Cómo Configurar el Registro SPF de Google Workspace para una Deliverability Profesional de Emails

Aunque configurar un registro SPF de Google Workspace pueda parecer tan sencillo como publicar un único registro DNS TXT, hay consideraciones técnicas críticas que hay que hacer bien. Desde entender el papel de SPF en la autenticación de emails hasta evitar errores comunes de configuración como múltiples registros SPF o exceder los límites de búsqueda de DNS, los detalles importan.

En esta guía, te daremos un enfoque claro y paso a paso para configurar SPF en Google Workspace, asegurando que tus emails pasen la autenticación, mejorando la ubicación en la bandeja de entrada y soportando protocolos adicionales como DKIM y DMARC.

¿Qué es un registro SPF de Google Workspace?

Un registro SPF de Google Workspace es una entrada DNS TXT que les dice a los servidores receptores qué servidores de correo están autorizados a enviar emails en nombre de tu dominio de Google Workspace. Sin un registro SPF, Gmail y Outlook no pueden verificar la autenticidad de tus emails, lo que aumenta la probabilidad de que tus mensajes sean marcados como spam o usados en ataques de suplantación de identidad. 

En términos sencillos, si tienes un dominio como tuempresa.com y envías emails a través de Google Workspace, un registro SPF demuestra a los servidores receptores que los servidores de correo de Google están autorizados a enviar mensajes en nombre de tu dominio.

SPF es uno de los tres protocolos clave de autenticación de email, junto con DKIM y DMARC, que en conjunto mejoran la autenticación de los mensajes y su llegada a la bandeja de entrada.

Cómo funciona el SPF

SPF funciona comparando la dirección IP del servidor que envió tu mensaje con la lista de remitentes autorizados publicada en los registros DNS de tu dominio.

Aquí tienes un flujo simplificado:

1. Un usuario envía un email a través de Google Workspace.
2. El servidor de correo del destinatario (por ejemplo, Gmail u Outlook) consulta los registros DNS de tu dominio para una entrada SPF.
3. Si la dirección IP de envío o el servicio de envío está en la lista, el mensaje pasa la verificación SPF y procede al proceso de filtrado de la bandeja de entrada del buzón.
4. Si no está en la lista, el mensaje falla la validación SPF y puede ser marcado como spam, puesto en cuarentena o rechazado por el servidor de correo del destinatario.
   
   

Ejemplo de registro SPF para Google Workspace:

v=spf1 include:_spf.google.com ~all

Este registro dice:

• v=spf1 → versión de SPF que se está usando
• include:_spf.google.com → autoriza los servidores de correo de Google
• ~all → softfail para cualquier cosa no listada (marcarlo como sospechoso, pero no bloquearlo directamente)

Componentes comunes de un registro SPF 

Al configurar o solucionar problemas de registros SPF, a menudo verás estos mecanismos comunes:

• include → hace referencia a otro registro SPF (p. ej., include:_spf.google.com)
• ip4 / ip6 → permite que una dirección IPv4 o IPv6 específica envíe correo
• a → autoriza a los servidores de correo definidos en el registro A de tu dominio
• mx → autoriza los intercambiadores de correo de tu dominio
• all → coincide con todo (debe aparecer al final)
• ~all → “softfail,” el correo no autorizado se acepta, pero se marca
• -all → “hardfail,” el correo no autorizado se rechaza. 

Por qué Google Workspace requiere configuración SPF

Sin un registro SPF, tu dominio de Google Workspace está expuesto. Actores maliciosos pueden suplantar tu dirección de correo electrónico, lanzar ataques de phishing en tu nombre o hacerse pasar por tu marca frente a los clientes. Cuando los proveedores de buzones como Gmail u Outlook no pueden verificar que un mensaje proviene de tu dominio, los mensajes legítimos pueden ser enviados a la carpeta de spam. Este es uno de los problemas de deliverability de correo electrónico más comunes que las organizaciones encuentran cuando falta la autenticación básica de correo electrónico.

Por eso, SPF es más que una configuración técnica. Configurarlo les dice a los proveedores: “Sí, estos son los servidores autorizados para enviar por mi dominio.” El resultado es una mejor reputación como remitente, mejores tasas de colocación en la bandeja de entrada y alineación con los estándares de autenticación esperados por los proveedores de buzones.

Paso a paso: Cómo configurar SPF en Google Workspace

Antes de modificar tus ajustes de DNS, revisa estos requisitos previos. Muchos problemas de deliverability provienen de remitentes omitidos en los registros SPF o de publicar múltiples registros SPF para el mismo dominio. Google Workspace simplifica el proceso, pero debes abordar estos requisitos de configuración antes de editar el DNS.

Lo que debes saber de antemano:

• Algunos dominios ya tienen SPF preconfigurado, especialmente si lo compraste a través de un socio de Google. Verifica los registros existentes usando una herramienta de búsqueda/validación de SPF (por ejemplo, un SPF checker o Google Admin Toolbox) antes de hacer cambios.
• Los registros SPF se configuran en tu proveedor de DNS (registrador de dominio o host de DNS), no en la consola de Google Admin. Añade o actualiza el registro SPF TXT a través del panel de control de tu proveedor de DNS (por ejemplo, GoDaddy, Cloudflare, Namecheap).
• Solo se permite un registro SPF TXT por dominio; publicar múltiples registros SPF hace que la evaluación de SPF falle.

