Defaults.Exposed › Informes
El Modelo de Madurez de Adopción de SPF (SPFAMM): las 6 etapas del SPF (2026)
Publicado 2026-07-03
Cifras actualizadas a 2026-06-29 · metodología v7. Un modelo de referencia respaldado por un censo recurrente de 261 millones de dominios calificados; cada edición vuelve a medir la misma población para poder seguir los números a lo largo del tiempo. Todas las cifras son agregadas — nunca publicamos el registro de una empresa individual.
¿En qué etapa está internet?
Etapa 2,4 de 6. Medido en 261 millones de dominios, el dominio promedio aún no ha alcanzado una barrera SPF funcional — e internet en su conjunto obtiene 29 de 100 en fortaleza de SPF. Publicar SPF es el acto de seguridad de correo electrónico más común que existe (lo hace el 53,21% de los dominios), pero la mayoría de esos registros se quedan en una configuración que pide a los receptores que entreguen las falsificaciones de todos modos.
El problema no es la adopción — es que la mayoría de las guías de madurez se detienen en “publicamos SPF”, como si el propio registro fuera el logro. Un registro SPF puede autorizar a todo internet, no expresar opinión alguna, anularse silenciosamente a sí mismo, o quedarse en softfail para siempre porque endurecerlo implica un trabajo que nadie programó. Un modelo útil nombra cada uno de esos estados. Este lo hace: el Modelo de Madurez de Adopción de SPF — SPFAMM, seis etapas, un paso en cada una, y un nombre que puedes citar. Es el complemento de SPF a las seis etapas de la madurez de DMARC.
¿Cuáles son las seis etapas de la madurez del SPF?
Cada uno de los 261 millones de dominios calificados se sitúa en exactamente una de las etapas 1–5, y esas cinco poblaciones suman el total del censo con precisión; la etapa 6 es el subconjunto endurecido que se cuenta dentro de la etapa 5. Eso es lo que hace de SPFAMM una medición y no un póster.
| Etapa | Nombre | Dominios | Proporción |
|---|---|---|---|
| 1 | Sin protección | 121.145.609 | 46,4% |
| 2 | Permisivo o roto | 7.798.366 | 3,0% |
| 3 | Con barrera blanda | 70.368.600 | 27,0% |
| 4 | Estricto | 42.514.532 | 16,3% |
| 5 | Alineado | 19.259.125 | 7,4% |
| 6 | Endurecido | 10.092.481 | 3,87% |
(La etapa 6 es el subconjunto endurecido de los dominios alineados de la etapa 5, por lo que las etapas 1–5 particionan el censo y la etapa 6 se sitúa dentro de la etapa 5.)
Etapa 1 — Sin protección. Ningún registro v=spf1. Ningún receptor verifica nada; falsificar el dominio en el tramo de SPF es fácil. El paso: publica un registro v=spf1 que enumere tus remitentes reales, terminando en un calificador de fallo.
Etapa 2 — Permisivo o roto. Existe un registro pero no protege nada. Esta etapa reúne las terminaciones desdentadas — el ?all neutral (3,0% de los publicadores) y la alfombra de bienvenida +all — junto con los registros rotos: múltiples registros v=spf1, que el estándar anula por completo, y registros fragmentarios sin una terminación utilizable. Una salvedad: alrededor de 2,1 millones de registros terminan en redirect=, lo cual es delegación válida — su política real reside en el destino, y los contamos aquí únicamente porque su propio registro no lleva ningún veredicto. El paso: un registro, una terminación real — ~all o -all.
Etapa 3 — Con barrera blanda. El registro termina en ~all (softfail) sin nada que aplique detrás — 70,4 millones de dominios, la mayor población de cualquier etapa con SPF publicado. El softfail es una barrera real con una puerta abierta: le dice a los receptores “el correo de otro lugar probablemente sea falsificado”, y les pide que lo entreguen de todos modos. El paso: escala el muro — da cuenta de cada remitente y luego toma cualquiera de las dos rutas de ascenso (abajo).
Etapa 4 — Estricto. El registro termina en -all: 42,5 millones de dominios que publican un rotundo “rechaza a todos los demás”, pero sin aplicación de DMARC detrás todavía. Una salvedad honesta que nuestra propia medición ahora cuantifica: un registro -all que supera el límite de 10 búsquedas es nulo por muy estricto que parezca — al menos 112.215 de los registros -all de internet están en ese estado. El paso: pon una política de DMARC con aplicación detrás del registro, para que se actúe sobre los fallos en todas partes.
Etapa 5 — Alineado. El SPF — blando o estricto — se apoya en un DMARC p=quarantine o p=reject. Esta es la etapa en la que suplantar tu dominio exacto realmente se detiene en todos los grandes proveedores de buzón: 19,3 millones de dominios, de los cuales 7,1 millones combinan ~all con aplicación (el patrón que recomiendan las directrices para remitentes de Google) y 12,1 millones lo combinan con -all. El paso: añade DKIM y sigue vigilando — los registros se degradan.
