¿Qué es el marco de políticas del remitente (SPF)?

8 de diciembre de 2025

El marco de políticas de remitente (SPF) es un estándar de autenticación de correo electrónico que ayuda a prevenir la suplantación de correo electrónico.

¿Qué es el marco de políticas del remitente?

¿Qué es el marco de políticas del remitente?

El marco de políticas del remitente es un correo electrónico autenticación protocolo que utiliza Registros DNS para indicar cuál mail servers se les permite enviar correos electrónicos para un propósito específico dominioEl propietario del dominio publica un registro SPF en el dominio. DNS zona como una entrada TXT con formato especial. Este registro enumera los usuarios autorizados Direcciones IP o nombres de host e incluye reglas sobre cómo recibir correo servers Debería evaluar los mensajes que dicen provenir de ese dominio.

Cuando se recibe un correo electrónico, el correo del destinatario server Comprueba el dominio del remitente del sobre en el SMTP transacción y busca su registro SPF en DNS. Luego compara el envío serverLa dirección IP del sistema se envía a las fuentes autorizadas definidas en ese registro y devuelve un resultado como "aprobado", "reprobado", "fallo leve" o "neutral". En función de este resultado, el sistema receptor acepta, marca o rechaza el mensaje.

Al verificar que los correos electrónicos provienen de una infraestructura legítima, SPF ayuda a prevenir la suplantación de dominio y admite una autenticación más precisa. correo no deseado (spam) filtrado y fortalece la seguridad general del correo electrónico cuando se utiliza junto con otros mecanismos como DKIM y DMARC.

¿Cómo funciona el marco de políticas de remitente?

El marco de políticas del remitente permite recibir correo servers para verificar si un correo electrónico fue enviado desde un server Autorizado por el propietario del dominio. Se basa en registros DNS y comprobaciones realizadas durante el protocolo de enlace SMTP, antes de que el mensaje se acepte por completo. A continuación, se detalla el proceso paso a paso:

  1. El propietario del dominio publica un registro SPFEl proceso comienza cuando el propietario del dominio crea una política SPF y la publica como un registro TXT en el DNS. Este registro enumera las direcciones IP o los nombres de host del correo. servers que tienen permiso para enviar correos electrónicos para ese dominio. Este paso establece la "fuente de confianza" oficial para los remitentes legítimos.
  2. Correo del remitente server se conecta al destinatario serverCuando alguien envía un correo electrónico, el correo remitente server abre una conexión SMTP al correo del destinatario serverDurante este apretón de manos inicial, el envío server Presenta el dominio del remitente del sobre (el dominio del comando MAIL FROM). Esta información es la que utiliza el destinatario para determinar qué registro SPF debe consultar.
  3. del destinatario server busca el registro SPF en DNS. El receptor server Extrae el dominio del remitente del sobre y realiza una consulta DNS para recuperar el registro SPF de dicho dominio. Esta búsqueda recupera la entrada TXT publicada que contiene la política SPF. En este punto, el destinatario cuenta con todas las reglas necesarias para evaluar al remitente.
  4. La política SPF se evalúa en función de la IP del remitente. El destinatario server compara la dirección IP del correo remitente server A la lista de IP, nombres de host o mecanismos permitidos definidos en el registro SPF. Procesa el registro de izquierda a derecha, verificando mecanismos como IP4, IP6, A, MX o Include. Esta evaluación determina si el remitente coincide con alguna fuente autorizada.
  5. Se genera un resultado SPF. Con base en la evaluación, la recepción server Produce un resultado SPF como "aprobado", "reprobado", "fallo leve", "neutral", "error temporal" o "error permanente". Un "aprobado" indica que el remitente está autorizado, mientras que un "reprobado" significa que no está permitido explícitamente. Otros resultados indican condiciones inciertas o temporales.
  6. El destinatario aplica políticas de correo electrónico localesEl sistema de correo utiliza el resultado del SPF para decidir qué hacer con el mensaje. Puede aceptarlo normalmente, enviarlo a la carpeta de spam, añadir una advertencia o rechazarlo directamente si el resultado es "reprobado" y la política local es estricta. Este paso convierte la evaluación del SPF en una acción práctica que ayuda a bloquear correos electrónicos falsos o sospechosos.
  7. El resultado del SPF se registra para los controles posterioresFinalmente, el resultado del SPF suele añadirse a los encabezados del correo electrónico para que los filtros posteriores, las puertas de enlace de seguridad y el proveedor de correo del usuario puedan ver cómo se realizó la comprobación del SPF. Esta información puede combinarse con otras señales, como los resultados de DKIM y DMARC, para generar una detección de spam y... phishing, más inteligentes y basadas en datos.

