Solucionar problemas de SPF

Protégete contra el spoofing y el phishing, y evita que tus mensajes se marquen como spam

Sigue los pasos que se indican en este artículo si has configurado SPF, pero los mensajes enviados desde tus dominios continúan teniendo estos problemas:

• No superan la autenticación SPF
• Los servidores receptores los rechazan
• Se envían a las carpetas de spam de los destinatarios

Nota: Después de añadir un registro SPF, la autenticación SPF puede tardar hasta 48 horas en empezar a funcionar.

Pasos básicos para solucionar problemas de SPF

Siguiendo los pasos de esta sección, se pueden identificar y resolver muchos problemas relacionados con SPF.

Comprueba que SPF esté bien configurado

Para saber si tu registro SPF está bien configurado, consulta estos pasos de configuración:

1. Comprueba si ya tienes un registro SPF.
2. Define tu registro SPF.
3. Añade tu registro SPF al proveedor de tu dominio.
4. Asegúrate de que tu dominio solo tenga un registro SPF.

Confirma que los mensajes que envías superan la autenticación SPF

El resultado de la comprobación de SPF se incluye en las cabeceras de los mensajes de correo. Comprueba que los mensajes enviados desde tu dominio superen la autenticación SPF.

Pasos recomendados:

• Para saber si tus mensajes superan la autenticación SPF, consulta la cabecera de un mensaje enviado desde tu dominio.
• En Gmail, haz clic en la opción Mostrar original de un mensaje y comprueba cuál es su estado de SPF. Más información sobre cómo consultar las cabeceras de mensajes en Gmail 
• Introduce las cabeceras de los mensajes en la herramienta Messageheader de Caja de herramientas de Google Admin y consulta su estado de SPF.

Asegúrate de que en tu registro SPF estén incluidos todos los remitentes de correo actuales

Si en tu registro SPF no están indicados todos los servicios o servidores que envían correo en nombre de tu dominio, es posible que los servidores que reciban mensajes de los servicios no incluidos marquen esos mensajes como spam.

Pasos recomendados:

• Consulta los servidores y los servicios que has incluido en tu registro SPF. Sigue los pasos que se indican en Comprueba si ya tienes un registro SPF. Asegúrate de que en tu registro SPF estén incluidos todos los servidores y remitentes que envían correos en nombre de tu dominio.
• Siempre que añadas un nuevo remitente, incluye su información en tu registro SPF. Sigue los pasos del artículo Definir el registro SPF. A continuación, añade el registro SPF actualizado a tu dominio siguiendo los pasos del artículo Añadir un registro SPF al proveedor de un dominio.

Comprueba el reenvío de mensajes

Aunque tu dominio tenga SPF configurado correctamente, es posible que los mensajes reenviados no superen la autenticación SPF. Si ocurre, suele ser por la forma en que el servidor correspondiente reenvía los mensajes.

Pasos recomendados:

• Para saber si un mensaje se ha reenviado y conseguir la dirección del destinatario original, consulta los detalles del mensaje con la Búsqueda en el registro de correo. Si la persona que ha marcado un mensaje como spam no es el destinatario original, es probable que alguien le haya reenviado el mensaje.
• Ponte en contacto con la persona o entidad que ha reenviado el mensaje para saber si puede cambiar la forma en que reenvía los mensajes.
• Comprueba si hay actividad de correo sospechosa con las herramientas que se describen en la sección Pasos avanzados para solucionar problemas de SPF. A veces, los spammers reenvían mensajes para suplantar la identidad de dominios u organizaciones.

Revisa cómo se envía el correo en tu organización

Si tu dominio tiene un registro SPF válido, pero aun así tus mensajes se marcan como spam, puede que el problema no sea SPF. 

Pasos recomendados:

• Sigue las directrices para enviar correos a usuarios de Gmail, sobre todo si envías muchos mensajes.

Pasos avanzados para solucionar problemas de SPF

Si no has podido identificar el problema que tienes siguiendo los pasos básicos, prueba con los pasos avanzados que se indican en esta sección.

Consulta los resultados de la autenticación SPF en las cabeceras de los mensajes

En las cabeceras de los mensajes que se envían desde tu dominio hay información sobre la autenticación SPF. Para ver las cabeceras completas de esos mensajes, sigue los pasos que se indican en el artículo Rastrear un correo mediante sus cabeceras completas.

Busca en la cabecera de los mensajes la parte que empieza por Authentication-Results y fíjate en el texto que aparece junto a la entrada spf. Dependiendo de la información que contenga esta parte de la cabecera, sigue los pasos que se recomiendan en esta tabla.

