Ayuda y Resolución de problemas
SPF
Qué es esto
SPF (Sender Policy Framework) es un registro TXT que lista los servidores autorizados a enviar correo por tu dominio. Los receptores comprueban el servidor que se conecta contra la lista; combinado con DMARC, impide que otros falsifiquen tu dirección.
Cómo interpretar tu resultado
Un solo registro que empieza con v=spf1, mecanismos para cada servicio de envío legítimo, y un calificador all final, idealmente ~all o -all. Vigila el número de consultas DNS: los mecanismos include/a/mx/exists pueden sumar 10 como máximo.
Problemas comunes y cómo solucionarlos
Más de 10 consultas DNS (permerror)
Cómo se manifiesta: SPF se evalúa como error permanente en los receptores; la autenticación falla aunque el registro "parezca correcto". Común tras apilar varios include de SaaS.
Cómo solucionarlo: Elimina los include de servicios que ya no usas, reemplaza a/mx por ip4/ip6 explícitas donde sea práctico, o usa la herramienta de aplanamiento (flattening) de SPF para resolver los include a IP en crudo (luego vuelve a aplanar periódicamente, ya que los rangos de los proveedores cambian).
El correo legítimo falla porque falta un servicio de envío
Cómo se manifiesta: El correo de una herramienta (mesa de ayuda, boletín, CRM) va a spam o rebota, mientras que el resto del correo funciona bien.
Cómo solucionarlo: Agrega el include documentado (o los rangos de IP) de ese proveedor al registro existente. Nunca crees un segundo registro v=spf1: amplía el único registro.
El registro termina con +all o ?all
Cómo se manifiesta: Cualquiera, desde cualquier lugar, pasa el SPF de tu dominio, spammers incluidos; la reputación de tu dominio se erosiona.
Cómo solucionarlo: Endurece la política: ~all (softfail) mientras validas tu lista de remitentes, y luego -all cuando tengas la certeza de que todas las fuentes legítimas están incluidas.
SPF correcto pero el correo reenviado sigue fallando
Cómo se manifiesta: El correo enrutado a través de reenviadores (listas de correo, reenvíos universitarios) falla el SPF en el receptor final.
Cómo solucionarlo: Esto es inherente: el reenvío rompe el SPF porque la IP del reenviador no está en tu registro. Despliega DKIM (que sobrevive al reenvío) más DMARC, para que los mensajes se autentiquen mediante DKIM incluso cuando el SPF falle.