Defaults.Exposed › Informes
¿Qué proveedor de correo ofrece a sus clientes los valores predeterminados de SPF más sólidos? (2026)
Publicado 2026-07-03
Cifras a fecha de 2026-06-29 · metodología v7. Censo agregado sobre 261 millones de dominios calificados. Contamos los destinos exactos de
include:/redirect=en los registros SPF publicados — DNS público, agregado por proveedor; nunca el registro de una empresa individual. Consulta cómo calificamos.
Cada registro SPF nombra los servicios autorizados a enviar en nombre de un dominio — así que 139 millones de registros SPF son también un censo de los valores predeterminados de los proveedores, y esos valores difieren enormemente: el 85,0% de los dominios que incluyen Microsoft 365 terminan su SPF con un -all estricto, frente al 8,0% de los dominios que incluyen Google Workspace. El segundo hallazgo importa más: en la medida que realmente detiene la suplantación — una política DMARC de aplicación detrás del registro — la base de clientes de ningún gran proveedor de buzones supera el 30% de finalización.
La liga: finales estrictos y protección completa, por proveedor
Dominios cuyo SPF incluye a cada proveedor; la proporción que termina de forma estricta (-all); y la proporción con DMARC de aplicación — la combinación que detiene las falsificaciones:
| Proveedor (destino include) | Dominios que autorizan | % estricto -all | % con DMARC de aplicación |
|---|---|---|---|
Google Workspace (_spf.google.com) | 12.145.313 | 8,0% | 18,5% |
Microsoft 365 (spf.protection.outlook.com) | 10.205.070 | 85,0% | 21,7% |
Namecheap forwarding (spf.efwd.registrar-servers.com) | 7.355.985 | <0.1% | 0,2% |
GoDaddy (secureserver.net) | 7.061.426 | 86,0% | 29,3% |
Hostinger (_spf.mail.hostinger.com) | 4.476.640 | 0,2% | 1,0% |
IONOS EU (_spf-eu.ionos.com) | 4.346.526 | 0,3% | 1,0% |
HostGator (websitewelcome.com) | 3.102.616 | 0,6% | 1,6% |
OVH (mx.ovh.com) | 2.132.049 | 43,7% | 2,2% |
Cloudflare Email Routing (_spf.mx.cloudflare.net) | 2.007.483 | 2,9% | 10,0% |
MailChannels (relay.mailchannels.net) | 1.870.177 | 28,4% | 10,0% |
Mailgun (mailgun.org) | 1.306.692 | 7,2% | 35,9% |
SendGrid (sendgrid.net) | 740.321 | 19,0% | 18,0% |
Zoho Mail (zohomail.com) | 662.546 | 7,3% | 9,9% |
Amazon SES (amazonses.com) | 551.446 | 28,3% | 41,9% |
Stackmail / 20i (spf.stackmail.com) | 519.246 | 98,2% | 3,3% |
Cómo leer esta tabla — con honestidad
Cuatro cosas que estos datos son y no son:
- Las filas son poblaciones-include, no clientes. Un dominio que incluye tanto Google como Mailgun aparece en ambas filas.
- La columna estricta fotografía la plantilla de configuración de cada proveedor más su mezcla de clientes. El onboarding de Microsoft emite
-all; la documentación de Google recomienda~all; los paneles de hosting autoaprovisionan registros en dominios que quizá no envíen correo alguno — lo que puede inflar una proporción estricta sin que nadie haya decidido nada. - Una proporción estricta baja no es automáticamente incorrecta. La fila de Namecheap corresponde a un producto de reenvío de correo — y el reenvío es precisamente el caso donde
-allfalla, así que una plantilla blanda ahí es, discutiblemente, la configuración correcta. La exposición en esa fila está en la otra columna: 0,2% de aplicación. - La columna de aplicación es la clasificación real. Estricto-frente-a-blando es una elección de estilo una vez que DMARC aplica; sin aplicación, ninguno de los dos finales detiene una falsificación en la mayoría de los receptores.
Tres historias en las columnas
- Los valores predeterminados son destino. Los clientes conservan de forma abrumadora lo que el asistente les entregó — el 92% de los dominios que incluyen Google conserva un final no estricto, casi siempre el
~allque recomienda la guía de Google; el 98,2% de los dominios de Stackmail conserva el-allque escribe su panel. Casi nadie vuelve a decidir un calificador más tarde. Esta es la observación fundacional de todo este censo, escrita 139 millones de veces. - La meta la cruzan los usuarios, no las plantillas. Los líderes en aplicación son los remitentes centrados en desarrolladores — Amazon SES (41,9%) y Mailgun (35,9%) — cuyos clientes tienden hacia equipos que completan el trabajo. Las bases de los grandes proveedores de buzones se sitúan entre el 18,5% y el 29,3% de aplicación, sin importar cuán estricta fuera su plantilla SPF.
- La masa expuesta es el estrato de hosting-y-reenvío. El reenvío de Namecheap, Hostinger, IONOS y HostGator juntos cubren más de 19 millones de dominios con un 2% de aplicación o menos — nombres de pequeñas empresas que ejecutan lo que el panel instaló, suavemente cercados y sin aplicar.
Qué hacer con tu propio dominio
- Comprueba qué proveedores incluye realmente tu SPF —
dig TXT yourdomain.com, o compruébalo gratis. - No copies un final estricto por inercia: mapea tus remitentes, y luego o bien ajusta a
-allo mantén~ally pon DMARCp=rejectdetrás. - Lo que sea que tu proveedor te entregó es una plantilla que heredaste — y una edición de DNS gratuita para cambiarla.
Preguntas frecuentes
¿Qué proveedor de correo tiene el valor predeterminado de SPF más seguro?
Por plantilla estricta: Stackmail / 20i (el 98,2% de los dominios termina en -all), GoDaddy (86,0%) y Microsoft 365 (85,0%). Por protección completa — DMARC de aplicación detrás de SPF — los clientes de Amazon SES lideran con un 41,9%. Las dos medidas premian, respectivamente, una plantilla estricta y una base de clientes que completa el trabajo.
¿Usar Google Workspace significa que mi SPF es débil?
No inherentemente. El ~all recomendado por Google es una práctica sólida cuando se combina con una política DMARC de aplicación — pero solo el 18,5% de los dominios que incluyen Google tiene esa combinación a fecha de 2026-06-29. La debilidad no es el softfail; es detenerse ahí.
¿Estas cifras juzgan la propia seguridad de los proveedores? No. Miden la postura SPF publicada de los dominios de clientes que incluyen a cada proveedor — DNS público agregado, moldeado por plantillas de configuración, documentación y mezcla de clientes. Ningún dominio individual se identifica ni se califica públicamente.
¿Por qué la plantilla de mi proveedor decide mi seguridad? Porque se copia una vez, el primer día, y nuestro censo muestra que casi nunca se vuelve a decidir. Los valores predeterminados persisten — que es exactamente por lo que comprobar el tuyo bien vale 30 segundos.
Comprueba lo que tu dominio heredó
Lo que sea que el asistente de configuración escribió sigue ahí, en tu DNS. Leerlo — y terminarlo — es gratis.
Comprueba tu dominio → · Arregla SPF → · ~all vs -all → · SPF sin DMARC → · Cuota de mercado de hosting de correo → · Solo datos agregados. Datos almacenados y procesados en la UE.