Guía Red Sift de configuración de protocolos de correo electrónico
Fallos SPF: bloqueo estricto vs bloqueo suave
¿Qué es un fallo SPF?
Un fallo SPF ocurre cuando la dirección IP del remitente no se encuentra en el registro SPF publicado. Los fallos afectan significativamente la entregabilidad de tus correos electrónicos, ya que pueden enviarse a la carpeta de spam o ser descartados por completo. Esto puede ser catastrófico para las empresas que dependen del correo electrónico para comunicarse con sus clientes. Con los principales proveedores de correo exigiendo autenticación en 2026, los fallos SPF tienen consecuencias directas en la entrega del correo.
Existen dos tipos de fallos SPF: bloqueo suave (softfail) y bloqueo estricto (hardfail). Un bloqueo estricto indica que un correo electrónico no está autorizado, mientras que un bloqueo suave significa que probablemente no está autorizado. Para el destinatario, esto determina cómo se trata el correo; un hardfail indica que debe rechazarse el correo, mientras que un softfail sugiere que debería enviarse a la carpeta de spam.
Usaremos dos ejemplos para mostrar la diferencia visual entre ambos.
Ejemplo de bloqueo estricto SPF
v=spf1 ip4:192.168.0.1 -all
En el ejemplo anterior, el símbolo menos (delante de all al final del registro) significa que cualquier remitente no listado en este registro SPF debe ser tratado como bloqueo estricto, es decir, no está autorizado y los correos de esas fuentes deben ser descartados. En este caso, solo la dirección IP 192.168.0.1 está autorizada para enviar correos electrónicos y ninguna otra.
Ejemplo de bloqueo suave SPF
v=spf1 include:spf.protection.outlook.com ~all
En el ejemplo anterior, el símbolo de tilde (delante de all al final del registro) significa que cualquier remitente no listado en este registro SPF debe ser tratado como bloqueo suave, es decir, el correo puede pasar pero debe marcarse como spam o sospechoso. En este caso, el mecanismo include:spf.protection.outook.com autoriza a Microsoft 365 para enviar correos electrónicos. Cualquier correo originado en otros servidores debe ser marcado como spam por los destinatarios.
¿No estás seguro de tu configuración SPF? Utiliza nuestro verificador gratuito para comenzar.
¿Qué modo de fallo SPF deberías usar?
Dado que el bloqueo estricto ("-all") indica rechazar cualquier remitente no autorizado que no figure en el registro SPF, podría parecer la opción ideal. Sin embargo, la decisión es más compleja.
En la era previa a DMARC, los registros SPF solían utilizar el mecanismo "-all" para aplicar políticas estrictas al remitente, sin la capa adicional de DKIM y DMARC para ayudar a autenticar correos legítimos.
Sin embargo, la recomendación actual de la industria en 2026 favorece "~all" para equilibrar seguridad y entregabilidad, evitando el rechazo innecesario de correos válidos que puedan fallar SPF pero pasar DKIM y DMARC.
En el sector, se reconoce que se debe tener cuidado con los modos SPF; la especificación de DMARC (RFC 7489) indica lo siguiente:
“Algunas plataformas receptoras pueden implementar SPF antes de cualquier operación DMARC. Esto significa que un prefijo "-" en el mecanismo SPF del remitente, como "-all", podría provocar un rechazo anticipado en el manejo, causando el rechazo del mensaje antes de realizar cualquier procesamiento DMARC. Los operadores que elijan usar "-all" deben ser conscientes de esto.”
Por estos motivos, sugerimos lo siguiente
- Usa "-all" para dominios inactivos que no envían correos: Aplica "-all" solo si el dominio no envía ningún correo electrónico. Esta configuración bloquea estrictamente correos no autorizados, pero existe el riesgo de rechazar correos legítimos si el registro SPF no está actualizado.
- Usa "~all" para dominios activos que envían correos: Opta por "~all" si utilizas SPF junto con DKIM y DMARC para combatir el phishing y la suplantación de identidad. Esto se debe a que “~all”, combinado con DMARC (en p=reject), seguirá rechazando correos no autenticados si fallan SPF y DKIM. Este modo no bloquea correos legítimos, mejorando la entregabilidad total.
En resumen, el bloqueo suave (softfail) logra un equilibrio entre una seguridad estricta (que podría bloquear correos legítimos) y la flexibilidad en la entrega del correo, garantizando que se puedan entregar mensajes incluso si hay fallos ocasionales en el registro SPF.
¿Cómo tratan las empresas de calificación de ciberseguridad el bloqueo suave SPF?
Es posible que algunas empresas de calificación te penalicen si tus dominios utilizan el bloqueo suave SPF. Sin embargo, creemos que degradar la puntuación de seguridad de un dominio por la presencia de softfail puede distorsionar su perfil de riesgo real y penalizar inadvertidamente a organizaciones que adoptan prácticas recomendadas de la industria para una gestión y seguridad responsable del correo electrónico. En 2026, una correcta implementación de DMARC con p=reject aporta la capa de refuerzo necesaria para abordar cualquier preocupación sobre el softfail de SPF.