¿Qué es un ejemplo de marco de remitente de políticas?

ejemplo de FPS

Un ejemplo de marco de política de remitentes es un registro SPF simple publicado para un dominio que utiliza un correo electrónico específico. servers para enviar correo electrónico. Por ejemplo, supongamos que el dominio example.com Envía correo electrónico solo desde dos direcciones IPv4 y desde su propio MX serversEl propietario del dominio agregaría este registro TXT en DNS:

v=spf1 ip4:203.0.113.10 ip4:203.0.113.20 mx ~todos

En este ejemplo, v=spf1 declara la versión de SPF, ip4:203.0.113.10 e ip4:203.0.113.20 autorizan esas direcciones IP como remitentes válidos, mx permite cualquier server listado como un registro MX para example.com, y ~all marca todas las demás fuentes como no autorizadas (error leve). Cuando el correo de un destinatario server recibe un correo electrónico que dice ser de example.com, verifica este registro SPF y verifica si la IP de envío coincide con una de las entradas autorizadas antes de decidir aceptar, marcar o rechazar el mensaje.

¿Quién debería utilizar el marco de políticas de remitente?

El marco de políticas de remitentes es útil para cualquier organización que envíe correo electrónico desde su propio dominio y desee proteger su reputación y a sus usuarios de la suplantación de identidad. Es especialmente importante cuando varios servicios envían correo electrónico en nombre del mismo dominio (por ejemplo, plataformas de marketing, sistemas de tickets, herramientas CRM). Analicemos quiénes se benefician del SPF:

  • Empresas de todos los tamaños.Cualquier empresa que envíe correos electrónicos transaccionales o de marketing debería usar SPF para evitar que los atacantes falsifiquen su dominio. Esto evita que se suplanten facturas, correos electrónicos de restablecimiento de contraseña y notificaciones, y reduce la posibilidad de que los clientes reciban mensajes de phishing que parecen provenir de la empresa.
  • Servicios en línea y proveedores de SaaS. Aplicaciones web, SaaS Las plataformas y los mercados en línea dependen en gran medida de correos electrónicos automatizados, como confirmaciones de cuenta, alertas y recibos. Implementar SPF garantiza que estos mensajes tengan más probabilidades de superar los controles de spam y llegar a las bandejas de entrada de los usuarios, a la vez que dificulta que los atacantes abusen de la marca en campañas de phishing.
  • Proveedores de servicios de correo electrónico y plataformas de marketingLos ESP y las plataformas de correo electrónico masivo que envían correos en nombre de sus clientes necesitan un SPF correctamente configurado (a menudo mediante dominios de envío personalizados o inclusiones) para lograr una buena capacidad de entrega. Una correcta alineación del SPF muestra la recepción. servers que la plataforma es un remitente autorizado, mejorando la ubicación en la bandeja de entrada para todas las campañas.
  • Organizaciones con múltiples remitentes externosLas organizaciones que utilizan varios sistemas externos para enviar correos electrónicos (CRM, soporte técnico, herramientas de RR. HH., sistemas de monitorización, etc.) se benefician de SPF como política central. Al incluir todas las fuentes autorizadas en un solo registro, controlan quién puede enviar correos a través de su dominio y pueden revocar el acceso rápidamente actualizando la entrada de SPF.
  • Marcas del sector público, financiero y de alta confianzaLas agencias gubernamentales, los bancos, los proveedores de atención médica y otras entidades de alta confianza son objetivos frecuentes de phishing. SPF, en combinación con DKIM y DMARC, aumenta significativamente el nivel de protección para los atacantes que intentan suplantar estos dominios y ayuda a proteger a ciudadanos, clientes y pacientes de los mensajes fraudulentos.

