Defaults.Exposed › SPF
SPF: adopción, solidez y la brecha de suplantación
Datos a fecha de 2026-06-29 · metodología v7 · solo agregados
138.9 millones de dominios publican un registro SPF, pero publicar no es proteger. En nuestra escala de solidez SPF de 100 puntos, internet obtiene 29, una madurez media de la etapa 2.39 de 6. La mayoría de los registros llegan hasta el «quizá» y se detienen.
SPF solo rechaza una falsificación en su final estricto (-all), o cuando una política DMARC en modo obligatorio actúa sobre el softfail. El 55.8% de los registros termina en ~all (softfail); solo el 39.3% termina en -all. Esa brecha —publicado pero sin aplicar— es la mayor población en seguridad del correo electrónico.
El Modelo de Madurez de Adopción de SPF (SPFAMM)
Seis etapas, un solo paso en cada una y un único muro de investigación en la etapa 3 → 4. Donde DAMM mide el recorrido de DMARC, SPFAMM mide el de SPF: desde no tener lista de permitidos, pasando por el intermedio sin fuerza, hasta un registro estricto sobre el que DMARC puede actuar.
- Etapa 1 — Ninguna: sin registro SPF — el 46% de todos los dominios evaluados (121.1M).
- Etapa 2 — Roto/permisivo: varios registros,
+all, neutral o sin terminal (7.8M). - Etapa 3 — Softfail: termina en
~allpero nada lo hace cumplir — el punto de reposo más habitual (70.4M). - Etapa 4 — Estricto: termina en
-all, se analiza sin errores, por debajo del 10-lookup limit (42.5M). - Etapa 5 — Alineado: estricto o softfail con una política DMARC en modo obligatorio por detrás (19.3M).
- Etapa 6 — Totalmente protegido: los pocos alineados y en modo obligatorio (10.1M).
El muro está en la etapa 3 → 4: cualquier otro paso es una edición de DNS de una línea; este significa enumerar cada sistema que envía en tu nombre sin superar el 10-lookup limit. Por eso softfail es donde reposa internet.
Explora los datos
- El Modelo de Madurez de Adopción de SPF (SPFAMM)
Las 6 etapas de SPF y el muro de investigación en la etapa 3→4 donde se detiene la mayor parte de internet. - ~all frente a -all: qué eligieron 139M de registros
Softfail es el final más habitual: el 55.8% termina en ~all («probablemente falso, entrégalo de todos modos») frente al 39.3% en -all estricto. - El informe de PermError de SPF
797,263 dominios rompen en silencio su propio SPF al superar el 10-lookup limit — 100× más de lo que muestran los recuentos superficiales. - Dos registros SPF = ninguno
1,013,416 dominios publican dos o más registros SPF — la regla los anula todos. - La trampa del ptr
Un mecanismo desaconsejado desde 2014, todavía presente en 950,631 registros. - El mapa de +all
36,015 dominios publican +all — una invitación abierta a enviar en su nombre. - ¿Qué proveedor de correo ofrece los mejores valores por defecto de SPF?
Una liga de 15 proveedores según sus tasas de SPF estricto y de aplicación — tu proveedor escribe tu valor por defecto. - El Índice de Suplantabilidad del Correo
Cuántos dominios puede falsificar cualquiera — por TLD y país.
Comprueba tu propio dominio
Comprueba tu dominio — gratis, 30 segundos →
Consulta la guía de solución: Cómo arreglar SPF → · Solo datos agregados. Datos almacenados y procesados en la UE.