Guía de configuración de protocolos de correo electrónico de Red Sift

Publicado el:30 de septiembre de 2025
Última modificación:1 de abril de 2026
Capítulo:6 min de lectura
Guía:82 min de lectura
image
Explora nuestra guía
En este capítulo
En este capítulo

Fallos SPF: Hard fail vs Soft fail

¿Qué es un fallo SPF?

Un fallo SPF ocurre cuando la dirección IP del remitente no se encuentra en el registro SPF publicado. Los fallos afectan significativamente la entregabilidad de tu correo electrónico ya que pueden hacer que el mensaje sea enviado a la carpeta de spam o incluso descartado por completo. Esto puede resultar catastrófico para las empresas que dependen del correo electrónico para contactar a sus clientes. Con los principales proveedores de bandeja de entrada exigiendo requisitos de autenticación en 2026, los fallos SPF tienen consecuencias directas en la entrega.

Existen dos tipos de fallos SPF: softfail y hardfail. Un hardfail indica que un correo electrónico no está autorizado, mientras que un softfail significa que probablemente no ha sido autorizado. Para el destinatario, esto determina el tratamiento del correo; un hardfail le indica que debe rechazar el correo electrónico, mientras que un softfail sugiere desviarlo a spam.

Usaremos dos ejemplos para mostrar la diferencia visual entre ambos.

Ejemplo de SPF hardfail

v=spf1 ip4:192.168.0.1 -all

En el ejemplo anterior, el símbolo menos (delante de all al final del registro) significa que cualquier remitente no listado en este registro SPF debe ser tratado como un hardfail, es decir, no está autorizado, y sus correos deben ser descartados. En este caso, solo la dirección IP 192.168.0.1 está autorizada para enviar emails; ninguna otra.

Ejemplo de SPF softfail

v=spf1 include:spf.protection.outlook.com ~all

En el ejemplo anterior, el símbolo de tilde (delante de all al final del registro) significa que cualquier remitente no listado en este registro SPF debe ser tratado como un softfail, es decir, se puede permitir el paso del correo pero debe marcarse como spam o sospechoso. En este caso, el mecanismo include:spf.protection.outook.com autoriza a Microsoft 365 a enviar emails. Cualquier correo que provenga de otros servidores debe ser marcado como spam por los destinatarios. 

¿No estás seguro de tu configuración SPF? Utiliza nuestro verificador gratuito para comenzar.

¿Qué modo de fallo SPF deberías usar?

Dado que el hardfail ("-all") indica que se rechace a cualquier remitente no autorizado que no se encuentre en el registro SPF, podría parecer la opción de preferencia. Sin embargo, la decisión es más matizada.

En una era previa a DMARC, los registros SPF solían emplear el mecanismo "-all" para hacer cumplir estrictamente las políticas de remitente, sin la capa adicional de DKIM y DMARC para autenticar correos legítimos.

No obstante, la guía actual de la industria en 2026 favorece el uso de "~all" para equilibrar seguridad y entregabilidad, evitando rechazos innecesarios de correos válidos que podrían fallar SPF pero pasar DKIM y DMARC.

El sector coincide en que hay que tener precaución con los modos SPF; la especificación DMARC (RFC 7489) indica:

“Algunas arquitecturas receptoras pueden implementar SPF antes de cualquier operación DMARC. Esto significa que un prefijo "-" en un mecanismo SPF del remitente, como "-all", puede hacer que ese rechazo se aplique antes en el manejo del mensaje, provocando su rechazo antes de que se realice el procesamiento DMARC. Los operadores que decidan usar "-all" deben ser conscientes de esto.”

Por estas razones, sugerimos lo siguiente

  • Utiliza "-all" para dominios inactivos, que no envían correos: Aplica "-all" solo si el dominio no envía mensajes de correo en absoluto. Esta configuración bloquea estrictamente los correos no autorizados, pero corre el riesgo de rechazar mensajes legítimos si el registro SPF no está actualizado.
  • Utiliza "~all" para dominios activos, que envían correos: Decídete por "~all" si usas SPF en combinación con DKIM y DMARC para combatir phishing y suplantación. Esto se debe a que “~all”, cuando se implementa junto a DMARC (en p=reject), igualmente rechazará correos no autenticados si SPF y DKIM fallan. Este modo no bloquea correos legítimos, mejorando así la entregabilidad general del email.