¿Cómo configurar el marco de políticas de remitente?

La configuración del marco de políticas de remitentes implica publicar un registro DNS que le dice al mundo qué correo servers Pueden enviar correos electrónicos para su dominio. El proceso es sencillo, pero debe realizarse con cuidado para garantizar que se incluyan todos los remitentes legítimos.

  1. Identificar todos servers y servicios que envían correos electrónicos para su dominioComience enumerando todos los sistemas que envían correos electrónicos usando su nombre de dominio: su correo principal server, herramientas de marketing, sistemas CRM, cloud Servicios o plataformas de soporte técnico. Esto garantiza que no bloquees accidentalmente mensajes legítimos.
  2. Generar una política SPF con los autorizados serversCree una regla SPF que incluya todas sus fuentes de envío. Puede especificarlas por dirección IP, nombre de dominio o incluir registros de proveedores externos. La regla SPF comenzará con v=spf1 y terminará con un calificador como -all o ~all para definir cómo se gestionan los remitentes no autorizados.
  3. Agregue el registro SPF a su Configuración de DNSInicie sesión en el portal de administración de su proveedor de DNS y cree un nuevo registro TXT para su dominio. Pegue la regla SPF que generó, por ejemplo:
    v=spf1 mx incluye:mailprovider.com -all
    La publicación de este registro hace que su política sea visible públicamente para los receptores de correo.
  4. Esperar Propagación de DNSEl registro DNS actualizado puede tardar minutos u horas en difundirse a nivel mundial. Durante este tiempo, algunos correos... servers Todavía puede depender de la configuración anterior.
  5. Probar y validar la configuración de SPFUtilice herramientas de validación SPF en línea o su plataforma de seguridad de correo electrónico para confirmar que el registro se publique correctamente y cubra a todos los remitentes autorizados. Las pruebas garantizan que los mensajes legítimos pasen la validación SPF y que los mensajes falsificados se rechacen o marquen.
  6. Mantener y actualizar cuando cambian los remitentesCada vez que agregue o elimine servicios de correo electrónico, actualice su registro SPF según corresponda. El mantenimiento regular garantiza una protección continua y una entrega consistente del correo electrónico.

Las ventajas y limitaciones del FPS

El marco de políticas de remitente ofrece claras ventajas para la seguridad y la entregabilidad del correo electrónico, pero no constituye una solución completa por sí solo. Comprender tanto sus ventajas como sus limitaciones ayuda a los propietarios de dominios a implementar SPF eficazmente, evitar configuraciones erróneas que bloqueen el correo legítimo y decidir cuándo combinarlo con otras tecnologías como DKIM y DMARC para una mayor protección.

¿Cuáles son los beneficios del Marco de Política de Remitentes?

SPF mejora la seguridad del correo electrónico al dificultar que los atacantes se hagan pasar por su dominio y al permitir la recepción servers Señales más claras sobre qué mensajes son legítimos. Sus beneficios son mayores cuando SPF está configurado correctamente y actualizado:

