Última actualización: julio de 2026

En resumen: Al terminar esta guía tu zona alojada de Route 53 publicará un registro SPF correcto para tu servidor de correo. Los servidores receptores podrán reconocer quién puede enviar en tu nombre.

Requisitos previos

  • Una zona alojada pública en Amazon Route 53
  • Sabes qué servidores envían email por tu dominio (tu propio servidor, Amazon SES, un servicio de newsletter)

¿Qué es SPF?

SPF (Sender Policy Framework) es un registro TXT en el DNS de tu dominio. Enumera los servidores SMTP autorizados a enviar por tu dominio. Los servidores receptores comprueban en cada mensaje entrante si el servidor que lo entrega está en esa lista. Sin SPF, cualquier servidor puede enviar correo en tu nombre — y tu correo legítimo acaba antes en spam.

Para ponerlo en contexto: SPF por sí solo no es una protección completa. Solo junto con DKIM y DMARC se convierte en una base sólida. Pero SPF es el punto de entrada más sencillo.

El punto de partida en Route 53

Route 53 es un servicio de DNS puro: a diferencia de los hosts compartidos, no hay un interruptor SPF listo para usar, porque Route 53 no sabe dónde funciona tu correo. Escribes el registro tú mismo — lo cual encaja bien aquí, ya que como usuario de Route 53 normalmente gestionas tu propia infraestructura o Amazon SES.

Una particularidad de AWS de entrada: Route 53 ofrecía antes un tipo de registro SPF dedicado, pero AWS lo retiró. Su documentación es explícita: en lugar de un registro SPF, AWS recomienda crear un registro TXT con el valor aplicable. Así que SPF se publica siempre como registro TXT — nunca con el tipo SPF heredado.

Guía paso a paso

1. Comprueba si SPF ya está activo

Lo más rápido, desde el terminal:

dig TXT example.com +short | grep spf1

Como alternativa, introduce tu dominio en el escáner MXAudit gratuito — comprueba a la vez la sintaxis del registro y el límite de lookups.

2. Construye el registro para tu configuración

El caso clásico, cuando envían los mismos servidores que también reciben (tu MX apunta a tu servidor de correo):

v=spf1 mx -all

El mecanismo mx autoriza las direcciones IP de todos los nombres de host MX de tu dominio — si cambia la IP del servidor, el registro SPF sigue siendo correcto automáticamente, siempre que el MX sea correcto.

El ejemplo de consola documentado por AWS para un rango de IP fijo se ve así:

v=spf1 ip4:192.168.0.1/16 -all
MecanismoEfecto
mxpermite los servidores detrás de los registros MX de tu dominio
ip4: / ip6:permite una dirección IP fija o una subred
a:hostpermite la IP detrás del registro A/AAAA del host indicado
include:incorpora el SPF de un servicio de envío (p. ej. Amazon SES)
-allhardfail: solo los servidores listados explícitamente pueden enviar

Con tu propia infraestructura, -all es la elección correcta — conoces tus vías de envío. Si tienes dudas durante una reconstrucción, empieza con ~all y endurece a -all tras unos días.

3. Introduce el registro en la consola de Route 53

Inicia sesión en la AWS Management Console y abre la consola de Route 53. En el panel de navegación elige Hosted zones, abre tu zona y pulsa Create record:

CampoValor
Record name(dejar vacío para el dominio raíz)
Record typeTXT
Value"v=spf1 mx -all"

La peculiaridad de Route 53, según la documentación: un registro TXT contiene una o varias cadenas encerradas entre comillas dobles — así que el valor va entre comillas dobles en el campo Value. Luego pulsa Create records.

4. Añade servicios de envío externos (si hace falta)

Una herramienta de newsletter, un CRM o Amazon SES necesita su valor include: en el mismo registro (de la documentación de ese servicio, busca “SPF”). Rige la regla: solo un registro SPF por dominio — edita el existente, nunca crees un segundo.

5. Espera hasta que el cambio esté activo

Route 53 aquí es rápido: según la documentación de AWS, los cambios se propagan generalmente a todos los servidores de nombres de Route 53 en 60 segundos. Los resolutores intermedios pueden seguir cacheando la respuesta antigua hasta que expire el TTL.

Verifica el resultado

Comprueba tu configuración con el escáner MXAudit gratuito — te muestra de inmediato si tu registro SPF es sintácticamente correcto y cuántos lookups de DNS consume (el límite es 10).

O directamente en el terminal:

dig TXT example.com +short | grep spf1

La salida debe contener exactamente un registro con v=spf1.

Errores habituales

Usar el tipo de registro SPF heredado. Route 53 aún muestra un tipo SPF, pero AWS lo desaconseja — publica SPF como registro TXT.

Olvidar las comillas. En el campo Value de Route 53 la cadena va entre comillas dobles.

Dos registros SPF. Dos entradas TXT con v=spf1 provocan un permerror — los servidores receptores entonces ignoran SPF por completo. Todas las fuentes van en un único registro.

mx sin registros MX que coincidan. v=spf1 mx -all autoriza exactamente los servidores de tus registros MX. Si envía una máquina que no aparece ahí, se rechaza — añádela mediante ip4: o a:.

+all al final. Un +all permite enviar a cualquier servidor y deja todo el registro sin efecto — no lo copies.

Superar el límite de lookups de DNS. SPF permite un máximo de 10 lookups de DNS por comprobación; mx, a: y cada include: cuentan. Con muchos servicios externos se pone justo — MXAudit los cuenta por ti.

Más información