Por otro lado, servicios de calificación como Security Scorecard reconocen que DMARC (cuando está en política de cuarentena o rechazo) es un control “compensatorio” para el softfail SPF.
Si eres penalizado por implementar un softfail SPF en una auditoría de ciberseguridad, comunícate directamente con la empresa calificadora para explicar tu estrategia de autenticación de correo y cómo se alinea con las mejores prácticas de la industria. Defiende un criterio más matizado para evaluar la postura de seguridad, considerando el contexto completo de tus medidas de seguridad de correo en lugar de penalizar configuraciones específicas de forma aislada.
Por qué SPF no es suficiente y aún necesitas DMARC
Independientemente del modo de fallo que definas en tu registro SPF, es poco probable que los servidores receptores respeten tu política solicitada. Por eso DMARC ha pasado a ser obligatorio para los principales proveedores de correo en 2026. Esto se debe a que SPF tiene las siguientes limitaciones:
- No exige alineación entre el dominio en el campo
Fromy la direcciónReturn-Pathque verifica. No es necesario que coincidan desde el punto de vista de SPF. - SPF no ofrece funcionalidad de informes, por lo que el receptor no envía reportes al remitente sobre los resultados de la autenticación de correo.
- SPF no sobrevive al reenvío automático ni a flujos indirectos de correo, lo que puede generar problemas de autenticación.
Debido a estas limitaciones, DMARC (Autenticación, Informes y Conformidad de Mensajes Basados en Dominio) fue creado como un estándar adicional de autenticación de correo. DMARC aborda las carencias de SPF y aporta las siguientes mejoras:
- DMARC se centra en el encabezado visible
From, que es el que ven los usuarios finales. - DMARC exige la alineación entre el dominio usado por SPF y la dirección visible
Fromen el correo. - DMARC ignora las diferencias entre bloqueo suave y estricto en la configuración SPF, tratándolos simplemente como fallos SPF.
- DMARC ofrece funcionalidad de reportes, permitiendo que los resultados de autenticación sean enviados al propietario del dominio
From. Esto ayuda a identificar usos indebidos y solucionarlo con remitentes legítimos. - DMARC incluye una política que indica a los servidores receptores cómo actuar ante correos que no superan la autenticación, política que los receptores aplican. En cambio, SPF por sí solo no tiene mecanismos de refuerzo.
DMARC ha sido ampliamente adoptado como un requisito de autenticación porque soluciona las limitaciones de SPF y DKIM, bloquea la suplantación exacta del correo y mejora la entregabilidad. Desde 2026, DMARC es obligatorio para remitentes masivos en Google, Yahoo y Microsoft, consolidando su rol como el estándar de autenticación de correo.
Preguntas frecuentes: Guía de configuración de protocolos de correo electrónico
Antes de DMARC, en los registros SPF se utilizaba a menudo el mecanismo “-all” para imponer políticas estrictas a los remitentes. Sin embargo, las recomendaciones actuales del sector para 2026 favorecen “~all” para equilibrar la seguridad con la entregabilidad y evitar el rechazo innecesario de correos legítimos que fallen SPF pero pasen DKIM y DMARC.
La razón es que “~all”, combinado con DMARC (en p=reject), permite igualmente que los emails no autenticados no se entreguen cuando SPF y DKIM fallan, sin bloquear correos legítimos, mejorando así la entregabilidad global.
Las especificaciones DMARC (RFC 7489) indican que un prefijo “-” en el mecanismo SPF del remitente –como “-all”– puede implicar el rechazo de un email ya en la fase inicial, es decir, antes de que se aplique DMARC. Utiliza “-all” solo en dominios inactivos que nunca envían correo. DMARC no distingue entre Soft Fail y Hard Fail en SPF: considera ambos simplemente como un fallo de SPF.
DMARC requiere no solo que SPF o DKIM resulten positivos, sino también que al menos uno de los dominios utilizados con SPF o DKIM coincida con el dominio presente en la cabecera From. Un correcto alineamiento es fundamental en 2026 para la entrega de los correos, ya que los principales proveedores ahora exigen esta comprobación.
Para SPF, el alineamiento significa que la verificación de MAIL FROM/Return-PATH ha sido exitosa y la parte de dominio de MAIL FROM/Return-PATH coincide con el dominio de la dirección From. En modo Strict ambos deben ser idénticos; en modo Relaxed se aceptan también los subdominios si pertenecen al mismo organizational domain.
Ejemplo: si MAIL-FROM/RETURN-PATH es @ondmarc.com y el From-header es @knowledge.ondmarc.com, no están alineados en modo Strict, pero DMARC los consideraría válidos en modo Relaxed.
Un informe agregado DMARC recoge información sobre el estado de autenticación de los mensajes enviados en nombre de un dominio. Se trata de un informe bounce en XML que resume qué correos han pasado o fallado SPF y DKIM. Permite a los propietarios del dominio tener una visión precisa de las fuentes que envían correos en su nombre y el resultado (política del destinatario).