  • Reduce la suplantación de correo electrónico y el abuso de dominio. Al enumerar explícitamente cuáles servers Puede enviar correos para su dominio. SPF ayuda a bloquear correos enviados desde direcciones IP no autorizadas. Esto reduce los intentos de suplantación de identidad (spoofing) donde los atacantes fingen enviar desde su dominio.
  • Protege la reputación de la marca y la confianza del usuario.Al disminuir la cantidad de correos electrónicos falsos que parecen provenir de su dominio, es menos probable que los destinatarios asocien su marca con phishing o spam. Esta protección ayuda a mantener la confianza en mensajes importantes como facturas, alertas y correos electrónicos de restablecimiento de contraseña.
  • Mejora el filtrado de spam y phishingLos resultados de SPF dan la recepción de correo servers Una señal potente que pueden usar en sus filtros de spam. Los mensajes que superan el SPF tienen más probabilidades de ser considerados legítimos, mientras que los que no lo superan pueden ser marcados o rechazados, lo que refuerza las defensas antispam.
  • Admite una mejor capacidad de entrega de correo electrónicoLos registros SPF correctos facilitan que el correo electrónico legítimo llegue a las bandejas de entrada en lugar de a la carpeta de correo no deseado. Muchos proveedores verifican el SPF como parte de su proceso de autenticación, por lo que una configuración válida mejora la entrega de boletines informativos, correos electrónicos transaccionales y notificaciones.
  • Control centralizado sobre los remitentes autorizadosSPF proporciona un único punto en el DNS donde se especifican todos los sistemas con permiso para enviar en nombre del dominio. Este control central simplifica la administración, especialmente al utilizar varios servicios de terceros, y permite revocar el acceso actualizando un solo registro.
  • Funciona bien con DKIM y DMARCSPF está diseñado para complementar otros métodos de autenticación, no para reemplazarlos. Al combinarse con DKIM y aplicarse mediante DMARC, SPF contribuye a una defensa por capas que dificulta considerablemente el phishing y la falsificación de dominios.

¿Cuáles son las limitaciones del marco de políticas de remitentes?

El SPF es valioso, pero presenta limitaciones importantes que los propietarios de dominios deben comprender. Por sí solo, no puede prevenir completamente el phishing ni la suplantación de identidad, y debe gestionarse con cuidado para evitar el bloqueo de mensajes legítimos. Estas son las principales limitaciones:

  • No protege la dirección “De” visible por sí solaSPF valida el remitente del sobre utilizado a nivel SMTP, no necesariamente la dirección que los usuarios ven en el campo "De". Los atacantes pueden asociar un dominio SPF con una dirección visible diferente y engañosa, lo que significa que SPF por sí solo no puede detener todos los intentos de phishing.
  • Se rompe fácilmente con el reenvío de correo electrónico.Cuando se reenvía un correo electrónico, el reenvío serverLa dirección IP de no suele figurar en el registro SPF del remitente original. Por lo tanto, las comprobaciones SPF en el destinatario final pueden fallar aunque el mensaje sea legítimo. Esto hace que SPF sea menos fiable en entornos con un gran número de reenvíos o listas de correo.
  • Limitaciones de longitud de registros y búsquedas de DNSLa evaluación del FPS está limitada a 10 Búsquedas de DNSLos registros demasiado complejos pueden alcanzar este límite o volverse difíciles de gestionar. Las cadenas de inclusión largas o anidadas, los numerosos rangos de IP y los cambios frecuentes aumentan el riesgo de una configuración incorrecta, lo que genera errores temporales o resultados incorrectos.
  • Sin protección del contenido ni de la integridad del mensajeSPF solo valida la IP de envío con el dominio declarado. No firma ni protege el cuerpo ni los encabezados del correo electrónico. Un atacante que utilice un dominio autorizado... serverUna cuenta comprometida o un relé abierto aún podrían enviar contenido malicioso que pase SPF.
  • Requiere mantenimiento continuo a medida que cambian los remitentes.Cada vez que agregue, cambie o elimine proveedores de correo electrónico e infraestructura de envío, su registro SPF debe actualizarse. Si no se realiza este mantenimiento, los correos electrónicos legítimos de nuevos servicios podrían no superar las comprobaciones SPF y ser enviados a la carpeta de correo no deseado o rechazados.
  • Valor limitado sin DKIM y DMARCPor sí solo, SPF solo proporciona autenticación parcial. Sin DKIM para verificar el contenido ni DMARC para especificar cómo gestionar los fallos y alinear las direcciones visibles, la capacidad de SPF para detener campañas de phishing sofisticadas es limitada. Funciona mejor como una capa dentro de una estrategia más amplia de autenticación de correo electrónico.

