Última actualización: julio de 2026
En resumen: Al terminar esta guía tu zona alojada de Route 53 publicará un registro SPF correcto para tu servidor de correo. Los servidores receptores podrán reconocer quién puede enviar en tu nombre.
Requisitos previos
- Una zona alojada pública en Amazon Route 53
- Sabes qué servidores envían email por tu dominio (tu propio servidor, Amazon SES, un servicio de newsletter)
¿Qué es SPF?
SPF (Sender Policy Framework) es un registro TXT en el DNS de tu dominio. Enumera los servidores SMTP autorizados a enviar por tu dominio. Los servidores receptores comprueban en cada mensaje entrante si el servidor que lo entrega está en esa lista. Sin SPF, cualquier servidor puede enviar correo en tu nombre — y tu correo legítimo acaba antes en spam.
Para ponerlo en contexto: SPF por sí solo no es una protección completa. Solo junto con DKIM y DMARC se convierte en una base sólida. Pero SPF es el punto de entrada más sencillo.
El punto de partida en Route 53
Route 53 es un servicio de DNS puro: a diferencia de los hosts compartidos, no hay un interruptor SPF listo para usar, porque Route 53 no sabe dónde funciona tu correo. Escribes el registro tú mismo — lo cual encaja bien aquí, ya que como usuario de Route 53 normalmente gestionas tu propia infraestructura o Amazon SES.
Una particularidad de AWS de entrada: Route 53 ofrecía antes un tipo de registro SPF dedicado, pero AWS lo retiró. Su documentación es explícita: en lugar de un registro SPF, AWS recomienda crear un registro TXT con el valor aplicable. Así que SPF se publica siempre como registro TXT — nunca con el tipo SPF heredado.
Guía paso a paso
1. Comprueba si SPF ya está activo
Lo más rápido, desde el terminal:
dig TXT example.com +short | grep spf1
Como alternativa, introduce tu dominio en el escáner MXAudit gratuito — comprueba a la vez la sintaxis del registro y el límite de lookups.
2. Construye el registro para tu configuración
El caso clásico, cuando envían los mismos servidores que también reciben (tu MX apunta a tu servidor de correo):
v=spf1 mx -all
El mecanismo mx autoriza las direcciones IP de todos los nombres de host MX de tu dominio — si cambia la IP del servidor, el registro SPF sigue siendo correcto automáticamente, siempre que el MX sea correcto.
El ejemplo de consola documentado por AWS para un rango de IP fijo se ve así:
v=spf1 ip4:192.168.0.1/16 -all
| Mecanismo | Efecto |
|---|---|
mx | permite los servidores detrás de los registros MX de tu dominio |
ip4: / ip6: | permite una dirección IP fija o una subred |
a:host | permite la IP detrás del registro A/AAAA del host indicado |
include: | incorpora el SPF de un servicio de envío (p. ej. Amazon SES) |
-all | hardfail: solo los servidores listados explícitamente pueden enviar |
Con tu propia infraestructura, -all es la elección correcta — conoces tus vías de envío. Si tienes dudas durante una reconstrucción, empieza con ~all y endurece a -all tras unos días.
3. Introduce el registro en la consola de Route 53
Inicia sesión en la AWS Management Console y abre la consola de Route 53. En el panel de navegación elige Hosted zones, abre tu zona y pulsa Create record:
| Campo | Valor |
|---|---|
| Record name | (dejar vacío para el dominio raíz) |
| Record type | TXT |
| Value | "v=spf1 mx -all" |
La peculiaridad de Route 53, según la documentación: un registro TXT contiene una o varias cadenas encerradas entre comillas dobles — así que el valor va entre comillas dobles en el campo Value. Luego pulsa Create records.
4. Añade servicios de envío externos (si hace falta)
Una herramienta de newsletter, un CRM o Amazon SES necesita su valor include: en el mismo registro (de la documentación de ese servicio, busca “SPF”). Rige la regla: solo un registro SPF por dominio — edita el existente, nunca crees un segundo.
5. Espera hasta que el cambio esté activo
Route 53 aquí es rápido: según la documentación de AWS, los cambios se propagan generalmente a todos los servidores de nombres de Route 53 en 60 segundos. Los resolutores intermedios pueden seguir cacheando la respuesta antigua hasta que expire el TTL.
Verifica el resultado
Comprueba tu configuración con el escáner MXAudit gratuito — te muestra de inmediato si tu registro SPF es sintácticamente correcto y cuántos lookups de DNS consume (el límite es 10).
O directamente en el terminal:
dig TXT example.com +short | grep spf1
La salida debe contener exactamente un registro con v=spf1.
Errores habituales
Usar el tipo de registro SPF heredado. Route 53 aún muestra un tipo SPF, pero AWS lo desaconseja — publica SPF como registro TXT.
Olvidar las comillas. En el campo Value de Route 53 la cadena va entre comillas dobles.
Dos registros SPF. Dos entradas TXT con v=spf1 provocan un permerror — los servidores receptores entonces ignoran SPF por completo. Todas las fuentes van en un único registro.
mx sin registros MX que coincidan. v=spf1 mx -all autoriza exactamente los servidores de tus registros MX. Si envía una máquina que no aparece ahí, se rechaza — añádela mediante ip4: o a:.
+all al final. Un +all permite enviar a cualquier servidor y deja todo el registro sin efecto — no lo copies.
Superar el límite de lookups de DNS. SPF permite un máximo de 10 lookups de DNS por comprobación; mx, a: y cada include: cuentan. Con muchos servicios externos se pone justo — MXAudit los cuenta por ti.
Más información
- Guía para desarrolladores de Amazon Route 53: Supported DNS record types (consultado el 10 de julio de 2026)
- Guía para desarrolladores de Amazon Route 53: Creating records using the console (consultado el 10 de julio de 2026)
- RFC 7208 — Sender Policy Framework (SPF)
