Defaults.Exposed › Configuración › SPF

Cómo configurar SPF en Cloudflare

Añade un registro SPF en el DNS de Cloudflare para que los proveedores de correo distingan tus mensajes reales de las falsificaciones.

Por qué esto le importa a tu negocio

El SPF (Sender Policy Framework, o marco de directivas del remitente) es una pequeña nota en el DNS de tu dominio que indica qué servidores de correo tienen permiso para enviar mensajes usando tu nombre. Cuando alguien recibe un mensaje que dice venir de ti, su proveedor de correo consulta esa lista. Si el servidor que lo envió no está en ella, el mensaje resulta sospechoso y acaba en spam o se bloquea.

En palabras claras: el SPF dificulta que alguien suplante a tu negocio por correo y ayuda a que tus mensajes legítimos lleguen a la bandeja de entrada en lugar de a la carpeta de correo no deseado. Es un solo registro, es gratis y lleva unos minutos.

Antes de empezar: ¿es Cloudflare quien gestiona realmente tu DNS?

Este es el paso que más gente hace mal. Un registro DNS solo funciona si es Cloudflare quien responde a las consultas de DNS de tu dominio.

Cloudflare es un proveedor de DNS, no un proveedor de buzones: responde al DNS, pero no gestiona tus bandejas de entrada. Para que el DNS de Cloudflare esté activo, los servidores de nombres de tu dominio (establecidos donde registraste el dominio) deben apuntar a los dos servidores de nombres de Cloudflare que se muestran en tu panel de Cloudflare. En Cloudflare, abre tu dominio y revisa la página de Resumen (Overview): te indicará si Cloudflare está activo para el dominio. Si tus servidores de nombres siguen apuntando a tu registrador o a otro proveedor, nada de lo que añadas en Cloudflare hará nada: añade el registro SPF allí donde esté realmente tu DNS.

Averigua primero un dato: ¿quién envía tu correo?

El SPF debe nombrar todos los servicios que envían correo en nombre de tu dominio. Ejemplos habituales son Google Workspace, Microsoft 365 o el proveedor que aloje tus buzones. Cada uno publica un valor para incluir en tu registro SPF (a menudo algo como include:_spf.google.com para Google o include:spf.protection.outlook.com para Microsoft 365). Consulta las páginas de ayuda de tu propio proveedor de correo para conocer el valor exacto: esa es la parte que debes acertar.

Si usas Cloudflare Email Routing para reenviar correo, ten en cuenta que añade sus propios registros DNS para el reenvío, pero no envía correo saliente en tu nombre: tu SPF sigue necesitando listar el servicio desde el que realmente envías.

Paso a paso en Cloudflare

1. Inicia sesión en Cloudflare y selecciona tu dominio desde el panel.
2. En el menú de la izquierda, ve a la configuración de DNS (busca DNS / Records).
3. Haz clic en Add record.
4. Establece Type en TXT.
5. En el campo Name, introduce @: el @ significa «el propio dominio». No escribas aquí el nombre completo de tu dominio.
6. En el campo Content, introduce tu texto SPF. Un registro típico tiene este aspecto: v=spf1 include:_spf.google.com ~all Sustituye la parte include: por el valor o valores que te indique tu proveedor de correo real.
7. Deja el TTL en Auto.
8. Haz clic en Save.

Errores típicos en Cloudflare

• Un solo registro SPF por dominio. No puedes tener dos registros TXT v=spf1: los proveedores de correo lo tratarán como defectuoso. Si ya tienes uno, edítalo para añadir el nuevo servicio en lugar de crear un segundo.
• No lo envuelvas en comillas. Cloudflare gestiona las comillas por su cuenta. Pega simplemente el texto plano que empieza por v=spf1. Si añades tus propias comillas ", puedes acabar con un registro mal formado.
• El nombre es @, no tu dominio. Si escribes el nombre completo del dominio, Cloudflare normalmente lo reducirá a la raíz de todos modos, pero @ es la opción clara y fiable.
• El proxy (nube naranja) no aplica. El SPF reside en un registro TXT, que nunca pasa por el proxy: no hay ningún interruptor de nube naranja/gris del que preocuparse en un registro TXT.
• ~all frente a -all. ~all (fallo leve, softfail) significa «cualquier cosa no listada es sospechosa»; -all (fallo estricto, hardfail) significa «rechaza cualquier cosa no listada». Empieza con ~all mientras confirmas que todo se envía correctamente y luego endurece a -all cuando estés seguro de que tu lista está completa.
• Los cambios no son instantáneos. Las actualizaciones de DNS pueden tardar desde unos minutos hasta un par de horas en propagarse.

Comprueba que funcionó

Una vez guardado el registro y tras dejarle un poco de tiempo para que surta efecto, verifícalo con la comprobación gratuita de este sitio. Te dirá, en lenguaje claro, si tu registro SPF está presente y bien formado.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.