Paso 1: Identifica a todos los remitentes de email

Tu registro SPF debe incluir cada servidor o servicio que envía correos en nombre de tu dominio. Para dominios que solo usan Google Workspace, este puede ser el único remitente. Sin embargo, en la mayoría de las organizaciones, también debe tener en cuenta remitentes adicionales, como:

• Servidores web
• Servidores de correo locales (por ejemplo, Microsoft Exchange)
• Servidores de correo utilizados por tu proveedor de hosting
• Gateways de salida
• Plataformas de CRM y outreach (Salesforce, HubSpot, MailReach, Apollo, etc.)
• Plataformas de marketing (ej., Mailchimp, SendGrid)
• Herramientas transaccionales (Shopify, Stripe, Zendesk)
• Formularios de sitios web que envían correos automáticos

Paso 2: Determina tu registro SPF

Una vez que tengas tu lista completa de remitentes, crea tu registro SPF. Un registro SPF es una cadena de texto corta publicada en la configuración DNS de tu dominio. Les dice a los proveedores de buzones qué servidores están autorizados a enviar en nombre de tu dominio.

Tu trabajo es combinar todos los dominios y direcciones IP de tu inventario de remitentes en un solo registro SPF, asegurándote de que ningún remitente legítimo sea omitido. Solo se permite un registro SPF TXT por dominio; publicar múltiples registros SPF hace que la evaluación de SPF falle.

Si también usas otras plataformas como Mailchimp, Salesforce o Microsoft 365, necesitas fusionarlas en una sola cadena para que todos tus servicios estén cubiertos.

Por ejemplo:

Recuerda siempre: Solo debe haber un registro SPF.

Paso 3: Añade tu registro SPF en el proveedor de tu dominio

• Inicia sesión en tu proveedor de DNS o registrador de dominios (por ejemplo, Cloudflare, GoDaddy, Namecheap). Ve a la página de gestión de DNS para registros TXT. Crea o actualiza el registro SPF con:
  • Tipo: TXT
  • Host/Name: @ (o tu dominio, por ejemplo, example.com)
  • Valor: tu cadena SPF (por ejemplo, v=spf1 include:_spf.google.com ~all)
• Guarda el registro y espera la propagación del DNS. Los cambios suelen aparecer en minutos u horas; permite hasta 48 horas. Repite el proceso para cualquier dominio o subdominio adicional que uses para enviar correos. (Asegúrate de no publicar múltiples registros SPF para el mismo dominio. Fusiona los remitentes en un solo registro.)

Paso 4: Elige entre softfail (~all) y hardfail (-all)

Al final de cada registro SPF, verás ~all o -all. Esto controla cómo los proveedores de buzones manejan el correo de servidores no autorizados.

Desafíos de SPF en Google Workspace y Cómo Solucionarlos

Incluso con SPF configurado, los mensajes aún pueden fallar la autenticación, ser rechazados o aterrizar en spam. Usa las guías a continuación para diagnosticar y resolver problemas de configuración sin repetir la regla de “un solo registro SPF” cubierta anteriormente. Los problemas de SPF no resueltos también pueden llevar a mayores tasas de rebote de emails y aumentar el riesgo de rebotes duros y rebotes suaves, ambos dañando tu reputación de remitente.

Propagación de DNS y Caché de DNS

Cuando añades o actualizas el SPF, los resultados no son inmediatos. Los cambios de DNS pueden tardar hasta 48 horas en propagarse. Además, los servidores de correo y otras herramientas pueden guardar en caché las consultas.

Tu nuevo registro TXT todavía no se ha propagado, o un servidor de destino está usando un resultado DNS que tenía guardado en caché.

Cómo solucionarlo:

• Espera a que se propague el DNS. La mayoría de los cambios se asientan en unas pocas horas, pero dale hasta 48 horas.
• Reduce el TTL del DNS antes de cambios importantes para que las actualizaciones se propaguen más rápido.
• Vuelve a hacer la prueba usando varias herramientas de verificación de DNS para no fiarte de una sola vista en caché. 

Se excedió el límite de búsquedas DNS

SPF permite un máximo de 10 búsquedas DNS. Cada 'include:', 'mx', 'a', 'exists', 'ptr' o 'redirect' puede sumar a ese total, incluso las búsquedas anidadas dentro del propio SPF de un proveedor.

Tener varios CRMs, plataformas de marketing y pasarelas puede hacer que superes las 10 búsquedas.

Cómo solucionarlo:

• Usa Google Admin Toolbox o herramientas similares para contar las búsquedas.
• Quita los proveedores que no uses y los mecanismos duplicados.
• Ten cuidado con las cadenas de 'include:' anidadas.
• Considera 'aplanar' tu registro SPF reemplazando las directivas 'include:' anidadas con las direcciones IP publicadas por el proveedor cuando sea apropiado, pero ten en cuenta que esto aumenta el mantenimiento (los proveedores pueden cambiar las IPs).

