Cómo comprobar un registro SPF en DNS
SPF se publica como un registro TXT y lista qué servidores están autorizados a enviar correo para un dominio. Un SPF incorrecto puede provocar rechazos, spam o fallos de autenticación aunque el correo salga correctamente.
Consulta el TXT del dominio emisor
Busca el registro que empieza por v=spf1. El dominio correcto suele ser el usado en el envelope-from o Return-Path del mensaje, no siempre el dominio visible del From.
Debe existir una sola política SPF por nombre. Si hay dos TXT que empiezan por v=spf1, muchos validadores devolverán permerror.
dig example.com TXT +short
dig @1.1.1.1 example.com TXT +shortRevisa includes y límite de consultas
Cada include, mx, a, exists o redirect puede generar consultas DNS adicionales. SPF tiene un límite de diez búsquedas DNS durante la evaluación.
dig example.com TXT +short
dig _spf.google.com TXT +shortQué significa cada final
- -all: política estricta, solo autorizados.
- ~all: softfail, útil durante transición pero menos contundente.
- ?all: neutral, rara vez aporta protección real.
- +all: autoriza todo y normalmente es un error de seguridad.
Errores habituales
Publicar dos SPF
Combina todos los remitentes autorizados en una única política v=spf1.
Olvidar proveedores externos
Herramientas de newsletters, CRM o facturación también deben estar autorizadas si envían con tu dominio.
Superar diez consultas DNS
Demasiados include pueden invalidar la política SPF.
Validar solo el dominio visible
Comprueba el dominio que realmente usa el envelope-from.