En resumen, el softfail logra un equilibrio entre la seguridad estricta (que podría bloquear correos legítimos) y la flexibilidad en la entrega, asegurando que los correos se puedan entregar incluso si hay desajustes ocasionales en el registro SPF.

¿Cómo tratan el softfail SPF las empresas de calificación en ciberseguridad? 

Es posible que algunas empresas de calificación te penalicen si tus dominios están configurados con SPF softfail. Sin embargo, consideramos que rebajar la puntuación de seguridad de un dominio solo por la presencia de softfail puede dar una imagen engañosa del perfil de riesgo real y castigar inadvertidamente a organizaciones que siguen las prácticas recomendadas del sector para la gestión responsable y la seguridad del correo. En 2026, una implementación adecuada de DMARC con p=reject proporciona la capa de cumplimiento necesaria ante cualquier preocupación sobre el softfail de SPF.

Por otro lado, servicios de calificación como Security Scorecard reconocen que DMARC (cuando se configura en política de cuarentena o rechazo) es un control “compensatorio” frente al softfail de SPF.

Si eres penalizado por implementar SPF softfail en una auditoría de ciberseguridad, ponte directamente en contacto con la empresa de calificación para explicar tu estrategia de autenticación y su alineación con las prácticas óptimas del sector. Aboga por un enfoque más matizado a la hora de evaluar la postura de seguridad, que tenga en cuenta el contexto completo de tus medidas y no penalice configuraciones específicas de forma aislada.

Por qué SPF no es suficiente y todavía necesitas DMARC

Independientemente del modo de fallo que indiques en tu registro SPF, es poco probable que los servidores receptores respeten tu política solicitada. Por eso, DMARC se vuelve requerido por los principales proveedores de correo en 2026. Esto se debe a que SPF es limitado porque:

  1. No exige alineación entre el dominio en el campo From y la dirección Return-Path que verifica. Desde la perspectiva de SPF, no tienen que coincidir.
  2. SPF no facilita la funcionalidad de informes, es decir, el receptor no envía reportes al remitente sobre los resultados de autenticación.
  3. SPF no sobrevive al reenvío automático ni a flujos de correo indirectos, lo que puede provocar problemas de autenticación.

Debido a estas limitaciones, DMARC (Autenticación, Informes y Conformidad de Mensajes Basados en Dominio) se introdujo como estándar adicional de autenticación. DMARC soluciona las deficiencias de SPF y ofrece las siguientes mejoras:

  1. DMARC se enfoca en el encabezado visible From, el cual ven los usuarios finales.
  2. DMARC exige alineación entre el dominio usado por SPF y la dirección visible From en el correo electrónico.
  3. DMARC ignora los matices de soft fail y hard fail en la configuración SPF, tratándolos simplemente como fallos de SPF.
  4. DMARC proporciona informes, permitiendo que los resultados de autenticación sean enviados al propietario del dominio From. Esto ayuda a detectar usos indebidos y corregir configuraciones con remitentes legítimos.
  5. DMARC incluye una política que instruye a los receptores sobre cómo gestionar correos fallidos, y los receptores aplican esta política. SPF, en cambio, carece de mecanismos de imposición.

DMARC ha sido ampliamente adoptado como requisito de autenticación ya que supera las limitaciones de SPF y DKIM, bloquea la suplantación exacta de correo y mejora la entregabilidad. A partir de 2026, DMARC es obligatorio para los remitentes de correo masivo en Google, Yahoo y Microsoft, consolidando su papel como estándar de autenticación de correo electrónico.

Comprueba gratis tu registro SPF, sin necesidad de registro.

email set up imageemail set up image
¿Tu email está bien configurado? Descúbrelo gratis en menos de un minuto

Preguntas frecuentes: Guía de configuración de protocolos de correo electrónico

¿Cuál es la diferencia entre SPF hard fail (-all) y soft fail (~all), y cuál debería usar en 2026?

En la era anterior a DMARC, los registros SPF solían usar el mecanismo "-all" para aplicar estrictamente las políticas del remitente. Sin embargo, la orientación actual de la industria en 2026 prefiere "~all" para equilibrar seguridad y entregabilidad, evitando el rechazo innecesario de correos válidos que podrían fallar SPF pero pasar DKIM y DMARC.

