¿Tus campañas terminan en spam y tu plataforma de email dice que todo está bien? Es una de las situaciones más frustrantes para un email marketer: la tasa de entrega marca 98 %, el open rate se desploma y nadie entiende por qué. La causa suele ser un registro SPF ausente o mal configurado en la zona DNS del dominio remitente.
Un dominio sin SPF expone sus emails a dos comportamientos automáticos de los servidores de recepción: clasificación como spam o rechazo silencioso a nivel SMTP. Ninguno de los dos errores genera un bounce visible en tu panel de control. Los mensajes se envían, parecen «entregados» pero nunca llegan a la bandeja de entrada.
Buenas noticias: añadir un registro SPF válido lleva menos de 10 minutos. El tiempo de propagación DNS es la única variable fuera de tu control.
Qué hace exactamente un registro SPF
El servidor de correo de tu destinatario, antes de examinar el contenido del email, consulta la zona DNS de tu dominio para saber si el servidor que envió el mensaje está autorizado a hacerlo. El SPF, o Sender Policy Framework, es justo eso: una línea de texto en tu DNS que lista qué servidores pueden enviar en nombre de tu dominio.
Si esta línea está ausente, el servidor de recepción recibe una respuesta vacía. Lo que hace a continuación depende de su política interna. Gmail, desde noviembre de 2025, rechaza activamente los emails no conformes a nivel SMTP para los grandes volúmenes; se acabaron las «soft penalties», es un rechazo real. Microsoft Exchange es aún más estricto: muestra una tasa media de inbox placement del 75,6 % para los dominios parcialmente autenticados, según los datos de TrulyInbox (análisis de más de 32.000 cuentas, mayo de 2026).
Sin ninguna autenticación, esos mismos datos muestran un inbox placement por debajo del 30 %. Solo con SPF sube al 55-70 %; la stack completa SPF + DKIM + DMARC llega al 85-95 %. Son 60 puntos porcentuales de diferencia.
Por qué el problema pasa desapercibido tanto tiempo
En abril, un responsable de growth se da cuenta de que su open rate ha pasado del 32 % al 18 % en tres meses. Ningún cambio en el contenido, ninguna notificación de su ESP. La tasa de hard bounces se había mantenido normal. Su CMO quiere una explicación.
Este escenario está documentado en el informe Suped 2025 (Whittaker, actualizado mayo de 2026): el 43 % de las empresas presentan inbox misses significativos mientras sus plataformas muestran tasas de entrega superiores al 95 %. La razón está en la distinción entre «accepted» e «inboxed»: un email puede ser aceptado por el servidor destinatario y terminar en spam. Tu dashboard solo ve el primer paso.
La sender reputation no se degrada instantáneamente. Las primeras semanas, Gmail es relativamente tolerante. Pero cada envío fallido alimenta las señales negativas, el complaint rate sube, los soft bounces se acumulan, los usuarios dejan de hacer clic. Cuando la reputación IP empieza a caer en Postmaster Tools, el SPF ausente lleva a menudo meses causando daños.
Cómo verificar si tu SPF está ausente o roto
Tres herramientas sirven para este diagnóstico.
- MXToolbox SPF Lookup, introduce tu dominio en mxtoolbox.com, el resultado indica si existe un registro SPF y si es sintácticamente válido. Tiempo: 30 segundos.
- Google Postmaster Tools, si tu dominio envía a Gmail, la pestaña «Authentication» muestra la tasa de correos que superan SPF, DKIM y DMARC en los últimos 30 días. Una tasa SPF inferior al 95 % señala un problema activo.
- Un envío de prueba con «cabeceras en bruto», envía un email desde tu dominio a una dirección de Gmail, abre el mensaje, haz clic en «Ver original». La línea Received-SPF indica
pass,softfail,failonone.noneconfirma la ausencia de registro.
Si MXToolbox devuelve «No SPF Record Found» o si Postmaster Tools muestra una tasa de autenticación SPF inferior al 90 %, continúa con la corrección.