Etapa 6 — Endurecido. SPF más DKIM más un DMARC con aplicación — el conjunto plenamente protegido, 10.092.481 dominios, el 3,87% de internet — más la disciplina de vigilar la deriva: las cadenas de include: cambian, los proveedores mueven las IP, alguien conecta una nueva herramienta que envía en tu nombre. El paso: quédate aquí. Es una práctica, no una insignia.
El carril del sin-correo. Un dominio que no envía correo puede saltar a la cima en una sola edición: SPF
-allmás DMARCp=reject. No tener nada legítimo que proteger significa que no hay muro que escalar — y cierra uno de los vectores de suplantación más comunes que existen.
¿Por qué la etapa 3 es donde internet se estanca?
Porque casi todos los demás pasos son una pequeña edición de DNS, y el paso para salir de la etapa 3 es trabajo: enumerar cada sistema que legítimamente envía en tu nombre — proveedor de buzón, plataforma de boletines, CRM, herramienta de facturación, esa cosa que marketing contrató la primavera pasada — y encajarlos todos en un único registro sin reventar el presupuesto de 10 búsquedas. Ese es el muro. ~all es el último peldaño alcanzable sin hacerlo, por lo que 70,4 millones de dominios descansan ahí.
Desde lo alto del muro hay dos rutas de ascenso, y ambas llegan a la etapa 5:
- Endurecer a
-all(pasando por la etapa 4) — un no firme en el propio registro. Consulta~allvs-allpara saber cuándo es la decisión correcta. - Mantener
~ally aplicar con DMARCp=reject— la ruta que las directrices de Google y la mayoría de la práctica de entregabilidad recomiendan ahora, porque protege por igual en los receptores que evalúan DMARC sin rebotar el correo reenviado.
El censo muestra con qué poca frecuencia se completa cualquiera de las dos rutas: de los 77,5 millones de registros softfail, solo 7,1 millones — alrededor de 1 de cada 11 — tienen aplicación detrás.
¿Cómo se calcula la Puntuación de Fortaleza de SPF?
De forma sencilla, y mantenemos los pesos constantes para que la puntuación sea comparable mes a mes: crédito completo para los dominios donde algo aplica (etapas 5–6), medio crédito para una barrera real sobre la que nadie actúa (etapas 3–4), nada para los registros ausentes, permisivos o rotos. En esa escala, internet obtiene 29/100 a fecha de 2026-06-29. Casi la mitad de la población aporta cero porque no publica nada en absoluto.
¿Cómo encuentro la etapa de mi dominio?
Las etapas 1–4 se leen directamente de tu registro DNS; la etapa 5 añade tu política de DMARC; la etapa 6 añade DKIM. Lo único que un vistazo no puede decirte es si un registro estricto está secretamente por encima del límite de búsquedas — eso requiere resolver la cadena, algo que nuestro verificador hace por ti.
Preguntas frecuentes
¿Qué es SPFAMM? El Modelo de Madurez de Adopción de SPF — el modelo de seis etapas de esta página: Sin protección, Permisivo/roto, Con barrera blanda, Estricto, Alineado, Endurecido. La etapa de cada dominio es calculable a partir de su DNS: las etapas 1–5 particionan exactamente el censo de 261 millones de dominios, y la etapa 6 es el subconjunto endurecido dentro de la etapa 5.
¿En qué etapa está la mayoría de los dominios? Etapa 1 — el 46,4% de los dominios no publica ningún SPF en absoluto. Entre los dominios que sí publican, la etapa 3 (softfail sin aplicación) es el lugar de descanso más común, con 70,4 millones de dominios. El promedio ponderado por población es la etapa 2,4.
¿Es suficiente el softfail ~all?
Solo con una política de DMARC con aplicación detrás — esa combinación es la etapa 5 y el patrón que recomiendan las directrices para remitentes de Google. Por sí solo es la etapa 3: barrera real, puerta abierta. La comparación completa está en ~all vs -all.
¿Tengo que llegar a -all para estar seguro?
No. La etapa 4 es una de dos rutas, no un requisito — mantener ~all y aplicar con DMARC p=reject llega a la misma protección en los receptores que evalúan DMARC. Lo que sí se requiere es el muro: conocer cada remitente antes de que algo aplique.
¿Cuántos dominios completan las seis etapas? 10.092.481 — el 3,87% de internet — mantienen juntos SPF, DKIM y una política de DMARC con aplicación. Cada transición de etapa es gratuita; los detalles están en los pocos protegidos.
Comprueba en qué posición está tu dominio
Tu dominio está en exactamente una de estas seis etapas, y el siguiente paso se conoce en 30 segundos — gratis, y cada arreglo a lo largo de la escalera es un cambio de DNS, no una compra.
Comprueba tu dominio → · Arregla el SPF → · ~all vs -all → · El informe de PermError de SPF → · Las 6 etapas de la madurez de DMARC → · Solo datos agregados. Datos almacenados y procesados en la UE.