La guía definitiva de Red Sift sobre seguridad del correo electrónico

Sender Policy Framework (SPF) es un protocolo de autenticación de correo electrónico diseñado para evitar que los atacantes envíen correos que aparentan proceder de tu dominio. Una política SPF indica a los servidores de correo receptores qué fuentes de envío son legítimas para tu dominio, ayudando a prevenir la suplantación de correo, el phishing y la suplantación de dominio. SPF es ahora un requisito básico para las organizaciones que envían correos masivos en 2026.

Tu política SPF se publica en tu Sistema de Nombres de Dominio (DNS) como un registro TXT, que enumera los servidores de correo (direcciones IP) autorizados a enviar en tu nombre. Cuando se envía un correo electrónico, el servidor de correo del destinatario verifica esta política para confirmar si la dirección IP remitente está aprobada. Si coincide, el mensaje se entrega; si no, podría marcarse como spam o ser rechazado.

Una consulta SPF ocurre cuando el DNS que recibe tu correo debe "consultar" las direcciones IP presentes en cualquiera de las sentencias include dentro de tu registro, para comprobar si coinciden con la IP que está enviando tu correo.

Un include en SPF es una función dentro de los registros SPF que permite a los propietarios de dominios incluir los registros SPF de otros dominios en su propia política SPF. Esto facilita la gestión y asegura que las políticas de envío de correo de los dominios incluidos se consideren al determinar la legitimidad de los correos enviados desde el dominio que incluye.

El límite de consultas SPF es la cantidad de veces que un DNS receptor puede realizar una consulta para un dominio, con un máximo establecido de 10.

Puedes añadir direcciones IP individuales ilimitadas a tu registro sin generar consultas DNS adicionales, ya que son visibles directamente en el registro.

Pero esto no aplica a las sentencias include, y la cantidad de direcciones IP que tiene un include equivale al número de consultas que el DNS receptor debe realizar. Esto cuenta para tu total máximo de 10.

Por ejemplo, podrías tener 3 direcciones IP listadas tal cual en tu registro SPF, una sentencia include para Google (que contiene 4 direcciones IP) y otra para Mimecast (que contiene 6). El DNS receptor no necesita hacer consultas por las IPs visibles, pero sí por los includes de Google y Mimecast. Así que, en este caso, has llegado a tu total de 10.

En realidad, 10 consultas no suelen ser suficientes, ya que la mayoría de las empresas utilizan varias herramientas que envían correos en su nombre. Todas ellas tendrán sus propias sentencias include, que incluyen direcciones IP y requieren consultas. Si superas el límite, probablemente fallarás la autenticación y tu capacidad de entrega se verá afectada. Para 2026, las soluciones dinámicas SPF se han convertido en la opción recomendada para gestionar esta limitación, reemplazando los métodos manuales de aplanamiento SPF que requieren mantenimiento constante.

Una de las principales razones por las cuales el registro SPF puede estar fallando para tu tráfico de correo es el error de "demasiadas consultas DNS". La especificación SPF limita el número de búsquedas DNS a 10. Si tu registro SPF resulta en más de 10 consultas DNS, entonces SPF fallará. Los mecanismos SPF que cuentan hacia el límite de búsquedas DNS son: a, ptr, mx, include, redirect y exists. "ip4", "ip6" y "all" no cuentan para el límite de consultas.

Si todo esto te parece demasiado técnico, piensa en lo siguiente. G Suite por sí solo ocupa 4 búsquedas DNS, añade Hubspot para marketing que usa 7 búsquedas y ya habrás superado el límite de 10 consultas. En cuanto superes las 10 búsquedas SPF, tu tráfico de correo comenzará a fallar la validación de manera aleatoria. Por esto, las organizaciones en 2026 están migrando a la gestión dinámica de SPF en lugar de intentar mantener manualmente registros aplanados.

DKIM significa DomainKeys Identified Mail, un protocolo de autenticación de correo electrónico diseñado para evitar la modificación de mensajes en tránsito, un método usado frecuentemente en campañas de phishing y estafas por correo electrónico.

DKIM es un estándar más reciente y más complejo que SPF. Su funcionamiento se basa en el uso de criptografía asimétrica en las partes de firma del correo electrónico. Existe una clave privada almacenada en el servidor que envía el correo, la cual nunca podría ser leída por el usuario final, y una clave pública que se publica en el registro DNS del dominio remitente y se usa para descifrar las firmas de los correos.

En otras palabras, cuando se redacta un correo electrónico, sus encabezados y cuerpo se firman utilizando la clave privada del remitente para crear una firma digital, que también se envía como un campo de encabezado junto con el correo. Del lado del receptor (si DKIM está habilitado), el servidor recupera la clave pública y verifica si el correo fue realmente firmado por el dominio remitente. Si la firma es validada con éxito, esto prueba que el dominio remitente envió el mensaje y que los encabezados y el cuerpo del mensaje no han sido modificados ni alterados durante la transmisión.

Una firma DKIM es un valor criptográfico único insertado en el encabezado de un correo saliente. Generada mediante la clave privada DKIM del remitente, esta firma permite que el servidor de correo receptor obtenga la clave pública correspondiente del DNS y confirme que el mensaje fue enviado por una fuente autorizada y que su contenido no ha sido alterado en tránsito.

Una clave DKIM es el par de claves criptográficas usado en la autenticación DKIM. La clave privada se almacena de manera segura en el servidor de correo saliente y se utiliza para generar la firma DKIM de cada correo enviado. La clave pública se publica en el DNS del dominio remitente como un registro TXT, permitiendo a los servidores receptores verificar la firma y confirmar la integridad y autenticidad del correo.

Obtén todos los detalles sobre DKIM en nuestra guía técnica de configuración.

Sí. DKIM (DomainKeys Identified Mail) es un protocolo de autenticación de correo electrónico fundamental que protege contra la suplantación, el phishing y la manipulación de mensajes. Añade una firma criptográfica a cada mensaje saliente, lo que permite a los servidores receptores verificar que el contenido del correo no ha sido alterado y que procede de un dominio autorizado. DKIM también es un componente esencial del proceso de verificación DMARC, funcionando junto con SPF para aplicar la alineación de dominio y fortalecer la seguridad del correo. Los principales proveedores de bandejas de entrada ya requieren DKIM para los emisores de correos masivos, haciéndolo imprescindible para la entregabilidad en 2026.

SPF (Sender Policy Framework) verifica que un correo electrónico sea enviado desde una dirección IP autorizada por el registro SPF del dominio remitente. DKIM (DomainKeys Identified Mail) utiliza una firma criptográfica, validada mediante una clave pública en DNS, para confirmar que el contenido del correo no ha sido modificado y que proviene de un dominio autorizado. SPF se enfoca en la autorización del remitente, mientras que DKIM asegura la integridad y autenticidad del mensaje.