF es el primer lugar donde querrás comprobarlo. Aunque rara vez falta, a menudo está hinchado, duplicado o roto por un «arreglo rápido» que alguien hizo hace meses.

En este artículo, aprenderás cómo funciona en la práctica el registro SPF de HubSpot: qué hace cuando HubSpot envía «en nombre de» tu dominio, cuál es su lugar en la configuración DNS que ya tienes, y por qué las cosas se ponen implacables cuando entran en la charla las estrictas políticas DMARC. Para tener una visión más amplia de cómo encaja la autenticación en el rendimiento general del envío, la correcta integración del correo electrónico de HubSpot desempeña un papel clave. Comencemos

Puntos clave

Un SPF (Sender Policy Framework) de HubSpot es un protocolo de autenticación de correo electrónico que indica a los proveedores de buzones de correo qué servidores están autorizados a enviar en nombre de tu dominio. Debe estar alineado con DKIM (DomainKeys Identified Mail) y DMARC (Domain-Based Message Authentication).
Pasar el proceso de verificación SPF es necesario pero no suficiente; la colocación a largo plazo en la bandeja de entrada depende tanto del compromiso y del comportamiento de envío como de la autenticación.

El problema del registro SPF de HubSpot que quizá no sepas que tienes

Una señal de stop con la etiqueta

La mayoría de los dominios ya tienen un registro SPF cuando se añade HubSpot. Ahí es donde empiezan los problemas. Porque una vez que está ahí (y una vez que HubSpot muestra el dominio de envío de correo electrónico como autenticado), la gente suele dejar de pensar en ello. La suposición es que si se aprobó una vez, debe estar bien. En realidad, SPF puede seguir siendo técnicamente válido y, al mismo tiempo, perjudicar la entrega.

Un registro SPF puede «pasar» y aún así causar fallos suaves, permerecer bajo ciertas rutas de enrutamiento, o fallar en la alineación una vez que se aplican los registros DMARC. Nada de eso aparece de forma fiable como un error claro dentro de tu cuenta de HubSpot. Sin embargo, los proveedores de buzones lo ven, y una vez que dejan de confiar en un dominio, esa confianza es difícil de reconstruir.

Cuando baja el rendimiento, HubSpot suele ser el primer sospechoso. Es comprensible: es el remitente con el que interactúas. Pero HubSpot envía en nombre de tu dominio. El DNS que autoriza ese comportamiento es el tuyo. Una edición SPF apresurada puede romper no sólo HubSpot, sino cualquier otra herramienta que dependa del mismo dominio.

Qué hace un registro SPF de HubSpot

SPF se configura en tu DNS como un registro TXT, e indica a los proveedores de buzones de correo qué servidores están autorizados a enviar correo electrónico en tu dominio. Eso es todo lo que hace. Cuando llega un mensaje, el proveedor comprueba: «¿Este correo procede de un servidor aprobado por el propietario del dominio?». Si la respuesta es afirmativa, el SPF pasa. Si no, falla, y el mensaje ahora parece sospechoso.

Cuando HubSpot envía tu correo electrónico de marketing, normalmente lo hace a través de una infraestructura compartida. El correo no procede físicamente de tu oficina o de tu alojamiento web. Procede de los sistemas de envío de HubSpot, pero el dominio «De» es el tuyo. Tu registro SPF hace que ese acuerdo sea legítimo. Le dice a Gmail, Yahoo y Microsoft: «Sí, HubSpot tiene permiso para enviar en nombre de este dominio». Sin ese permiso, básicamente estás pidiendo a los proveedores que confíen en lo que parece una suplantación de identidad de correo electrónico.

Pero hay un límite importante: el SPF no es una garantía de entregabilidad. No juzga tu copia ni se preocupa de si a la gente le gustan tus correos o los denuncian como spam. Tampoco gestiona bien el reenvío, porque la IP del remitente puede cambiar a mitad de ruta.

Añadir HubSpot a un registro SPF existente sin romperlo todo

Ilustración que muestra dos errores de configuración SPF con iconos de advertencia, un símbolo de enlace entre ellos y un ejemplo de un registro SPF de HubSpot no válido que puede afectar a la bandeja de entrada.

Aquí es donde el SPF deja de ser «un simple concepto» y puede hacer que la mitad de tus correos dejen de aterrizar.

La mayoría de los dominios ya tienen un registro SPF mucho antes de que HubSpot entre en escena. Puede proceder de Google Workspace, Microsoft 365 o incluso de un ESP más antiguo. A veces, un remitente transaccional como Stripe, Shopify o un proveedor de aplicaciones. Así que cuando HubSpot te muestra el valor SPF que quiere, la peligrosa suposición es: «Genial, añadiremos uno nuevo». No lo hagas.

