¿Has enviado alguna vez un correo electrónico sólo para descubrir que ha sido rechazado, marcado como spam o ignorado por completo? Si es así, puede que estés ante un fallo de SPF, un problema común de autenticación de correo electrónico que puede minar silenciosamente tus campañas de correo electrónico, las comunicaciones con tus clientes y la reputación de tu empresa.
SPF (Sender Policy Framework) es un protocolo de seguridad fundamental que impide que los spammers falsifiquen tu dominio para enviar correos electrónicos fraudulentos. Pero cuando SPF no está configurado correctamente, incluso tus correos legítimos pueden fallar en la autenticación, provocando rebotes, filtrado de spam o el rechazo directo por parte de los servidores de los destinatarios.
¿La buena noticia? Los fallos de SPF tienen solución. Esta guía te guiará a través de las causas más comunes de los fallos SPF y te proporcionará soluciones claras y prácticas para garantizar que tus correos electrónicos lleguen a las bandejas de entrada a las que están destinados.
¿Qué es el fracaso del FPS?
Un fallo SPF se produce cuando un correo electrónico no supera la autenticación SPF, lo que significa que el servidor remitente no figura como remitente autorizado para el dominio en el registro SPF.
Cuando esto ocurre, los servidores de correo del destinatario pueden
- Rechaza el correo directamente (fallo grave)
- Marcarlo como sospechoso o spam (fallo suave)
- Aceptarlo pero someterlo a un filtrado adicional
Los fallos SPF suelen deberse a registros SPF mal configurados, fuentes de envío no autorizadas o problemas de reenvío de correo electrónico. Si no se resuelven, pueden afectar significativamente a la entregabilidad del correo electrónico, dificultando que tus mensajes lleguen a su destino.
En las siguientes secciones, desglosaremos las principales razones por las que se producen fallos en los FPS y cómo solucionarlos eficazmente.
Causas principales de los fallos de los FPS y cómo solucionarlas
Hablemos de algunos de los culpables que podrían descarrilar el camino de tu correo electrónico hacia la bandeja de entrada.
1. Falta el registro SPF
Cuando los servidores de correo receptores no encuentran un registro SPF publicado en tu DNS, no tienen ninguna política a la que hacer referencia durante la autenticación. Como resultado, los correos electrónicos de este dominio pueden fallar las comprobaciones de autenticación SPF, lo que puede provocar problemas de entrega o ser marcados como sospechosos.
Solución:
Si tu dominio no tiene un registro SPF, añadir uno es sencillo, aunque no tengas experiencia previa. Sigue estos pasos:
Paso 1: Utiliza una herramienta de comprobación SPF (por ejemplo, MXToolbox SPF Lookup o Google’s Admin Toolbox) para confirmar si tienes un registro SPF. Si no es así, tendrás que crear uno nuevo.
Paso 2: Crear un nuevo registro SPF
Los registros SPF se almacenan en la configuración DNS de tu dominio como un registro TXT. Dependiendo de tu servicio de correo, tu registro SPF debería tener este aspecto:
| Espacio de trabajo de Google | v=spf1 include:_spf.google.com ~todos |
| Microsoft 365 (Outlook) | v=spf1 include:spf.protection.outlook.com -todos |
| Múltiples servicios de correo | v=spf1 include:_spf.google.com include:mailgun.org include:sendgrid.net ~todos |
Paso 3: Añade el registro SPF a tu configuración DNS
- Accede al panel de control de tu proveedor de dominio (por ejemplo, GoDaddy, Cloudflare o dondequiera que se gestionen las DNS de tu dominio).
- Busca la sección Configuración DNS o Gestión DNS.
- Haz clic en Añadir un nuevo registro y selecciona Registro TXT.
- Introduce lo siguiente:
- Anfitrión: @ (o tu nombre de dominio, según el proveedor)
- Tipo: TXT
- Valor: Pega el registro SPF que has creado (por ejemplo, v=spf1 include:_spf.google.com ~all).
- TTL: Déjalo por defecto (o ajústalo a 3600 segundos).
