Última actualización: julio de 2026

En resumen: Los mecanismos a y mx en un registro SPF autorizan de forma dinámica los servidores de envío comparando sus direcciones IP con los registros DNS A, AAAA y MX de tu dominio.

Cuando un servidor de correo recibe un mensaje entrante, el estándar SPF (Sender Policy Framework) evalúa si la dirección IP del host de conexión está autorizada para enviar en nombre del dominio. En lugar de incluir en el código cada dirección IP estática directamente en tu registro, puedes utilizar los mecanismos a y mx para hacer referencia a los registros DNS publicados para tu infraestructura web y de correo electrónico.

Cómo funciona el mecanismo a

El mecanismo a verifica si el servidor de correo que se conecta funciona sobre la dirección IP principal de tu sitio web o de un nombre de host especificado. Según el RFC 7208, este mecanismo coincide si <ip> es una de las direcciones IP de <target-name>. Para mayor claridad, el estándar especifica explícitamente que el mecanismo a también coincide con los registros AAAA (direcciones IPv6).

Cuando se publica por sí solo, sin argumentos, se evalúa en función del nombre de dominio consultado:

v=spf1 a mx ~all

También puedes apuntar el mecanismo hacia un subdominio específico o el nombre de host de un servidor:

v=spf1 a:mail.example.com -all

Si tu aplicación web, tu sitio en WordPress o tu CRM envía confirmaciones de pedido y alertas del sistema directamente desde la dirección IP principal de tu servidor web, el mecanismo a garantiza que dicho host supere la autenticación correctamente.

Cómo funciona el mecanismo mx

El mecanismo mx autoriza a los servidores de recepción de correo de tu dominio a enviar también mensajes salientes. Según el RFC 7208, este mecanismo coincide si <ip> es uno de los hosts MX para un nombre de dominio:

v=spf1 mx -all

Durante la evaluación, el servidor receptor consulta los registros MX de tu dominio, resuelve esos nombres de host en direcciones IP y comprueba si el servidor que se conecta coincide con alguno de ellos. Este método se utiliza ampliamente en entornos de hosting compartido y configuraciones de correo tradicionales donde el tráfico entrante y saliente pasa por el mismo clúster de servidores.

Consultas DNS y rendimiento

Aunque los mecanismos a y mx ofrecen comodidad al adaptarse automáticamente cuando migras servidores o actualizas tus registros DNS, tienen un coste de rendimiento: provocan consultas DNS durante la evaluación.

El RFC 7208 establece que los términos que generan consultas DNS en el momento de la evaluación (include, a, mx, ptr y exists, así como redirect) deben limitarse estrictamente. Las implementaciones de SPF deben limitar el número total de estos términos a 10 consultas durante la evaluación para evitar una carga excesiva en el sistema de nombres de dominio (DNS). Si una evaluación supera este umbral, el servidor receptor interrumpe el procesamiento y devuelve permerror (error permanente).

Un registro básico v=spf1 a mx ~all consume de inmediato dos consultas (una para la consulta A/AAAA y otra para la consulta MX). Si tus registros MX apuntan a varios nombres de host que a su vez requieren resolución, el número de consultas aumenta aún más. Para direcciones IP de servidores estáticas y a largo plazo, los mecanismos directos ip4 o ip6 son más eficientes ya que no generan consultas DNS. Además, un dominio no debe publicar múltiples registros SPF por separado, lo cual también provocaría un permerror inmediato.

Verificar tu configuración

Para comprobar cuántas consultas DNS consumen en total tus mecanismos a, mx e include, analiza tu dominio con el escáner gratuito MXAudit. Revela la cadena exacta de consultas y confirma que todos los nombres de host se resuelven limpiamente.

Para aprender más sobre cómo estructurar tu pila de autenticación o configurar registros específicos por proveedor, explora la guía SPF y tutoriales prácticos como configurar SPF en IONOS.

Más información