Última actualización: julio de 2026

En resumen: Al terminar esta guía tu zona DNS alojada en Cloudflare publicará un registro SPF correcto para tu servidor de correo. Los servidores receptores podrán reconocer quién puede enviar en tu nombre.

Requisitos previos

  • Un dominio cuyo DNS se gestiona en Cloudflare (la página DNS > Records del dashboard)
  • Sabes qué servidores envían email por tu dominio (tu propio servidor de correo, buzón de hosting, servicio de newsletter o Cloudflare Email Routing)

¿Qué es SPF?

SPF (Sender Policy Framework) es un registro TXT en el DNS de tu dominio. La documentación de Cloudflare lo explica sin rodeos: sin registros de autenticación de correo, cualquiera puede enviar emails que parezcan venir de tu dominio — una técnica conocida como suplantación de dominio (domain spoofing). El registro SPF enumera las direcciones IP y los dominios autorizados a enviar correo en nombre de tu dominio. Los servidores receptores comprueban en cada mensaje entrante si el servidor que lo entrega está en esa lista.

Para ponerlo en contexto: SPF por sí solo no es una protección completa. Solo junto con DKIM y DMARC se convierte en una base sólida. Pero SPF es el punto de entrada más sencillo.

El punto de partida en Cloudflare

Cloudflare es ante todo un proveedor de DNS: no hay un interruptor SPF listo para usar, porque el contenido del registro depende de dónde funciona tu correo. Como señala la documentación de Cloudflare, los valores exactos de tus registros de correo dependen de tu proveedor de email. El registro TXT lo publicas tú mismo en el dashboard.

Una particularidad de Cloudflare: a diferencia de algunos hosts compartidos, el dashboard no pide poner el valor entre comillas — pegas el contenido del registro en un campo Content normal. Y un registro TXT nunca pasa por el proxy (la «nube naranja» solo aplica a registros A, AAAA y CNAME), así que ahí no hay nada que conmutar.

Guía paso a paso

1. Comprueba si SPF ya está activo

Lo más rápido, desde el terminal:

dig TXT example.com +short | grep spf

Como alternativa, introduce tu dominio en el escáner MXAudit gratuito — comprueba a la vez la sintaxis del registro y el límite de lookups.

2. Construye el registro para tu configuración

El caso clásico, cuando envían los mismos servidores que también reciben (tu MX apunta a tu propio servidor):

v=spf1 mx ~all

El mecanismo mx autoriza las direcciones IP de todos los nombres de host MX de tu dominio — si cambia la IP del servidor, el registro SPF sigue siendo correcto automáticamente, siempre que el MX sea correcto. Cuando estés seguro de tus vías de envío, endurece el final a -all:

v=spf1 mx -all

Si envías a través de Cloudflare Email Routing, Cloudflare documenta el registro exacto:

v=spf1 include:_spf.mx.cloudflare.net ~all

Las reglas de sintaxis de Cloudflare, según su documentación:

ReglaEfecto
empezar con v=spf1los registros SPF deben empezar con v=spf1
include:combinar servicios con declaraciones include: separadas
~all / -allusar ~all (SoftFail) o -all (Fail), no +all
máx. 10 lookupslos registros SPF están limitados a 10 lookups DNS en total

3. Introduce el registro en el dashboard de Cloudflare

Ve a DNS > Records, elige Add record y luego el Type:

CampoValor
TypeTXT
Name@ (para el dominio raíz)
Contentv=spf1 mx ~all
TTLAuto

Pulsa Save.

4. Añade servicios de envío externos (si hace falta)

Una herramienta de newsletter, un CRM o un segundo proveedor necesita su valor include: en el mismo registro. El formato de fusión documentado por Cloudflare:

v=spf1 include:_spf.mx.cloudflare.net include:other-service.com ~all

Por ejemplo, Cloudflare Email Routing más Google Workspace:

v=spf1 include:_spf.mx.cloudflare.net include:_spf.google.com ~all

Rige la regla: solo un registro SPF por dominio. Cloudflare es explícito — tener varios registros SPF en tu dominio no está permitido — así que edita el registro existente, nunca crees un segundo.

5. Espera hasta que el cambio esté activo

Los cambios de DNS tardan: según el TTL y el caché puede pasar un rato hasta que todos los servidores del mundo vean el nuevo registro. Para dominios en Cloudflare DNS suele ser rápido.

Verifica el resultado

Comprueba tu configuración con el escáner MXAudit gratuito — te muestra de inmediato si tu registro SPF es sintácticamente correcto y cuántos lookups de DNS consume (el límite es 10).

O directamente en el terminal:

dig TXT example.com +short | grep spf

La salida debe contener exactamente un registro con v=spf1.

Errores habituales

Dos registros SPF. Dos entradas TXT con v=spf1 provocan un permerror — los servidores receptores entonces ignoran SPF por completo. Cloudflare indica que no se permiten varios registros SPF; todas las fuentes van en un único registro.

+all al final. Un +all permite enviar a cualquier servidor y deja todo el registro sin efecto — Cloudflare dice de usar ~all o -all, no +all.

mx sin registros MX que coincidan. v=spf1 mx -all autoriza exactamente los servidores de tus registros MX. Si envía una máquina que no aparece ahí, se rechaza — añádela mediante include:, ip4: o a:.

Superar el límite de lookups de DNS. SPF permite un máximo de 10 lookups de DNS por comprobación; mx, a: y cada include: cuentan. Con muchos servicios externos se pone justo — MXAudit los cuenta por ti.

Más información