Los destinatarios utilizan la etiqueta 'rua' del registro DMARC para enviar estos reportes. Puedes definir la frecuencia usando la etiqueta ri en el registro DMARC (valor predeterminado: 86400 segundos, es decir, 24h). Los reportes forenses aportan mucho más detalle sobre cada fallo de autenticación. Los datos personales se eliminan, pero toda la información útil para resolver incidencias, como cabeceras SPF/DKIM, dirección completa del remitente y asunto, se transmite.
La dirección para recibir los informes forenses DMARC se indica mediante la etiqueta 'ruf'. No todos los sistemas soportan este tipo de reportes. Red Sift OnDMARC es una de las pocas soluciones que puede recibir reportes forenses, gracias a su colaboración con Yahoo.
Una macro SPF es un mecanismo en los registros SPF que permite definir conjuntos reutilizables de direcciones IP. Las macros SPF aportan mayor flexibilidad y facilidad de mantenimiento: puedes definir conjuntos complejos de IP en un único mecanismo y referenciarlos en varios registros. Por ejemplo, en lugar de enumerar cada IP autorizada, puedes usar una macro como “%{i}”, que recoge la IP saliente del correo. De este modo puedes gestionar fácilmente grandes listas de IP sin sobrepasar el límite de consultas SPF y hacer menos visibles las autorizaciones IP durante las consultas DNS.
Dependiendo de la estructura de la macro en el registro SPF, una macro que no se expande puede provocar errores SPF o un resultado neutral (?all). Si el envío de correos legítimos depende de las macros SPF, estas pueden causar más fallos o etiquetar como sospechoso el tráfico hacia sistemas que dependen de SPF.
Mail Transfer Agent Strict Transport Security (MTA-STS) es un estándar para el cifrado de los mensajes entre dos servidores de correo. Indica a los servidores remitentes que los emails deben entregarse solo a través de una conexión segura mediante Transport Layer Security (TLS), protegiendo así contra intentos de interceptación por parte de ciberdelincuentes.
La adopción de MTA-STS ha crecido rápidamente y en 2026 la seguridad del transporte será considerada esencial para la protección del correo en tránsito. Para activar MTA-STS en un dominio receptor, es necesario declarar el soporte mediante DNS y hacer disponible un archivo de políticas en el propio sitio web.
MTA-STS debe activarse con cautela para no provocar bloqueos accidentales. Se recomienda empezar por el modo Test: así, gracias a los reportes TLS, puedes identificar y solucionar errores antes de pasar al modo strict. Este enfoque gradual probablemente será el estándar para la protección del email en tránsito en 2026.
SMTP TLS Reporting (TLS-RPT), según RFC8460, sirve para reportar problemas de conectividad TLS desde los servidores MTA remitentes. Al igual que con DMARC, aquí también se reciben reportes por correo cuando los problemas TLS afectan la entrega. Los informes incluyen las políticas MTA-STS detectadas, estadísticas de tráfico, conexiones fallidas y motivos de error.
Con la función MTA-STS en Red Sift OnDMARC no tendrás que preocuparte por implementaciones complejas. Basta con añadir los Smart Record MTA-STS proporcionados por OnDMARC a tu DNS y Red Sift se encarga del hosting del archivo de política, gestión del certificado SSL y el envío automático de reportes TLS de incumplimiento. En 2026, el MTA-STS alojado es cada vez más un estándar previsto en plataformas modernas de DMARC, facilitando así la integración del cifrado en el transporte.
Según RFC 7671, DANE (DNS-based Authentication of Named Entities) es un nuevo estándar de Internet para establecer comunicaciones TLS entre cliente y servidor sin depender de las autoridades de certificación (CA) tradicionales.
En el modelo actual, cualquier CA puede emitir un certificado para cualquier dominio. DANE adopta otro enfoque, aprovechando la infraestructura DNSSEC (Domain Name System Security Extensions) para asociar criptográficamente un nombre de dominio a un certificado. DANE se basa en el protocolo DNSSEC existente para garantizar la autenticidad e integridad de la recepción.
DANE además introduce un nuevo tipo de registro DNS, TLSA, que señala al cliente el soporte de TLS por parte del servidor. Se recomienda implementar tanto MTA-STS como DANE. DANE es obligatorio para muchas entidades públicas, en particular en la UE.
MTA-STS y DANE sólo son eficaces si también el servidor remitente los soporta; muchos implementan sólo uno de los dos. Activar ambos aumenta la seguridad general. En 2026, las organizaciones suelen adoptar primero MTA-STS para máxima compatibilidad y después implementan DANE para un nivel de seguridad superior cuando resulta necesario.
La política para subdominios permite a los administradores proteger de forma diferenciada distintos dominios y subdominios, dependiendo del estado de implementación de DMARC. Por ejemplo, si todos los servicios de envío asociados al dominio principal ya están protegidos con SPF y DKIM, puedes establecer una política DMARC p=reject en el dominio principal y p=none en los subdominios, o viceversa.
Si un servicio de envío no soporta DMARC (es decir, no implementa SPF o DKIM), puedes asignarle un subdominio separado con su propia política DMARC, sin comprometer la protección de los demás dominios. Esto permite distribuir el tráfico entre distintos subdominios y protegerlos por separado según las necesidades.