← RFC Reference

RFC 6652: Informe de Fallos de Autenticación SPF

Current Standard Abuse Reporting & Feedback Published March 2026
ELI5: SPF te permite declarar qué servidores pueden enviar correo electrónico en tu dominio. Pero ¿qué sucede cuando alguien no supera la verificación — ya sea un suplantador o un servidor legítimo que olvidaste autorizar? RFC 6652 te permite publicar un registro DNS que dice "si SPF falla en mi dominio, envíame un informe de fallo a esta dirección". Recibes informes forenses individuales para cada fallo, ayudándote a encontrar remitentes mal configurados e intentos de suplantación.

Por qué existe esto

SPF (RFC 7208) valida que una IP de envío esté autorizada para el dominio del remitente de sobre. Cuando SPF falla, podría significar:

Sin informes de fallos, estás ciego a estos eventos. Los informes agregados de DMARC (RFC 7489) te ofrecen resúmenes diarios, pero RFC 6652 proporciona informes forenses por mensaje específicamente para fallos de SPF. Estos informes utilizan el formato ARF (RFC 5965) con el tipo de retroalimentación auth-failure extendido por RFC 6591.

Cómo funciona

El propietario del dominio publica un registro DNS TXT especial en _spf._report.<domain> que le indica a los receptores dónde enviar los informes de fallo de SPF.

Registro DNS

; Solicitar que los informes de fallo de SPF se envíen a esta dirección
_spf._report.example.com.  IN TXT  "v=spf-report1; ra=spf-reports; rp=100; rr=all"

Campos del registro

Etiqueta Significado Ejemplo
v Versión (debe ser spf-report1) v=spf-report1
ra Parte local de la dirección de informe (informe enviado a ra@domain) ra=spf-reportsspf-reports@example.com
rp Porcentaje de informe (0–100) rp=100 (informar todos los fallos)
rr Informe solicitado para qué resultados rr=all, rr=fail, rr=softfail

Ejemplo de informe de fallo (formato ARF)

From: arf-generator@receiver.example
To: spf-reports@example.com
Subject: SPF failure report for example.com
Content-Type: multipart/report; report-type=feedback-report;
    boundary="SPF-REPORT-001"

--SPF-REPORT-001
Content-Type: text/plain

SPF authentication failure report for a message
claiming to be from example.com.

--SPF-REPORT-001
Content-Type: message/feedback-report

Feedback-Type: auth-failure
User-Agent: Receiver-MTA/2.0
Version: 1
Auth-Failure: spf
Authentication-Results: receiver.example;
    spf=fail smtp.mailfrom=example.com
Original-Mail-From: user@example.com
Source-IP: 198.51.100.50
Reported-Domain: example.com
Delivery-Result: reject

--SPF-REPORT-001
Content-Type: text/rfc822-headers

From: user@example.com
To: recipient@receiver.example
Subject: Important update
Message-ID: <msg-001@example.com>

--SPF-REPORT-001--

Detalles técnicos clave

Valores del campo Auth-Failure para SPF

Valor Cuándo se envía
spf La evaluación de SPF devolvió fallo, fallo débil u otro resultado que no es éxito

El campo Auth-Failure distingue los informes de SPF de los informes de fallo de DKIM o DMARC que también utilizan el tipo de retroalimentación auth-failure (definido en RFC 6591).

Relación con los informes de DMARC

DMARC (RFC 7489) tiene su propio mecanismo de informe con dos tipos:

Los informes de RFC 6652 son específicos de SPF e independientes de DMARC. En la práctica, la mayoría de los receptores generan informes agregados de DMARC (ampliamente compatibles) pero pocos generan informes de RFC 6652 o forenses de DMARC debido a preocupaciones de privacidad. Sin embargo, donde se admitan, los informes de RFC 6652 proporcionan los datos más detallados por fallo específicamente para SPF.

Consideraciones de privacidad

Los informes de fallo pueden contener direcciones de destinatarios y encabezados de mensajes, lo que genera preocupaciones de privacidad. Muchos receptores limitan lo que incluyen o no generan estos informes en absoluto. La etiqueta rp permite al propietario del dominio solicitar un porcentaje inferior a 100 para reducir el volumen de informes.

Errores comunes

Impacto en la entregabilidad

Related RFCs