SPF no está diseñado para dividirse en varios registros TXT. Se supone que los proveedores de buzones evalúan una política SPF por dominio. Los problemas empiezan cuando encuentran dos (o más). Algunos lo tratan como un permerror, otros eligen una e ignoran el resto. De cualquier forma, es un caos, sobre todo porque el fallo no será muy claro.

Así que el trabajo no consiste sólo en crear un registro SPF de HubSpot. Es fusionar HubSpot en el registro SPF que ya tienes sin romper la autorización existente.

Pero, ¡espera! También está el límite de búsqueda DNS.

El SPF tiene un límite de 10 búsquedas DNS durante la evaluación. Y sí, es más fácil llegar a él de lo que la gente cree. Cada include, redirect y exists cuentan en ese número. Algunas macros también pueden contar, dependiendo de a qué se expandan. Ese fallo de «demasiadas búsquedas» es una de las razones más comunes por las que los envíos de HubSpot se ven bien en la plataforma, pero caen mal en la naturaleza.

La última parte que no debes subestimar es el mecanismo de terminación: ~todos vs -todos.

~all es un fallo blando. Dice: «Todo lo que no está en la lista probablemente no está autorizado». Útil cuando aún estás configurando las cosas y no quieres romper el correo legítimo del que te olvidaste.
-todo es un fallo duro. Dice: «Si no está en la lista, recházalo». Con una política DMARC estricta, puede pasar rápidamente de ser seguridad adicional a rechazar tu propio correo legítimo.

Un personaje. Resultados muy diferentes.

SPF + HubSpot + DMARC: donde las cosas se ponen implacables

Diagrama que muestra SPF como comprobación superada con el registro SPF correcto de HubSpot, HubSpot enviando un correo electrónico desde news.company.com, y DMARC como comprobación fallida marcada con una X, lo que pone de manifiesto posibles errores de configuración que afectan a la bandeja de entrada.

Los errores de SPF pueden ser salvables… hasta que el DMARC se vuelva estricto.

He aquí por qué: DMARC no sólo pregunta: «¿Pasó SPF?». Pregunta: «¿Pasó el SPF (o DKIM) y se alinea con el dominio que ve el destinatario?». La alineación es la clave. Es la forma en que los proveedores detienen la suplantación de identidad que técnicamente «pasa» en algún otro punto de la cadena.

Así que puedes tener un registro SPF que pase en algunos casos, pero si falla en un mensaje determinado, y DKIM tampoco está alineado, DMARC se convierte en juez y parte. Con una política relajada, puede que cojees. Con p=reject, no hay holgura. El mensaje no se «rebaja ligeramente». Se puede bloquear.

Aquí es donde las configuraciones de HubSpot tienden a fallar de formas muy predecibles.

Una: alguien del equipo autentica un dominio en HubSpot pero envía desde otro. Creen que están cubiertos porque «es la misma empresa». A los proveedores de buzones no les importa eso. Sólo evalúan el dominio exacto que aparece en la dirección «De».

Dos: subdominios. Algunas empresas envían desde news.empresa.com mientras que la política DMARC se aplica en empresa.com. Si la política no está configurada teniendo en cuenta los subdominios, DMARC trata el mensaje como no autenticado.

Tres: Configuraciones SPF que nunca se revisaron. Un registro que funcionaba cuando sólo utilizabas Google no está garantizado que funcione una vez que añades HubSpot y algunos remitentes más.

Si quieres una alerta temprana, comprueba regularmente tus informes DMARC. Los informes agregados te muestran evaluaciones SPF fallidas, includes rotos y servicios aleatorios que intentan enviar como tu dominio. Aquí es donde normalmente los problemas de SPF dejan de ser teóricos y empiezan a ser evidentes.

Cuando el SPF es correcto, pero la ubicación en la bandeja de entrada sigue siendo deficiente

Ilustración que muestra un escudo SPF, un sobre marcado, un documento, un gráfico decreciente, un velocímetro y un icono con el pulgar hacia abajo sobre un fondo oscuro, lo que pone de manifiesto los problemas de bandeja de entrada derivados de una configuración incorrecta del registro SPF de HubSpot.

La autenticación sólo prueba que tienes permiso para enviar. Después de eso, los proveedores de buzones de correo observan lo que ocurre cuando tus correos llegan a las bandejas de entrada reales. La forma en que los destinatarios interactúan (abriendo, leyendo, respondiendo, moviendo los mensajes fuera del spam o borrándolos sin mirar) determina la reputación mucho más que una configuración DNS perfecta. Puedes pasar el SPF siempre y aun así filtrar tus correos si el tráfico parece no deseado o sin vida.