Preguntas frecuentes sobre el marco de políticas del remitente

Aquí encontrará las respuestas a las preguntas más frecuentes sobre el marco de políticas de remitentes.

¿Por qué SPF provocó que mi correo fuera rechazado?

Si su correo fue rechazado debido a SPF, significa que el correo receptor server Se determinó que la dirección IP o el servicio que envía el mensaje no estaba autorizado en el registro SPF de su dominio. Esto suele ocurrir cuando no se agrega un nuevo servicio de correo electrónico al registro SPF, cuando el reenvío interrumpe la validación SPF o cuando la política termina con un calificador estricto como "-all", que indica a los destinatarios que rechacen a los remitentes no autorizados. Actualizar el registro SPF para incluir todos los sistemas de envío legítimos y verificar si hay problemas de configuración suele resolver el problema.

¿SPF detiene todo tipo de phishing?

No, SPF no detiene todo el phishing. Si bien ayuda a evitar que los atacantes envíen correos electrónicos que parecen provenir de su dominio al bloquear el correo no autorizado. serversSolo verifica el remitente del sobre y no protege la dirección visible del remitente ni el contenido del mensaje. Los atacantes aún pueden usar dominios similares, cuentas comprometidas o nombres de usuario engañosos para llevar a cabo ataques de phishing. Para una mayor protección, se recomienda combinar SPF con DKIM y DMARC para garantizar la alineación y la detección, tanto de la identidad del remitente como de la integridad del mensaje.

¿Cuál es la diferencia entre SPF, DKIM y DMARC?

Aquí hay una tabla de comparación clara y concisa que explica la diferencia entre SPF, DKIM y DMARC:

CaracterísticaSPFDKIMDMARC
Propósito primarioVerifica si el correo de envío server está autorizado a enviar correo electrónico para el dominio.Verifica la integridad del contenido del correo electrónico mediante una firma criptográfica.Aplica la alineación entre SPF/DKIM y la dirección “De” visible y les dice a los receptores cómo manejar las fallas.
Cómo funcionaComprueba la IP del remitente con el registro DNS SPF del dominio.Comprueba una firma digital en el encabezado del correo electrónico con una Llave pública en DNS.Evalúa los resultados de SPF y/o DKIM y aplica la política del dominio (ninguna, cuarentena, rechazar).
Protege contraFalsificación de la dirección del remitente del sobre.Alterar el contenido del correo electrónico y falsificar la identidad del remitente.Tanto la suplantación de identidad como el phishing mediante la imposición de la alineación y la generación de informes sobre fallos de autenticación.
Lo que aseguraDominio del remitente del sobre SMTP.Integridad del cuerpo y encabezados de los mensajes.Autenticidad del dominio “De” visible y control de políticas.
Registro DNS requeridoRegistro TXT con envío aprobado servers.Registro TXT con clave pública.Registro TXT con reglas de alineación y opciones de informes.
Efecto sobre la capacidad de entregaMejora la aceptación de correo legítimo si es válido.Mejora considerablemente la confianza y la ubicación en la bandeja de entrada.Proporciona el máximo control, reduce la suplantación de identidad y mejora la reputación del correo electrónico en general.
Anastasia
Spasojevic
Anastazija es una escritora de contenido experimentada con conocimiento y pasión por cloud informática, tecnología de la información y seguridad en línea. En phoenixNAP, se centra en responder preguntas candentes sobre cómo garantizar la solidez y seguridad de los datos para todos los participantes en el panorama digital.