RFC 7208 — Marco de Política del Remitente (SPF)
ELI5: SPF es una lista, publicada en tu DNS, de quién puede enviar correos electrónicos en nombre de tu dominio. El servidor receptor la verifica contra el remitente del sobre. Porque vive en un registro TXT, el dominio emisor tiene que ser uno que pueda contener registros — no un apex con CNAME.
Por qué existe este RFC
RFC 7208 es la especificación actual de SPF (reemplazó el RFC 4408 experimental). SPF permite que los receptores detecten remitentes de sobre falsificados.
Cómo funciona
Un dominio publica un registro TXT como v=spf1 include:_spf.example.net ~all. Los receptores verifican el dominio del envelope-from (MAIL FROM) del mensaje contra ese registro.
Por qué importa el dominio de envío
SPF autoriza el dominio del envelope-from, por lo que ese dominio debe publicar un registro TXT. Un apex con CNAME no puede — así que publicas SPF en un subdominio de envío y envías con el envelope-from en ese subdominio.
Guía práctica
Para la configuración práctica, consulta Por qué deberías usar un subdominio para enviar correo electrónico.