Por eso siempre debes tener en cuenta una herramienta de reputación de remitente como InboxAlly, especialmente cuando un dominio ya ha recibido unos cuantos golpes. InboxAlly utiliza cuentas semilla que se comportan como usuarios reales y generan el mismo tipo de señales de compromiso a las que prestan atención los proveedores de buzones. Con el tiempo, esas señales pueden ayudar a estabilizar o reconstruir una mala reputación de dominio o IP junto con una autenticación adecuada.

Así que antes de reescribir el texto o cambiar los tiempos de envío, comprueba primero los aburridos indicadores:

rebotes duros al alza
picos de filtrado tras ediciones de FPS
descenso generalizado del compromiso

Si tu autenticación da en el clavo y la entrega aún no está donde debería, reserva una demostración gratuita de InboxAlly y comprueba lo que ocurre cuando mejora la confianza del remitente.

Un buen orden de operaciones para HubSpot SPF

Diagrama que ilustra los pasos de la autenticación del correo electrónico: revisar tu registro SPF, editar la configuración en HubSpot, añadir SPF/DKIM/DMARC y confirmar la bandeja de entrada segura con un sobre marcado.

Empieza por auditar lo que SPF ya autoriza. No lo que crees que autoriza, sino lo que el registro permite realmente hoy. Aquí es donde se esconden la mayoría de los errores. Cuenta tus búsquedas DNS. Busca antiguos includes vinculados a herramientas que ya no utilizas y comprueba dos veces que HubSpot está presente en el registro SPF del dominio desde el que HubSpot envía.

Una vez que sepas lo que hay, simplifica. Recorta los servicios muertos, fusiona los registros limpiamente y evita poner -todo al final como una especie de mejora de la seguridad cuando no estás totalmente seguro de que todos los remitentes legítimos estén contabilizados.

Sólo después deberías preocuparte de la alineación con SPF, DKIM y DMARC. Asegúrate de que al menos una ruta de autenticación coincide de forma fiable con el dominio que aparece en la dirección De. Y valídalo mediante el envío, no sólo con una herramienta de comprobación que suponga el mejor de los casos.

Por último, vigila los resultados. Las tendencias de colocación en la bandeja de entrada importan más que las insignias «pasa el FPS».

Resumen

Un registro SPF de HubSpot no es difícil de añadir, pero es fácil equivocarse sutilmente. La mayoría de los problemas de entregabilidad se deben a registros abultados, límites de búsqueda, políticas estrictas aplicadas demasiado pronto o a asumir que el SPF por sí solo es suficiente. Mantén un SPF sencillo, acompáñalo de un buen compromiso, hábitos limpios en las listas y la capa de entregabilidad de InboxAlly, y no tendrás problemas para llegar a tus clientes.

PREGUNTAS FRECUENTES

¿Crea HubSpot el registro SPF por mí?
▼

No. HubSpot te muestra el valor SPF que necesita, pero tu proveedor de DNS controla el registro. HubSpot puede confirmar que ve la entrada esperada, no si la configuración SPF completa se fusiona correctamente o es segura según las políticas estrictas.

¿Puedo tener más de un registro SPF en mi dominio?
▼

No deberías. SPF está pensado para ser evaluado como una única política por dominio. Múltiples registros SPF TXT pueden provocar un comportamiento incoherente o un fallo total, aunque cada uno parezca válido por sí mismo.

¿Por qué ha bajado la entregabilidad después de endurecer mi política DMARC?
▼

El DMARC estricto (p=cuarentena o p=rechazar) elimina el margen de error. Si SPF falla en un mensaje y DKIM no está alineado, DMARC decide el resultado. Pequeños problemas de SPF que antes se toleraban pueden provocar de repente el filtrado o el rechazo.

Si el SPF pasa, ¿por qué mi correo de marketing sigue yendo a spam?
▼

El SPF sólo autoriza el envío. No mide el compromiso ni la confianza. Los proveedores de buzones siguen fijándose en el comportamiento de los usuarios, los índices de reclamaciones y la calidad de las listas.

Plataforma principal

Inteligencia de entregabilidad

Compare InboxAlly

Por el público

Casos prácticos

Por qué InboxAlly

Aprende

Documentación

Temas de entregabilidad

Autenticación de correo electrónico y DNS

Herramientas de prueba

Herramientas de planificación y listas

Todas las herramientas son 100% gratuitas

Errores de configuración del registro SPF de HubSpot que rompen la bandeja de entrada