SPF (Sender Policy Framework)

SPF (Sender Policy Framework) es un protocolo de autenticación de correo electrónico que permite a los propietarios de dominios declarar qué servidores de correo están autorizados para enviar mensajes en nombre de su dominio. Funciona publicando un registro DNS TXT que contiene una lista de direcciones IP aprobadas, nombres de host de servidores y directivas include. Cuando un servidor de correo receptor recibe un mensaje entrante, realiza una consulta SPF sobre el dominio del remitente, compara la dirección IP del servidor de envío con el registro SPF y decide si aceptar, marcar o rechazar el mensaje según el resultado. SPF es uno de los tres estándares fundamentales de autenticación de correo electrónico, junto con DKIM (firma criptográfica de mensajes) y [DMARC](/glossary/dmarc) (aplicación de políticas).

Sin un registro SPF, cualquier servidor en internet puede afirmar que envía correos electrónicos desde tu dominio. Los atacantes explotan esto mediante la suplantación de dominio, una técnica central en campañas de phishing, compromiso de correo empresarial y distribución de spam. Un registro SPF faltante o mal configurado también perjudica la entregabilidad del correo legítimo: los principales proveedores como Gmail, Outlook y Yahoo rechazan o ponen en cuarentena cada vez más los mensajes de dominios sin autenticación adecuada. Para los editores que distribuyen contenido por correo electrónico — compartiendo enlaces de flipbooks, enviando notificaciones de captura de leads o entregando códigos OTP — el SPF afecta directamente si esos mensajes llegan a la bandeja de entrada o desaparecen en las carpetas de spam.

FlipLink envía varios tipos de correo electrónico en nombre de los editores: alertas de notificación de captura de leads, enlaces de compartición de publicaciones, códigos de verificación OTP y solicitudes de aprobación de documentos. Estos correos se envían a través de la infraestructura verificada de FlipLink, que mantiene sus propios registros SPF para garantizar la entregabilidad. Si utilizas un [dominio personalizado](/features/custom-domains) para tus publicaciones FlipLink y deseas que las comunicaciones por correo electrónico se originen o hagan referencia a ese dominio, necesitas agregar los servidores de envío de FlipLink al registro SPF de tu dominio. Esto indica a los servidores de correo destinatarios que FlipLink está autorizado para enviar en tu nombre, evitando que esos mensajes sean marcados como sospechosos. La configuración toma unos pocos minutos en tu panel de gestión DNS y se aplica globalmente a todas las publicaciones bajo ese dominio.

Un registro SPF es un único registro DNS TXT adjunto a tu dominio. Utiliza una sintaxis específica para definir reglas de autorización: - **`v=spf1`** — declara la versión SPF (siempre versión 1) - **`ip4:` / `ip6:`** — autoriza direcciones IP específicas o rangos CIDR - **`include:`** — hace referencia al registro SPF de otro dominio (comúnmente usado para remitentes de terceros) - **`a` / `mx`** — autoriza las IPs asociadas con los registros A o MX de tu dominio - **`~all`** (softfail) — marca a los remitentes no autorizados como sospechosos pero aún entrega el correo - **`-all`** (hardfail) — rechaza completamente el correo de remitentes no autorizados SPF tiene un límite de 10 consultas para búsquedas DNS dentro de un solo registro. Exceder este límite causa que toda la verificación SPF falle, un problema común para dominios que usan muchos servicios de correo de terceros. Cada directiva `include:` cuenta como una consulta, y los includes anidados cuentan para el total.

Sigue estos pasos para configurar SPF para tu dominio cuando uses FlipLink: 1. **Identifica tu registro SPF actual** — Usa una herramienta de consulta DNS o el panel DNS de tu registrador para verificar si ya existe un registro TXT que comience con `v=spf1` 2. **Lista todos los remitentes autorizados** — Reúne los valores SPF include para cada servicio que envía correo desde tu dominio (tu proveedor de correo, herramientas de marketing y FlipLink) 3. **Agrega los servidores de FlipLink** — Añade la directiva del servidor de envío autorizado de FlipLink a tu registro SPF existente 4. **Establece tu nivel de aplicación** — Usa `~all` (softfail) inicialmente para monitorear sin bloquear, luego cambia a `-all` (hardfail) una vez que hayas confirmado que todos los remitentes legítimos están incluidos 5. **Verifica el conteo de consultas** — Confirma que tu registro se mantenga dentro del límite de 10 consultas usando una herramienta de validación SPF 6. **Prueba la entrega** — Envía un correo de prueba a través de FlipLink (activa una captura de leads o comparte una publicación) y revisa los encabezados del correo buscando `spf=pass` 7. **Monitorea regularmente** — Revisa tu registro SPF cada vez que agregues o elimines un servicio de envío de correo de tu dominio

**"SPF por sí solo es suficiente para proteger mi dominio."** SPF solo verifica la dirección IP del servidor de envío — no verifica la dirección "De" visible que los destinatarios ven. La protección completa requiere SPF combinado con DKIM (que firma el contenido del mensaje) y DMARC (que vincula los resultados de SPF y DKIM con la dirección visible del remitente y define una política para los fallos). **"SPF se aplica a la dirección que se muestra en la bandeja de entrada."** En realidad, SPF verifica la dirección "envelope from" (también llamada return-path), que está oculta para el destinatario. El encabezado "De" que los usuarios ven en su cliente de correo está gobernado por la alineación DMARC, no por SPF solo. **"Más directivas include hacen mi registro SPF más fuerte."** Cada `include:` se suma al límite de 10 consultas. Incluir demasiados servicios puede romper completamente tu registro SPF, causando un error permanente en todas las verificaciones. Solo incluye servicios que envíen correo activamente desde tu dominio. **"Configuré SPF una vez y nunca necesito tocarlo de nuevo."** Los registros SPF requieren mantenimiento. Agregar una nueva herramienta de [email marketing](/glossary/email-marketing), cambiar de proveedor CRM o integrar un servicio como FlipLink requieren actualizar el registro. Las entradas obsoletas de servicios desactivados desperdician espacios de consulta y pueden crear brechas de seguridad.