Esto se debe a que "~all" cuando se implementa junto con DMARC (en p=reject) sigue rechazando el correo no autenticado si SPF y DKIM fallan, pero no bloquea el correo legítimo, mejorando así la entregabilidad general del correo electrónico.

La especificación de DMARC (RFC 7489) indica que un prefijo "-" en el mecanismo SPF del remitente, como "-all", puede provocar que el rechazo se efectúe temprano durante el procesamiento, causando el rechazo del mensaje antes de cualquier evaluación DMARC. Utilice "-all" solo para dominios inactivos que no envían correos (dominios que no envían ningún correo en absoluto). DMARC ignora los matices entre soft fail y hard fail en la configuración de SPF, tratándolos a ambos como fallos de SPF.

¿Cómo funciona la alineación de DMARC y cuál es la diferencia entre la alineación estricta y la relajada?

DMARC no solo requiere que SPF o DKIM PASEN sino que también exige que al menos uno de los dominios utilizados por SPF o DKIM se alinee con el dominio que aparece en el encabezado From. Una correcta alineación es crítica para la entregabilidad de correos en 2026, ya que los principales proveedores de buzones aplican estos requisitos.

En el caso de SPF, la alineación de identificador significa que la verificación de MAIL FROM/Return-PATH debe PASAR y además el dominio en MAIL FROM/Return-PATH debe coincidir con el dominio del From. En alineación estricta, los dominios deben coincidir exactamente, mientras que en la alineación relajada se permiten subdominios siempre que provengan del mismo dominio organizacional.

Por ejemplo, si MAIL-FROM/RETURN-PATH es @ondmarc.com y el encabezado From es @knowledge.ondmarc.com, en alineación estricta no están alineados. Sin embargo, en modo de alineación relajada, DMARC aprobaría.

¿Qué son los informes agregados y los informes forenses de DMARC y en qué se diferencian?

Un informe agregado de DMARC contiene información sobre el estado de autenticación de los mensajes enviados en nombre de un dominio. Es un informe de retroalimentación en XML diseñado para brindar visibilidad sobre los correos que aprobaron o fallaron SPF y DKIM. El informe ofrece a los propietarios de dominios una visión precisa de qué fuentes envían en su nombre y la disposición de esos correos (la política que aplicó el receptor).

Los destinatarios revisarán la etiqueta 'rua' de tu registro DMARC y enviarán allí los informes. Puedes especificar el intervalo de generación de informes agregados utilizando la etiqueta ri en tu registro DMARC (por defecto, está establecido en 86400 segundos, que equivale a 24 horas). Los informes forenses contienen información más detallada sobre fallos de autenticación individualizados. Se elimina cualquier información personal identificable (PII), pero se incluye información útil para solucionar el fallo DMARC, como detalles del fallo de encabezado SPF y DKIM, la dirección From completa y el Asunto del correo electrónico.

La dirección para recibir informes forenses DMARC se especifica mediante la etiqueta 'ruf' en tu registro DMARC. No todos los sistemas receptores son compatibles con el envío de informes forenses. Red Sift OnDMARC es una de las únicas aplicaciones DMARC del mercado que recibe informes forenses gracias a su alianza con Yahoo.

¿Qué son las macros SPF y por qué podrían causar problemas de entregabilidad?

Una macro SPF se refiere a un mecanismo utilizado en los registros SPF para definir conjuntos reutilizables de direcciones IP. Las macros SPF mejoran la flexibilidad y la capacidad de mantenimiento de los registros SPF al permitir definir conjuntos complejos de direcciones IP en un solo mecanismo, que luego se pueden referenciar en varios registros SPF. Por ejemplo, en lugar de listar cada dirección IP individualmente para cada servidor autorizado, puedes definir una macro como "%{i}" que llama a la IP del remitente del correo. Gestionar SPF de este modo te permite controlar una lista amplia de IPs sin alcanzar el límite de consultas SPF, y además oculta qué IPs apruebas para consultas públicas.

Sin embargo, dependiendo de cómo esté estructurado el registro SPF con macros, la falta de expansión de macros podría resultar en fallos SPF o resultados 'Neutral' (indicados por el mecanismo ?all). Si las macros SPF son cruciales para autorizar servidores legítimos, es más probable que los correos fallen la validación SPF o sean marcados como sospechosos por los receptores que dependen de SPF para la autenticación.