Errores de sintaxis y orden

SPF es muy estricto con el formato.

Por qué ocurre: faltan espacios o comillas, mecanismos mal colocados, se omite la etiqueta de versión v=spf1 o se coloca incorrectamente el mecanismo all. 

Cómo solucionarlo:

Sigue este patrón:

v=spf1 [mecanismos] [modificadores] [política]

Ejemplo válido:

v=spf1 include:_spf.google.com include:servers.mcsv.net ~all

• Valida antes de publicar con Google Admin Toolbox.
• Mantén cada cadena TXT por debajo de los 255 caracteres. Si tu proveedor de DNS impone este límite, divide el valor SPF en varias cadenas entre comillas según los requisitos del proveedor.
  
  

Reenvío y Listas de Correo

SPF verifica la IP del servidor que entrega el mensaje. Los reenviadores y los servidores de listas de correo normalmente no están autorizados en tu registro SPF, por lo que el correo reenviado puede fallar el SPF incluso cuando tu SPF es correcto.

La IP del reenviador no está autorizada en tu SPF.

Cómo solucionarlo:

• Habilita DKIM para que la firma criptográfica sobreviva al reenvío y permita que los mensajes pasen la autenticación incluso si SPF falla.
• Aplica DMARC para que el DKIM alineado pueda pasar incluso cuando SPF falle después del reenvío.
• Usa Email Log Search para confirmar si un mensaje fue reenviado y para ver la ruta de salto.

Rangos de IP Amplios o Compartidos en SPF

Los rangos de nubes grandes pueden introducir riesgos y búsquedas innecesarias.

Usar rangos amplios de ip4: o ip6: de nubes compartidas autoriza más infraestructura de la que controlas, y puede que no se alinee con las IPs de envío reales.

Cómo solucionarlo:

• Reemplaza los rangos amplios con IPs fijas y asignadas para tus instancias reales.
• Prefiere las directivas 'include:' del proveedor cuando gestionan pools estables.
• Quita los rangos de marcador de posición o antiguos que ya no uses.

Lee los resultados de SPF en los encabezados de los mensajes

Los encabezados te dicen exactamente cómo un destinatario evaluó el SPF.

En los encabezados completos, busca 'Authentication-Results:' y el resultado 'spf='. Luego, actúa en consecuencia.

• No hay entrada SPF: SPF no verificado. Vuelve a comprobar que tu registro SPF TXT esté publicado correctamente.
• spf= best-guess: SPF ausente o mal configurado, o problemas de DNS con el proveedor. Arregla el registro y verifica el estado de tu DNS.
• spf= neutral, softfail, o fail: La IP de envío no está en tu registro, o el remitente no está autorizado. Actualiza tu registro para incluir a los remitentes legítimos.
• spf= temperror o permerror: Errores temporales o permanentes de DNS/SPF. Valida la sintaxis y verifica el estado del DNS del proveedor.
• Correo reenviado que falla SPF: Confirma la ruta con la Búsqueda de Registros de Email, luego confía en DKIM y DMARC para la alineación.

Cómo verificar si tu registro SPF está bien configurado

Aunque tu registro SPF parezca correcto en el DNS, pequeños errores de sintaxis o problemas de búsqueda pueden hacer que falle silenciosamente y afecte tu ubicación en la bandeja de entrada.

Para estar 100% seguro, usa el SPF Checker de MailReach. Valida al instante tu configuración SPF y resalta cualquier problema de configuración o DNS.

A diferencia de la mayoría de los tests SPF gratuitos, MailReach hace una verificación de principio a fin, comprobando cómo se comporta realmente tu registro en condiciones de envío reales en lugar de solo cómo aparece en el DNS.

Para una verificación completa de la entregabilidad, también puedes hacer un MailReach Inbox Placement Test. Verifica la autenticación SPF, DKIM y DMARC en Gmail, Outlook y otros proveedores de buzones importantes.

Ambas herramientas te ayudan a identificar problemas de autenticación a tiempo para que puedas proteger tu reputación de remitente y mantener una buena ubicación en la bandeja de entrada.

¿Cuál es el enfoque correcto?  

SPF confirma que tu dominio está autorizado para enviar emails, pero no garantiza la ubicación en la bandeja de entrada. Los proveedores de buzones también evalúan cómo interactúan los destinatarios con tus mensajes. Por eso el warmup es esencial; ayuda a construir las señales de reputación positivas que SPF por sí solo no puede dar.

El warmup es más importante cuando:

• Estás enviando desde un dominio nuevo sin reputación.
• La reputación de tu dominio ha sido dañada por rebotes o quejas de spam.
• Estás añadiendo nuevos buzones a gran escala y necesitas que sean de confianza antes de empezar a contactar.
• Quieres mantener una ubicación estable en la bandeja de entrada mientras usas múltiples herramientas o proveedores.

El Email Warmup y el AI Warmup de MailReach simulan interacciones reales en buzones de confianza, construyendo gradualmente el historial de interacción que valoran los proveedores de buzones. Con el Inbox Placement Test, puedes validar que los cambios en SPF no han introducido nuevos riesgos de entregabilidad.