Defaults.Exposed › Informes
El informe de malas configuraciones de SPF: la mayoría de los registros SPF son demasiado débiles (2026)
Publicado 2026-06-29
Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados del censo sobre los 138.927.207 dominios que publican un registro SPF, de 261 millones de dominios evaluados. Consulta cómo evaluamos.
Tener SPF no es lo mismo que tenerlo configurado correctamente — y la mayoría de los dominios que publican SPF lo tienen configurado demasiado débil como para que sirva de mucho. De los 139 millones de dominios con un registro SPF, el 55,8% termina en ~all (softfail), el ajuste permisivo que dice a los receptores «esto podría ser una falsificación, pero entrégalo de todos modos». Solo el 39,3% usa el estricto -all. SPF está ampliamente adoptado pero, la mayoría de las veces, desactivado.
El mecanismo «all»: donde SPF se gana o se pierde
Todo registro SPF termina en un mecanismo «all» que indica qué hacer con el correo de servidores que no están en tu lista. Es la razón de ser de SPF — y el lugar más común donde se debilita:
| Terminación | Significado | Dominios con SPF |
|---|---|---|
-all (hardfail) | Rechazar remitentes no listados — el ajuste estricto y previsto | 39,3% |
~all (softfail) | «Probablemente una falsificación, pero acéptalo igual» | 55,8% |
?all (neutral) | Sin opinión — efectivamente sin protección | 3,0% |
+all | Autorizar a todo internet a enviar como tú | 36.014 dominios |
| otro / ninguno | redirect/include-only o sin all final | 1,8% |
El titular es que el softfail (~all) es el ajuste más común, con un 55,8% — más que el hardfail. Por sí solo, el softfail ofrece una protección débil: pide a los receptores que no confíen en el correo no listado, pero no que lo rechacen.
Los casos límite peligrosos
+all— 36.014 dominios. Este es el peor valor posible de SPF: dice explícitamente al mundo que cualquier servidor está autorizado a enviar correo como el dominio. Casi siempre es un accidente de copiar y pegar, y es estrictamente peor que no tener SPF en absoluto.- Demasiadas consultas DNS — 7958 dominios. SPF permite un máximo de 10 consultas DNS anidadas; si lo superas, el registro es un «permerror» que los receptores tratan como roto. Es más raro de lo que se teme (0,01% de los registros SPF), pero cuando ocurre, anula silenciosamente todo tu SPF.
¿Es el softfail realmente un problema?
No si está respaldado por DMARC. La mejor práctica moderna es ~all más una política DMARC de quarantine o reject — esa combinación te da una aplicación estricta sin romper el correo reenviado. El problema es la gran proporción de dominios en ~all sin un DMARC de aplicación detrás — solo el 10,59% de todos los dominios aplica DMARC — lo que deja al softfail haciendo casi nada. SPF configurado en ~all es un medio para un fin; sin DMARC, es solo una sugerencia.
Preguntas frecuentes
¿Cuál es la diferencia entre ~all y -all en SPF?
-all (hardfail) dice a los receptores que rechacen el correo de servidores que no están en tu lista. ~all (softfail) les dice que lo acepten igual pero lo marquen como sospechoso. El 55,8% de los dominios con SPF usa ~all; el 39,3% usa -all.
¿Es seguro usar ~all (softfail)?
Sí — pero solo cuando se combina con una política DMARC de aplicación (quarantine o reject). Por sí solo, el softfail ofrece una protección débil.
¿Qué hace +all?
+all autoriza a todos los servidores de internet a enviar correo como tu dominio — peor que no tener SPF. 36.014 dominios tienen esto, casi siempre por error.
¿Qué es el error de SPF «demasiadas consultas»? SPF permite como máximo 10 consultas DNS anidadas; más allá de eso, el registro falla como «permerror» y se ignora. Afecta a 7958 dominios.
Comprueba que tu SPF está configurado correctamente
Publicar SPF es la mitad del trabajo; configurarlo de forma estricta y respaldarlo con DMARC es la otra mitad. Comprueba tu dominio de forma privada y gratuita.
Comprueba tu dominio → · Arreglar SPF → · Arreglar DMARC → · Por qué los correos van a spam → · Solo datos agregados. Datos almacenados y procesados en la UE.