Última actualización: julio de 2026
En resumen: Los símbolos (
+,-,~,?) que preceden a los mecanismos en un registro SPF se denominan calificadores. Situados delante del mecanismoallal final de tu registro, dictan cómo deben tratar los servidores receptores los correos no autenticados.
Un registro SPF (Sender Policy Framework) evalúa los mecanismos de izquierda a derecha. Si un correo entrante no coincide con términos concretos como ip4 o include, la evaluación alcanza el mecanismo all al final del todo, el cual coincide con cualquier dirección IP. El calificador que precede a dicho all indica al servidor receptor qué resultado final de evaluación (check_host()) debe devolver.
Los cuatro calificadores explicados
Según el RFC 7208, existen cuatro calificadores posibles y sus correspondientes resultados de evaluación:
+pass-fail~softfail?neutral
El prefijo calificador es opcional y por defecto es + (lo que significa que un mecanismo escrito simplemente como a se comporta como +a).
1. Hardfail (-all)
Un registro que finaliza con -all:
v=spf1 -all
devuelve un resultado fail. Según el RFC 7208, un resultado fail es una declaración explícita de que el cliente no está autorizado para utilizar el dominio con la identidad dada. Los servidores de correo receptores suelen rechazar los mensajes que devuelven fail durante la propia transacción SMTP antes de aceptar el mensaje.
2. Softfail (~all)
Un registro que finaliza con ~all:
v=spf1 ~all
devuelve un resultado softfail. Según el RFC 7208, un resultado softfail es una declaración débil por parte de la organización emisora de que el host probablemente no está autorizado, pero que el dominio no ha publicado una política más fuerte y definitiva (fail). Los servidores de correo suelen aceptar los mensajes en softfail pero los marcan como sospechosos o los envían a la carpeta de spam. Es la política recomendada durante la fase de despliegue y pruebas.
3. Neutral (?all)
Un registro que finaliza con ?all:
v=spf1 ?all
devuelve un resultado neutral. Según el RFC 7208, un resultado neutral significa que el dominio declara de forma explícita que no afirma si la dirección IP está autorizada o no. Los servidores receptores tratan el mensaje exactamente como si no existiese ningún registro SPF para esa dirección IP.
4. Pass (+all)
Un registro que finaliza con +all:
v=spf1 +all
devuelve un resultado pass para todos los servidores que se conecten a nivel mundial. Según el RFC 7208, un resultado pass es una declaración explícita de que el cliente está autorizado para inyectar correo. Añadir +all al final de tu registro permite a cualquier servidor de Internet enviar correos en tu nombre, destruyendo por completo la protección SPF de tu dominio.
Cero consultas DNS para all
Un detalle arquitectónico fundamental: el mecanismo all no consume consultas DNS. Según el RFC 7208, los mecanismos all, ip4 e ip6, junto con el modificador exp, no provocan consultas DNS en el momento de la evaluación y no están sujetos al límite de 10 consultas.
Sin embargo, recuerda que un dominio no debe publicar múltiples registros SPF por separado. Publicar más de un registro para un único nombre de dominio activa de inmediato un permerror durante la evaluación independientemente de tus calificadores.
Verificar tu configuración
Para comprobar qué calificador impone tu dominio y confirmar que tu registro SPF no contiene errores de sintaxis, escanea tu dominio con el escáner gratuito MXAudit.
Para obtener guías técnicas en profundidad y tutoriales según el proveedor, explora la guía SPF y tutoriales prácticos como configurar SPF en IONOS.
Más información
- RFC 7208 — Sender Policy Framework (SPF) (consultado el 17 de julio de 2026)