5. Guarda los cambios.
Paso 4: Verifica tu registro SPF
Espera de unos minutos a unas horas a que se propaguen los cambios de DNS y, a continuación, utiliza una herramienta de validación SPF como MXToolbox para comprobar si tu registro SPF se ha publicado correctamente.
2. Registros SPF múltiples
Tener varios registros SPF para un mismo dominio puede provocar fallos en la autenticación SPF. Múltiples registros SPF pueden confundir a los servidores receptores, ya que no están seguros de qué registro deben tener en cuenta. Esta ambigüedad suele provocar fallos SPF, ya que el servidor receptor puede no interpretar correctamente la política prevista.
Solución:
Combina todas las entradas SPF en un único registro. Elimina los registros duplicados y combina varias entradas en una sola, asegurándote de que se incluyen todos los servidores autorizados. Prueba tu nuevo registro SPF utilizando las herramientas de validación SPF.
| Problema SPF común | Registro SPF incorrecto | Registro SPF corregido |
| Múltiples registros SPF | v=spf1 include:_spf.google.com -all v=spf1 include:spf.mailgun.org -all | v=spf1 include:_spf.google.com include:spf.mailgun.org -all |
3. Demasiadas búsquedas DNS
Cuando se envía un correo electrónico, SPF comprueba si el remitente está autorizado a utilizar ese dominio buscando en una lista de servidores de correo aprobados (almacenada en los registros DNS del dominio). Sin embargo, SPF tiene un límite: sólo puede realizar 10 búsquedas por correo electrónico.
Una vez superado este límite, algunos ESP pueden tener dificultades para verificar tus correos electrónicos correctamente, lo que aumenta el riesgo de que los correos electrónicos de Salesforce vayan a parar a spam y otros problemas de entregabilidad. Simplificar tu registro SPF puede ayudarte a evitar búsquedas innecesarias y mejorar la ubicación en la bandeja de entrada.
Si tu registro SPF txt es demasiado complejo, con demasiadas reglas o referencias indirectas a otros servidores, puede requerir más de 10 búsquedas. Cuando esto ocurre, el proveedor de correo electrónico deja de comprobarlo y asume que el correo no está verificado, lo que provoca un fallo SPF.
Solución:
- Elimina las entradas «include» innecesarias. Cada declaración «include» en tu registro SPF añade una búsqueda DNS. Muchas empresas utilizan varios proveedores de correo electrónico (Google, Outlook, Mailchimp, etc.), lo que puede sobrepasar el límite.
- Utiliza servicios de compresión SPF como SPF Flattening (por ejemplo, MXToolbox) para combinar includes en una lista más pequeña.
Esta complejidad a menudo provoca fallos de autenticación, lo que afecta a la entregabilidad. Si estás experimentando que los correos electrónicos de Mailchimp van a spam a pesar de seguir las mejores prácticas, puede deberse a configuraciones SPF inadecuadas, búsquedas DNS excesivas o problemas de reputación de IP compartida. Ajustar tu registro SPF y supervisar tu dominio de envío puede ayudar a resolver estos problemas y mejorar la ubicación en la bandeja de entrada.
| Problema SPF común | Registro SPF incorrecto | Registro SPF corregido |
| Demasiadas búsquedas DNS | v=spf1 include:_spf.google.com include:spf.mailgun.org include:spf.sendgrid.net include:spf.salesforce.com include:spf.constantcontact.com -todos | v=spf1 include:_spf.google.com include:spf.mailgun.org -all |
4. Errores sintácticos
Los errores de sintaxis en los registros SPF -como erratas, caracteres mal colocados o sintaxis no válida- pueden provocar fallos de autenticación. Verifica siempre el formato SPF utilizando una herramienta de validación SPF antes de aplicar los cambios.
Solución:
Sigue las reglas correctas de sintaxis SPF.
| Problema SPF común | Registro SPF incorrecto | Registro SPF corregido |
| Errores sintácticos | v=spf1 include:_spf.google.com include:spf.mailgun.org all | v=spf1 include:_spf.google.com include:spf.mailgun.org -all |
Relacionados: Dominar la Sintaxis SPF: Guía paso a paso
5. Superar los límites de caracteres del SPF
Los registros SPF tienen una longitud máxima de 255 caracteres en un único registro DNS TXT. Superar este límite puede provocar errores de análisis SPF.
