Defaults.Exposed › Informes
SPF no basta: los 119 millones de dominios que nunca lo hacen cumplir
Publicado 2026-07-03 · actualizado 2026-07-03
Cifras a fecha de 2026-06-29 · metodología v7. Datos del censo que cruzan comprobaciones por dominio en 261 millones de dominios evaluados. «Que lo hace cumplir» = una política DMARC de
quarantineoreject; «totalmente protegido» = SPF y DKIM ambos implementados, más DMARC que se hace cumplir — la tríada completa de autenticación de correo. Todas las cifras son agregadas — nunca publicamos la calificación de un negocio individual.
El recuento: cuántos dominios dependen solo de SPF
SPF por sí solo no basta para frenar la suplantación de correo — y el censo ya puede contar cuántos dominios dependen de él pese a ello: 119.212.005 (119 millones) publican SPF pero nunca hacen cumplir DMARC. Eso es el 85,8% de todos los dominios que se molestaron en configurar SPF. Su artículo complementario, SPF sin DMARC, explica el mecanismo — por qué SPF no puede defender la dirección «From» que una persona realmente ve; este artículo mide la población — cuántos dominios deja expuestos esa brecha, y cuál es la forma de la exposición.
La versión corta: configurar SPF es el acto de seguridad de correo más común en internet, y para la inmensa mayoría de los dominios que lo hicieron, es también el último.
Las tres poblaciones
139 millones de dominios — 138.911.937 de ellos — publican un registro SPF. Divididos según lo que hay detrás:
| Población | Dominios | Proporción de quienes publican SPF |
|---|---|---|
| SPF publicado, sin ningún registro DMARC | 84.638.430 | 60,9% |
| SPF publicado, DMARC presente pero nunca hecho cumplir (superconjunto, incluye la fila anterior) | 119.212.005 | 85,8% |
| SPF + DKIM, respaldados por DMARC que se hace cumplir | 10.092.481 | — |
Las filas no suman el total de SPF: el resto son quienes publican SPF cuyo DMARC sí se hace cumplir pero cuyo DKIM no está del todo implementado — que se hace cumplir, pero sin llegar a la tríada completa que cuenta la fila inferior.
La fila del medio es el titular: aproximadamente 119 millones de dominios hicieron el trabajo de declarar sus remitentes legítimos y luego nunca le dijeron a las bandejas de entrada del mundo que actuaran en consecuencia. Y la fila inferior es el remate: entre los 261 millones de dominios evaluados, apenas un 3,87% — unos 10 millones — están totalmente protegidos para el correo. La protección total no es un listón alto técnicamente; es simplemente el final de un camino que 119 millones de dominios empezaron y abandonaron.
Por qué el recuento está tan desequilibrado
SPF es donde empieza toda guía de configuración, donde termina el onboarding de la mayoría de los proveedores de correo, y lo que la mayoría de las listas de comprobación de cumplimiento realmente verifican. Produce un artefacto visible — un registro TXT — y una marca verde en cualquier herramienta que lo compruebe. DMARC que se hace cumplir produce la experiencia contraria: exige una progresión (publicar, observar, identificar remitentes y luego hacer cumplir), y su recompensa es invisible — el correo falsificado que deja de llegar sin hacer ruido.
Así que internet se optimizó para la marca. El censo muestra cómo se ve eso a escala: 85 millones de dominios (84.638.430) tienen SPF y ningún registro DMARC de ningún tipo — ni siquiera un marcador p=none. Estos propietarios no son perezosos; siguieron las instrucciones que les dieron, y las instrucciones se detuvieron pronto.
Qué significa realmente «cubierto» aquí
Consecuencia, no miedo: un dominio con SPF y sin DMARC que se haga cumplir puede seguir siendo suplantado en el único lugar donde miran los humanos — la línea «From» visible. SPF permite a los servidores receptores verificar qué máquinas pueden enviar en nombre del dominio del sobre, pero sin DMARC no hay ningún requisito de que el remitente visible coincida con nada de lo que SPF comprobó, ni ninguna instrucción de rechazar el correo que falle. La factura falsificada, el falso restablecimiento de contraseña, la redirección de pagos a proveedores — todo sigue siendo entregable a tus clientes y proveedores en tu nombre, a pesar del registro SPF.
En las seis etapas de madurez de DMARC, estos 119 millones de dominios están atascados en las Etapas 1 a 3 — el suelo está construido, o construido a medias, y la puerta nunca se instaló. La distancia desde ahí hasta estar protegido está bien entendida y es en su mayoría procedimental; lo que añade este censo es el conocimiento de que casi nadie la recorre.
Si tu dominio es uno de los 119 millones
- Conserva SPF — es un prerrequisito, no un error. (Arreglar SPF →.)
- Añade DKIM para que tu correo esté firmado además de tener un origen verificado. (Arreglar DKIM →.)
- Publica DMARC con informes y luego hazlo cumplir — primero
p=noneconrua=, identifica cada remitente legítimo, y luego pasa aquarantineyreject. Este es el paso que convierte «configurado» en «protegido». (Arreglar DMARC →.)
Preguntas frecuentes
¿Basta con SPF para proteger un dominio de la suplantación? No. SPF valida los servidores de envío frente al dominio del sobre; ni comprueba la dirección «From» visible ni le dice a los receptores que rechacen los fallos. Solo una política DMARC que se haga cumplir hace ambas cosas — y 119.212.005 dominios publican SPF sin ella.
¿Cuántos dominios tienen SPF pero ningún DMARC en absoluto? 84.638.430 — el 60,9% de todos los que publican SPF no tienen ningún registro DMARC de ningún tipo, ni siquiera en modo de monitorización.
¿Cuántos dominios están totalmente protegidos?
10.092.481 — el 3,87% de los 261 millones de dominios evaluados combinan SPF y DKIM con una política DMARC de quarantine o reject.
¿Al menos ayuda tener SPF? Sí — es la base sobre la que DMARC evalúa, y mejora la entregabilidad de tu correo legítimo. Simplemente no protege nada por sí solo; es el paso uno de tres, y el censo muestra que la mayoría de internet lo trató como si fuera toda la escalera.
Comprueba en qué población está tu dominio
«Configuramos SPF» describe a 139 millones de dominios; «estamos protegidos» describe a 10 millones. Averiguar cuál eres lleva un minuto, de forma privada y gratuita — mira cuáles de las 34 comprobaciones pasas y cómo arreglar las que no.
Comprueba tu dominio → · Las 6 etapas de madurez de DMARC → · El pilar DMARC → · Solo datos agregados. Datos almacenados y procesados en la UE.