¿Qué es MTA-STS y cómo debe desplegarse para evitar bloquear la entrega de correos?

Mail Transfer Agent Strict Transport Security (MTA-STS) es un estándar que permite el cifrado de mensajes enviados entre dos servidores de correo. Especifica a los servidores de envío que los correos solo pueden enviarse a través de una conexión cifrada Transport Layer Security (TLS), lo que impide que los mensajes sean interceptados por ciberdelincuentes.

La adopción de MTA-STS ha crecido significativamente, y las organizaciones en 2026 reconocen la seguridad de la capa de transporte como esencial para proteger el correo electrónico en tránsito. Para que los dominios receptores permitan MTA-STS, deben anunciar su soporte en DNS y publicar un archivo de configuración de política en su sitio web.

La activación de MTA-STS debe hacerse cuidadosamente para evitar el bloqueo de correos. Debe desplegarse primero en modo de prueba, permitiendo que los informes TLS brinden información sobre cualquier error que deba resolverse antes de pasar a la fase final de aplicación. Este enfoque progresivo probablemente se convertirá en práctica estándar en 2026 para las organizaciones que implementen seguridad de transporte.

¿Qué es TLS-RPT y cómo funciona junto con MTA-STS?

SMTP TLS Reporting (o TLS-RPT) permite la notificación de problemas de conectividad TLS detectados por los MTAs de envío y está definido en el RFC8460. Al igual que DMARC, TLS-RPT se basa en el envío de informes por correo para notificar a los propietarios del dominio cuando la entrega falla debido a problemas con TLS. Estos informes incluyen políticas MTA-STS detectadas, estadísticas de tráfico, conexiones no exitosas y motivos del fallo.

Con la función MTA-STS de Red Sift OnDMARC, no tienes que preocuparte por una implementación compleja. Simplemente añade los Smart Records de MTA-STS que OnDMARC proporciona a tu DNS y Red Sift se encarga de todo lo demás: alojar el archivo de política MTA-STS, mantener el certificado SSL y señalar cualquier violación de políticas mediante el informe TLS. Las plataformas DMARC modernas en 2026 incluyen cada vez más el alojamiento de MTA-STS como una característica estándar, facilitando el despliegue de la seguridad de transporte.

¿Qué es DANE y en qué se diferencia de MTA-STS?

Publicado bajo el RFC 7671, DANE (DNS-based Authentication of Named Entities) introduce un nuevo estándar para configurar comunicaciones TLS entre un cliente y un servidor, sin depender de Autoridades Certificadoras (CAs) de confianza.

El modelo tradicional de TLS basado en CA permite que cualquier CA emita un certificado para cualquier dominio. DANE opera de forma diferente, apoyándose en la infraestructura DNSSEC (Domain Name System Security Extensions) para vincular un nombre de dominio a un certificado. DANE utiliza el protocolo DNSSEC existente para asegurar que los datos recibidos sean auténticos y no hayan sido manipulados.

DANE también introduce un nuevo tipo de registro DNS llamado TLSA, que señala al cliente que un servidor es compatible con TLS. Se recomienda implementar tanto MTA-STS como DANE. DANE es un requisito para muchos gobiernos, de modo que organismos públicos en la Unión Europea suelen estar obligados a implementarlo.

DANE y MTA-STS solo ayudan si el remitente los soporta, pero muchos remitentes solo soportan uno u otro, así que implementar ambos mejora la seguridad general. En 2026 las organizaciones suelen desplegar primero MTA-STS para una mayor compatibilidad y luego incorporar DANE para mayor seguridad cuando se requiere.

¿Cuál es el propósito de la política de subdominio DMARC (etiqueta sp) y cómo se debe usar?

La política de subdominios permite a los administradores de dominio proteger diferentes dominios y subdominios en función del avance en la implementación de DMARC. Por ejemplo, si todos tus servicios de envío de correos en nombre del dominio principal están plenamente configurados con SPF y DKIM, puedes proteger el dominio principal con una política DMARC de p=reject mientras mantienes los subdominios en p=none, y viceversa.

También, si tienes un servicio de envío de correos que no cumple con DMARC (no soporta SPF ni DKIM), puedes decidir asignarle un subdominio y tener una política DMARC diferente para ese subdominio, sin que eso impida proteger tus otros dominios. Esto te permite distribuir el tráfico entre subdominios y proteger cada uno por separado.