Última actualización: julio de 2026
En resumen: El mecanismo
existsen un registro SPF construye dinámicamente un nombre de dominio (a menudo insertando macros como la dirección IP de conexión) y realiza una consulta DNS de tipo A. Permite políticas de autorización complejas y personalizadas.
Mientras que los sitios web habituales suelen autorizar a los remitentes mediante bloques de IP directos (ip4) o referencias externas de terceros (include), los grandes proveedores de correo y las pasarelas de seguridad requieren con frecuencia reglas de autorización dinámicas basadas en los detalles del cliente o en parámetros del sobre de correo. El estándar SPF (Sender Policy Framework) ofrece el mecanismo exists específicamente para gestionar estas arquitecturas avanzadas.
Cómo funciona el mecanismo exists
Según el RFC 7208, el mecanismo exists se utiliza para construir un nombre de dominio arbitrario que se emplea en una consulta DNS de registro A. El mecanismo coincide (pass) si la búsqueda DNS del dominio construido devuelve cualquier registro A válido (por ejemplo, 127.0.0.2). Si la consulta devuelve NXDOMAIN (ningún registro encontrado), el mecanismo no coincide y la evaluación continúa al siguiente término.
El verdadero potencial de exists proviene de la expansión de macros de SPF. Una implementación clásica utiliza la macro %{i}, que es reemplazada dinámicamente por la dirección IP del servidor de conexión durante la evaluación:
v=spf1 exists:%{i}._spf.example.com -all
Si un servidor de correo con IP 192.0.2.10 intenta entregar un mensaje, el servidor receptor construye 192.0.2.10._spf.example.com y busca un registro A. Si existe un registro A, la verificación supera el control. Esta arquitectura permite a los proveedores gestionar millones de direcciones IP autorizadas en zonas DNS de alta velocidad sin modificar el registro TXT del dominio.
Esquemas complejos con datos del sobre
Según el RFC 7208, el mecanismo exists permite esquemas complejos que involucran partes arbitrarias del sobre de correo para determinar qué está permitido.
Además de la dirección IP de conexión (%{i}), los administradores de dominio pueden incorporar la dirección de correo del remitente (%{s}), la parte local (%{l}) o el dominio (%{o}) directamente en el nombre de host consultado. Un servidor de nombres autoritativo personalizado puede entonces evaluar permisos granulares exactos, comprobando si esa IP específica tiene permiso para enviar con esa dirección de remitente concreta.
El límite de 10 consultas DNS y permerror
Dado que el mecanismo exists realiza una consulta DNS en vivo cada vez que se evalúa un correo electrónico, consume parte de tu presupuesto de consultas DNS. El RFC 7208 especifica que los mecanismos include, a, mx, ptr y exists, así como el modificador redirect, generan consultas DNS en el momento de la evaluación.
Las implementaciones de SPF deben limitar estrictamente el número total de estos términos a 10 consultas durante la evaluación para evitar una carga excesiva sobre el sistema de nombres de dominio (DNS). Superar este límite hace que el servidor receptor detenga el procesamiento y devuelva permerror (error permanente), lo que suele derivar en correo rechazado o filtrado a spam. Asimismo, un dominio no debe publicar múltiples registros SPF por separado, ya que esto también desencadena un permerror inmediato.
Verificar tu configuración
Para asegurarte de que tus expresiones exists dinámicas se resuelven correctamente y se mantienen dentro del presupuesto de 10 consultas, audita tu dominio con el escáner gratuito MXAudit. Simula expansiones de macros y destaca cuellos de botella de sintaxis y consultas.
Para obtener documentación completa sobre configuraciones de autenticación y tutoriales por proveedor, consulta la guía SPF y tutoriales prácticos como configurar SPF en IONOS.
Más información
- RFC 7208 — Sender Policy Framework (SPF) (consultado el 17 de julio de 2026)