Crear un registro SPF válido: el método directo
Un registro SPF es un registro TXT en tu zona DNS. Su sintaxis básica es la siguiente:
v=spf1 include:_spf.google.com ~all
El mecanismo include: apunta a los servidores autorizados de tu proveedor de envío. Cada ESP proporciona su propio valor. Algunos ejemplos habituales:
| Proveedor | Mecanismo include a añadir | Caso de uso típico |
|---|---|---|
| Google Workspace | include:_spf.google.com |
Envío a través de Gmail pro |
| Brevo (ex-Sendinblue) | include:spf.brevo.com |
Campañas de marketing |
| Mailchimp / Mandrill | include:spf.mandrillapp.com |
Transaccional Mandrill |
| Amazon SES | include:amazonses.com |
Envío a través de AWS |
| OVHcloud MX Plan | include:mx.ovh.com |
Alojamiento compartido |
Si usas varios proveedores, combínalos en un solo registro: v=spf1 include:_spf.google.com include:spf.brevo.com ~all. Cuidado con el límite de 10 DNS lookups: cada mecanismo include: consume al menos un lookup y algunos encadenan otros. Superar este límite rompe la autenticación SPF aunque la sintaxis sea correcta.
El valor final ~all (softfail) o -all (fail estricto) define qué hacen los servidores con los mensajes no cubiertos. Para un dominio con una configuración estable, -all es preferible; durante la migración, mantén ~all hasta verificar que no se ha olvidado ninguna fuente legítima.
Añadir el registro en tu DNS: los pasos concretos
El procedimiento varía según el registrar o el proveedor de DNS, pero la lógica es la misma.
Accede a tu interfaz DNS (OVHcloud, Cloudflare, Gandi, Namecheap, GoDaddy). Localiza la zona DNS de tu dominio principal. Añade un nuevo registro de tipo TXT, con el nombre @ (o el dominio raíz según la interfaz) y pega tu valor SPF en el campo «Valor» o «Content». Guarda.
Cloudflare suele propagar en menos de 5 minutos. OVHcloud y Gandi pueden tardar entre 30 minutos y unas horas. Para verificar que la propagación es efectiva, vuelve a lanzar MXToolbox o usa dig TXT tudominio.com desde una terminal; cuando aparezca el registro, estará activo.
En la práctica, la configuración tarda entre 5 y 8 minutos en Cloudflare; el resto del tiempo anunciado (10 minutos) corresponde al diagnóstico inicial y a la verificación posterior.
La objeción que se escucha a menudo: «ya uso Lemlist, Instantly, mi ESP lo gestiona»
Las plataformas de outreach como Lemlist, Instantly o Smartlead configuran su propia infraestructura de envío y pueden añadir su mecanismo SPF en tu DNS a través de un asistente de onboarding. Pero este mecanismo solo cubre los envíos que pasan por sus servidores. Si tu dominio también envía a través de Google Workspace, un servidor SMTP interno u otra herramienta transaccional, esos flujos no están cubiertos por el include de tu ESP.
Un registro SPF cubre el conjunto de fuentes autorizadas para un dominio dado. El error clásico: un dominio configurado para Lemlist, sin include para Google Workspace, que ve sus emails de facturación o soporte acabar en spam porque el servidor de Google no está listado.
«Las SPF misconfigurations afectan al 15 % de los dominios que tienen SPF activado.» (dmarcian, citado por TrulyInbox, mayo de 2026)
Tener SPF no es suficiente si la lista de fuentes autorizadas está incompleta o si se superan los 10 DNS lookups.
Lo que SPF no resuelve por sí solo
Un SPF correctamente configurado mejora la autenticación del remitente, pero no firma el contenido del mensaje. Para eso existe el DKIM: un par de claves criptográficas que demuestra que el email no ha sido modificado en tránsito. Sin DKIM, los datos de TrulyInbox muestran una penalización adicional de 10 a 15 puntos de inbox placement.
DMARC combina SPF y DKIM para definir qué ocurre si un email falla ambas verificaciones: rechazarlo, ponerlo en cuarentena o solo monitorizar. Sin DMARC, aunque SPF y DKIM estén bien configurados, tu dominio sigue siendo vulnerable al spoofing y, sobre todo, no tienes informes agregados para detectar anomalías. En 2026, el 78 % de las organizaciones conocen DMARC pero solo el 42 % lo aplican realmente con una política estricta (Valimail, State of DMARC 2026).
Empezar por SPF sigue siendo la prioridad, ya que es el requisito técnico de los otros dos. Pero SPF solo sitúa tu inbox rate entre el 55 y el 70 %. La list hygiene y el IP warmup hacen el resto.
Gmail rechaza ahora los correos no autenticados a nivel SMTP. Añadir el registro TXT en el DNS es la única variable que controlas completamente, y no lleva más de diez minutos.
