Defaults.Exposed › Configuración › SPF

Cómo configurar SPF en Microsoft 365

Añade un registro SPF para que todo el mundo sepa que los servidores de Microsoft 365 tienen permiso para enviar correo en nombre de tu dominio.

Por qué esto le importa a tu negocio

El SPF (Sender Policy Framework, o marco de directivas del remitente) es una pequeña nota en el DNS de tu dominio que indica qué servidores de correo tienen permiso para enviar mensajes «desde» tu dominio. Sin él, los estafadores pueden suplantar tu dirección y enviar facturas, peticiones de pago o presupuestos falsos a tus clientes y proveedores, y, además, tu propio correo legítimo tiene más probabilidades de acabar en la carpeta de spam. Configurar el SPF es gratis, lleva unos minutos y es una de las medidas más eficaces y baratas para proteger tu nombre y asegurar que tus correos lleguen a su destino.

Importante: dónde se hace esto realmente

Esto confunde a mucha gente, así que conviene dejarlo claro:

• Microsoft 365 gestiona tu correo (los buzones residen en Exchange Online). Pero Microsoft 365 es la plataforma de correo: no es necesariamente donde está alojado el DNS de tu dominio.
• El registro SPF se añade en tu proveedor de DNS, la empresa que controla los servidores de nombres de tu dominio. Puede ser el registrador donde compraste el dominio (GoDaddy, Namecheap, etc.), un proveedor de alojamiento web o algo como Cloudflare.
• Si dejas que Microsoft gestione tu DNS, entonces tu proveedor de DNS es Microsoft, y editarías el registro en el Centro de administración de Microsoft 365 → Configuración → Dominios → Registros DNS. En ese caso, Microsoft suele añadir el registro SPF correcto por ti automáticamente al configurar el dominio.

Es decir: Microsoft te dice qué debe contener el registro; tú lo añades donde está tu DNS. La configuración de los buzones dentro de Microsoft 365 no guarda este registro a menos que Microsoft gestione también tu DNS.

Primero: ¿qué empresa gestiona tu DNS?

Un registro DNS solo surte efecto si lo añades allí donde apuntan los servidores de nombres de tu dominio. Si no estás seguro, revisa el dominio en tu cuenta del registrador y mira la sección Servidores de nombres (Nameservers), o pregunta a quien montó tu web. Si los servidores de nombres apuntan a un sitio distinto de Microsoft, añade el registro SPF en la configuración de DNS de esa empresa (busca DNS / Registros / DNS avanzado). Añadirlo en el sitio equivocado no hará nada.

Lo que vas a añadir

Un único registro TXT para Microsoft 365. El valor estándar es:

v=spf1 include:spf.protection.outlook.com -all

• include:spf.protection.outlook.com autoriza a los servidores de correo de Microsoft 365 a enviar por ti.
• -all es el valor que recomienda Microsoft: un «fallo estricto» (hard fail) que indica a los receptores que rechacen todo lo no listado. Si aún no tienes la certeza de que todos los remitentes están incluidos, puedes empezar con el más suave ~all y endurecer a -all más adelante.

Debes tener un único registro SPF (un TXT que empiece por v=spf1) por dominio. Si ya tienes uno —por ejemplo, porque también envías a través de una herramienta de boletines o un CRM—, no añadas un segundo. Edita el existente y añade dentro la parte de Microsoft, p. ej.:

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all

Pasos

1. Inicia sesión en tu proveedor de DNS (tu registrador, proveedor de alojamiento web o proveedor de DNS, o el Centro de administración de Microsoft 365 si Microsoft gestiona tu DNS).
2. Abre la configuración de DNS de tu dominio (busca DNS / Registros / DNS avanzado).
3. Añade un nuevo registro y elige TXT como tipo.
4. En el campo Nombre / Host, introduce @ (significa «el propio dominio»). No pongas aquí el nombre completo de tu dominio.
5. En el campo Valor / Datos, pega v=spf1 include:spf.protection.outlook.com -all (o tu registro combinado si tienes otros remitentes).
6. Deja el TTL en su valor por defecto (1 hora está bien).
7. Guarda.

Errores típicos

• No es un ajuste del buzón. La gente busca «SPF» en los ajustes de Microsoft 365 y no encuentra una casilla donde escribirlo: es porque corresponde a tu DNS, no a la configuración del buzón ni del centro de administración de Exchange.
• Un solo registro SPF. Dos registros que empiecen por v=spf1 rompen el SPF por completo. Combina los remitentes en un único registro con entradas include: adicionales.
• @ en el nombre, no tu dominio. Poner el dominio completo en el campo Nombre puede crear el registro en el sitio equivocado.
• Cuidado con las comillas. La mayoría de los proveedores de DNS añaden las comillas por ti: pega el valor tal cual. Si tu proveedor muestra el valor ya envuelto en "...", no añadas un segundo juego; un registro con comillas dobles está roto.
• Microsoft usa spf.protection.outlook.com. Los registros antiguos o copiados de otro sitio pueden hacer referencia a nombres de host distintos: asegúrate de que el include sea exactamente spf.protection.outlook.com.
• Los cambios no son instantáneos. El DNS puede tardar desde unos minutos hasta un par de horas en actualizarse en todas partes.

Comprueba que funcionó

Una vez guardado, confirma que el registro está activo y es correcto con la comprobación gratuita de Defaults.Exposed. Introduce tu dominio y te dirá, en lenguaje claro, si tu SPF está bien configurado. Tus datos se procesan en la UE.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.