Solución:
Cada declaración «include» añade caracteres. Si has añadido demasiados servicios de correo electrónico, tu registro SPF puede hacerse demasiado largo. Si has dejado de utilizar un proveedor de correo electrónico, elimina su entrada «include» de tu registro SPF.
6. Configuración del proveedor de servicios de correo electrónico
Una configuración incorrecta o mal configurada en la plataforma del proveedor de servicios de correo electrónico puede provocar fallos en la alineación SPF, sobre todo si la configuración del proveedor no se alinea con el registro SPF del dominio.
Solución:
Consulta la guía oficial de configuración SPF de tu proveedor (por ejemplo, Google, Microsoft, Mailgun).
7. Mala gestión de los rebotes
Cuando un correo electrónico rebota (no se entrega), el servidor receptor puede enviar un mensaje de rechazo al remitente. Algunos servicios de correo electrónico reenvían estos mensajes rebotados utilizando un servidor de correo diferente, lo que puede cambiar los detalles técnicos del correo electrónico original (cabeceras SPF).
Dado que SPF verifica que los correos electrónicos proceden de servidores autorizados, esta modificación puede hacer que parezca que el correo electrónico se envió desde una fuente no autorizada, lo que provocaría un fallo de SPF.
Solución:
Si utilizas un proveedor de servicios de correo electrónico (ESP) como Google Workspace, Mailgun o SendGrid, suelen proporcionar instrucciones sobre cómo configurar correctamente tu ruta de retorno.
| Problema SPF común | Registro SPF incorrecto | Registro SPF corregido |
| Mala gestión de los rebotes | Return-Path: rebotes.externaldominio.com | Return-Path: bounce@yourdomain.com |
8. Macros no válidas
Los registros SPF pueden utilizar macros para añadir información como la dirección IP o el dominio del remitente durante la autenticación. Sin embargo, si estas macros se configuran incorrectamente -ya sea mediante una sintaxis no válida o un formato inadecuado- la autenticación SPF puede fallar.
Por eso debes asegurarte de que tus macros siguen las especificaciones SPF y están correctamente estructuradas. Comprobar regularmente tu configuración SPF puede ayudarte a detectar y solucionar cualquier problema relacionado con las macros antes de que causen problemas en la entregabilidad de tu correo electrónico.
Solución:
Comprueba si tu proveedor de correo electrónico admite macros SPF; si no es así, elimínalas.
- Asegúrate de que existen registros de búsqueda para macros como «existe:%{i}.spf.ejemplo.com».
- Comprueba tu registro SPF utilizando herramientas de validación para detectar problemas de formato.
- Si las macros causan problemas, sustitúyelas por mecanismos SPF estándar como include: o direcciones IP directas.
| Problema SPF común | Registro SPF incorrecto | Registro SPF corregido |
| Macros no válidas | v=spf1 existe:%{i}.spf.ejemplo.com -todos | v=spf1 incluir:_spf.ejemplo.com -todos |
Incluso con un registro SPF perfecto, la reputación del correo electrónico desempeña un papel fundamental en la ubicación en la bandeja de entrada. InboxAlly ayuda a impulsar la reputación del remitente, reducir el marcado de spam y mejorar la entregabilidad del correo electrónico, garantizando que tus correos lleguen siempre a la bandeja de entrada.
Reflexiones finales
Los problemas de autenticación SPF pueden ser molestos. Si no se controlan, abren la puerta a la suplantación de identidad, al phishing y a un sinfín de problemas de entregabilidad del correo electrónico. Pero con las correcciones adecuadas -registros DNS limpios y alineación correcta de los encabezados- puedes darle la vuelta a la situación. El éxito del correo electrónico está en los detalles, y el esfuerzo merece la pena.
