Última actualización: julio de 2026

En resumen: Al terminar esta guía tu dominio tendrá un registro SPF correcto en el LiveDNS de Gandi. Los servidores receptores podrán reconocer qué servidores pueden enviar en tu nombre — y descartar remitentes falsificados.

Requisitos previos

  • Un dominio en Gandi que use Gandi LiveDNS (los servidores de nombres por defecto)
  • Acceso a tu cuenta de Gandi (admin.gandi.net)

¿Qué es SPF?

SPF (Sender Policy Framework) es un registro TXT en el DNS de tu dominio. Gandi lo dice sin rodeos: comparte públicamente qué direcciones IP están autorizadas a enviar email desde tu nombre de dominio. Los servidores receptores consultan el registro en cada mensaje entrante y comprueban si el servidor que lo entrega está en la lista. Sin SPF, cualquier servidor puede enviar correo en nombre de tu dominio — una puerta abierta al phishing. Sin registro, además, tu correo acaba antes en spam: Gmail y otros grandes receptores simplemente esperan SPF hoy en día.

Para ponerlo en contexto: SPF por sí solo no es una protección completa. Solo junto con DKIM y DMARC se convierte en una base sólida. Pero SPF es el punto de entrada más sencillo.

El punto de partida en Gandi

Gandi es a la vez un registrador con LiveDNS y un host de buzones (Gandi Mail). Si envías a través de los servidores de correo de Gandi, publicas un registro SPF que los autoriza con un único include. A diferencia de DKIM, SPF no se activa automáticamente — el registro TXT lo añades tú. El valor depende de cómo envíes:

  • Gandi Mail (buzones en Gandi) → el include de correo
  • Hosting web de Gandi que envía correo (p. ej. un formulario de contacto) → el include de hosting web
  • ambos → un registro combinado

Guía paso a paso

1. Comprueba si SPF ya está activo

Lo más rápido, desde el terminal:

dig TXT example.com +short | grep spf1

Si vuelve un registro con v=spf1, SPF está activo. Como alternativa, introduce tu dominio en el escáner MXAudit gratuito — comprueba a la vez la sintaxis y el límite de lookups.

2. Abre los registros DNS en LiveDNS

Inicia sesión en admin.gandi.net, pulsa Domain en el menú de la izquierda y haz clic en el nombre de dominio que quieras gestionar. Abre la pestaña DNS Records.

3. Añade el registro SPF

Pulsa el botón verde Add encima de la tabla para añadir un registro. Elige el tipo TXT, pon el nombre en @ (el dominio desnudo) e introduce el valor que corresponda a tu configuración.

Si envías correo desde tu dominio con los servidores de correo de Gandi:

v=spf1 include:_mailcust.gandi.net ?all

Si tienes un sitio alojado en Gandi Web Hosting que envía email:

v=spf1 include:_spf.gpaas.net ?all

Si usas tanto Gandi Mail como un sitio alojado en Gandi que envía email, combínalos en un solo registro:

v=spf1 include:_mailcust.gandi.net include:_spf.gpaas.net ?all

El include de hosting web solo hace falta si piensas enviar emails a través de tu sitio (mediante un formulario de contacto, por ejemplo). Si tu sitio nunca envía correo, omítelo.

4. Añade otros remitentes (si hace falta)

Si también envías con otros servicios — herramienta de newsletter, CRM, tienda — sus servidores también deben estar en el registro. Encontrarás el valor include en la documentación de ese servicio (busca “SPF”). Edita el registro TXT existente y añade el nuevo include antes del ?all:

v=spf1 include:_mailcust.gandi.net include:spf.newsletter-dienst.de ?all

Importante: solo puede haber un registro SPF por dominio. Dos registros TXT con v=spf1 producen un permerror — los servidores receptores entonces ignoran SPF por completo. Eso es peor que no tener SPF.

5. Espera hasta que el cambio esté activo

En LiveDNS un registro nuevo se aplica en tiempo real, pero por el caché de DNS puede tardar unas horas — Gandi indica que los cambios pueden tardar hasta 72 horas en aplicarse en todas partes.

Los componentes en detalle

ComponenteSignificado
v=spf1identificador de versión, siempre al principio
include:_mailcust.gandi.netpermite los servidores de correo de Gandi
include:_spf.gpaas.netpermite Gandi Web Hosting (solo si tu sitio envía correo)
?allneutral: los demás servidores ni se avalan ni se rechazan

Los registros listos de Gandi terminan en ?all (neutral). Más estricto es ~all (softfail) o -all (hardfail), donde los servidores no listados se tratan como sospechosos o se rechazan directamente. Endurece a -all solo cuando estés seguro de que todas tus vías de envío están en el registro — de lo contrario perderás correo legítimo.

Verifica el resultado

Comprueba tu configuración con el escáner MXAudit gratuito — te muestra de inmediato si tu registro SPF es sintácticamente correcto y cuántos lookups de DNS consume (el límite es 10).

O directamente en el terminal:

dig TXT example.com +short | grep spf1

La salida debe contener exactamente un registro con v=spf1.

Errores habituales

Dos registros SPF. Dos entradas TXT con v=spf1 provocan un permerror. Todas las declaraciones include van en un único registro.

Include de hosting web sin hosting web. include:_spf.gpaas.net solo pertenece al registro si un sitio alojado en Gandi envía correo de verdad. Si no, omítelo — es un lookup innecesario.

Superar el límite de lookups de DNS. SPF permite un máximo de 10 lookups de DNS por comprobación. Cada include:, a, mx, exists: y redirect= cuenta — también anidados. MXAudit cuenta los lookups por ti.

+all al final. Un +all permite enviar a cualquier servidor y deja todo el registro sin efecto. No lo copies de foros antiguos.

Los reenvíos fallan. Si un destinatario reenvía tu correo automáticamente, SPF suele fallar en el destinatario final — el servidor que reenvía no está en tu registro. Es una debilidad de diseño de SPF, no un error de configuración; DKIM y DMARC cubren este caso.

Más información