Contenido de la cabecera del mensaje	Posibles motivos	Pasos recomendados
No hay ninguna entrada spf en Authentication-Results	El mensaje no ha pasado por ninguna comprobación de SPF. Es posible que tu registro SPF no esté bien configurado.	Comprueba que SPF esté configurado correctamente.
La entrada spf incluye best guess record	Estos son algunos de los posibles motivos: SPF no está configurado en tu dominio. SPF no está bien configurado en tu dominio. Hay un problema con el DNS del proveedor de tu dominio.	Comprueba que SPF esté configurado correctamente. Ponte en contacto con el proveedor de tu dominio para descartar que haya problemas con su DNS.
El resultado de SPF es neutral, softfail o fail	El resultado de SPF es el texto que aparece después de spf=. Estos son algunos de los posibles motivos: El mensaje es de un remitente legítimo, pero la dirección IP de ese remitente no está incluida en tu registro SPF. El mensaje se ha enviado intencionadamente desde una dirección IP no verificada. El mensaje es de un remitente no autorizado. En este caso, el resultado de SPF es correcto.	Comprueba que SPF esté configurado correctamente. Asegúrate de que tu registro SPF incluya todos los remitentes de correo actuales.
El resultado de SPF es temperror o permerror	El resultado de SPF es el texto que aparece después de spf=.  Estos son algunos de los posibles motivos: El mensaje es de un remitente legítimo, pero la dirección IP de ese remitente no está incluida en tu registro SPF. El mensaje se ha enviado intencionadamente desde una dirección IP no verificada. El mensaje es de un remitente no autorizado. En este caso, el resultado de SPF es correcto.	Comprueba que SPF esté configurado correctamente. Comprueba las peticiones de DNS de tu registro SPF. Ponte en contacto con el proveedor de tu dominio para descartar que haya problemas con su DNS.

Comprueba las peticiones de DNS de tu registro SPF

Los registros SPF pueden hacer hasta 10 peticiones. Por eso, en tu registro TXT SPF no puede haber más de 10 referencias a otros dominios. Se genera una petición de DNS cada vez que usas uno de los siguientes mecanismos en tu registro SPF: a, mx, include o ptr.

Si tu registro TXT hace más de 10 peticiones, los mensajes enviados desde tu dominio no superarán la comprobación SPF, por lo que podrían marcarse como spam.

¿Qué son las peticiones de DNS? Cuando un servidor de correo compara los mensajes que recibe con tu registro SPF, es posible que el servidor tenga que hacer una petición, que es el proceso de averiguar las direcciones IP de un dominio. Si tu registro SPF autoriza a otros dominios a enviar correo en tu nombre, los servidores que reciben esos mensajes comprueban la dirección IP del dominio autorizado que corresponda. 

Pasos recomendados:

• Consulta cuántas peticiones incluye tu registro SPF con la herramienta Check MX de Caja de herramientas de Google Admin. 
• Quita los mecanismos duplicados y los que hagan referencia a un mismo dominio.
• No te olvides de las peticiones anidadas, que también se tienen en cuenta en el límite de 10 peticiones. Si tu registro SPF incluye un dominio que a su vez incluye otros dominios en su registro SPF, esos otros dominios se tienen en cuenta en el límite de tu registro SPF.
• Cuando uses el mecanismo include, ten presente que las peticiones anidadas pueden hacer que tu registro SPF supere el límite de 10 peticiones.
• Si usas los mecanismos ip4 o ip6, recuerda que los registros SPF tienen un límite de 255 caracteres.
• Incluye solo los dominios que envían correo habitualmente en tu nombre.
• Quita los mecanismos include que uses para indicar terceros que ya no envían correo en nombre de tu dominio.

Consulta información detallada con las herramientas de datos de Google Workspace

Para ver información detallada sobre la entrega y la autenticación de correo de tu dominio, prueba estas herramientas de datos de Google Workspace.

Herramienta	Pasos recomendados
Búsqueda en el registro de correo	Para solucionar problemas con el reenvío de correos, necesitas la dirección de destino original de los mensajes entrantes y salientes. Puedes conseguir esa información con la Búsqueda en el registro de correo (ELS). Esta herramienta incluye la dirección IP de origen de los mensajes entrantes para que puedas solucionar problemas de autenticación SPF. También muestra si los mensajes recibidos por usuarios de tu dominio se han marcado como spam.
Informe "Autenticación"	Con el informe "Autenticación", puedes saber qué mensajes de tu dominio superan las comprobaciones de autenticación SPF, DKIM y DMARC.
Postmaster Tools	Si sueles enviar gran cantidad de correos, puedes consultar información detallada sobre los mensajes enviados por tu dominio con Postmaster Tools. Esta herramienta ofrece información sobre errores de entrega, informes de spam y bucles de retroalimentación.
Herramienta de investigación de seguridad	Con la herramienta de investigación de seguridad, puedes consultar el estado de autenticación de los mensajes entrantes e identificar mensajes entrantes no autenticados.
Informes de BigQuery y de Gmail	Con los informes de BigQuery de Gmail, puedes consultar el estado de autenticación de los mensajes entrantes, información detallada sobre