Y si la clasificación a través de interminables cabeceras y registros DNS te parece demasiado, no te preocupes. InboxAlly está diseñado para simplificar la entrega de correo electrónico, ayudarte a mejorar tu reputación de remitente y mantener tus correos electrónicos fuera del spam para siempre. ¿Listo para tomar el control? Descubre cómo InboxAlly puede llevar tu negocio al siguiente nivel.
Preguntas frecuentes – SPF Records
¿Qué es la alineación DMARC, SPF y DKIM, y por qué es importante?
DMARC se basa en dos protocolos de autenticación de correo electrónico: SPF y DKIM (DomainKeys Identified Mail). La alineación DMARC verifica que el dominio del remitente está autenticado, confirmando la legitimidad del correo electrónico y aumentando potencialmente la entregabilidad.
SPF se alinea con el dominio en la cabecera«Return-Path«, mientras que DKIM se alinea con la cabecera«DKIM-Signature«. Ambos deben coincidir con el dominio del encabezado «De:» para lograr la alineación DMARC.
Para la alineación de los FPS, la atención se centra en dos cabeceras clave:
- El encabezado«De:»
- La cabecera«Return-Path
La alineación SPF requiere que estas cabeceras se sincronicen, garantizando que los dominios coincidan y validen la autenticidad del remitente. Una alineación incorrecta puede provocar fallos en las comprobaciones DMARC, afectando a la confianza y la entregabilidad del correo electrónico.
¿El fallo del SPF indica siempre actividad maliciosa?
No necesariamente. Aunque el fallo de SPF puede indicar a veces una actividad maliciosa, también puede ocurrir por razones inocentes, como una mala configuración o prácticas legítimas de reenvío de correo electrónico. Sin embargo, es esencial investigar y abordar los fallos SPF con prontitud para mantener la seguridad del correo electrónico.
¿Cómo afecta el fallo del SPF a los índices de entregabilidad del correo electrónico?
Un «fallo SPF» puede perjudicar los índices de entregabilidad del correo electrónico. Los correos electrónicos que no superan las comprobaciones SPF tienen más probabilidades de ser filtrados como spam por los servidores de correo de los destinatarios, lo que puede reducir la eficacia de las campañas de marketing por correo electrónico y los esfuerzos de comunicación.
¿Con qué frecuencia debo revisar mis registros SPF?
Se recomienda revisar y actualizar periódicamente un registro DNS SPF, especialmente cuando se cambien las configuraciones de los servidores de correo o se añadan nuevos servicios de correo. Las revisiones periódicas ayudan a garantizar que los registros SPF reflejan con precisión los servidores de correo autorizados y minimizan el riesgo de fallos en la autenticación SPF.
¿Existe alguna herramienta que ayude a diagnosticar los problemas del FPS?
Sí, varias herramientas, como los validadores SPF o los comprobadores de registros SPF, están disponibles en Internet para ayudar a diagnosticar los errores de validación SPF. Estas herramientas pueden analizar registros SPF, verificar configuraciones DNS e identificar problemas potenciales que causen fallos SPF.
¿Qué son los calificadores SPF?
Los calificadores SPF definen cómo los Agentes de Transferencia de Correo (MTA) gestionan los correos electrónicos en función de los resultados de la autenticación.
SPF Pass (+todos) – Se autoriza la IP del remitente y se acepta el correo electrónico.
SPF Neutro (?all) – El registro SPF no aprueba ni rechaza explícitamente al remitente. El servidor del destinatario decide cómo gestionar el correo electrónico.
SPF Soft Fail (~todos) – El remitente no está explícitamente autorizado, pero el correo electrónico sigue siendo aceptado, a menudo marcado para un examen más detallado.
SPF Hard Fail (-todos) – El remitente no está autorizado, y el correo electrónico se rechaza de plano.
SPF TempError – Un error temporal (por ejemplo, tiempo de espera del DNS) impide la validación SPF, y el correo electrónico puede volver a intentarse más tarde.
SPF PermError – Un error de configuración SPF permanente (por ejemplo, un problema de sintaxis, exceder los límites de búsqueda DNS) que requiere corrección antes de que se pueda proceder a la autenticación.
Un registro SPF correctamente configurado ayuda a garantizar la entregabilidad del correo electrónico y evita la suplantación de identidad.