Registro SPF: demasiadas consultas DNS (cómo solucionarlo)

Introducción

"Too many DNS lookups" es el error de SPF más común, y puede hacer que tus correos legítimos fallen la autenticación. Cuando tu registro SPF supera las 10 consultas DNS, los servidores receptores dejan de procesarlo y tus correos pueden ser rechazados o enviados a spam.

Esta guía explica por qué existe el límite, cómo contar tus consultas y soluciones prácticas para resolver el problema.

El límite de 10 consultas DNS

Por qué existe el límite

El estándar SPF (RFC 7208) impone un límite estricto de 10 consultas DNS por evaluación SPF para evitar:

• Ataques de denegación de servicio
• Bucles infinitos
• Carga excesiva en los servidores DNS
• Procesamiento lento del correo

Cuando un servidor de correo evalúa tu registro SPF, debe resolver todos los mecanismos include:, a, mx, ptr y redirect=. Cada uno cuenta como una consulta DNS.

Qué ocurre al superar las 10 consultas

• La verificación SPF devuelve permerror (error permanente)
• El correo falla la autenticación SPF
• DMARC puede fallar (si depende del alineamiento SPF)
• Los correos van a spam o son rechazados
• Tu reputación de remitente se ve afectada

Importante: No hay un "límite flexible". En cuanto llegas a 11 consultas, SPF falla por completo.

Cómo contar las consultas DNS

Mecanismos que cuentan como consulta

Cada uno de estos cuenta como UNA consulta:

• include:domain.com
• a
• mx
• exists:domain.com
• redirect=domain.com

Estos NO cuentan:

• ip4:192.0.2.1
• ip6:2001:db8::1
• all, +all, ~all, -all

Las consultas anidadas se suman

Cuando haces include: al SPF de otro dominio, las consultas de ese dominio también cuentan en tu total.

Ejemplo:

Tu registro SPF:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all

• include:_spf.google.com = 1 consulta

  • El SPF de Google tiene 3 includes adicionales = 3 consultas más
  • Subtotal: 4 consultas

• include:spf.protection.outlook.com = 1 consulta

  • El SPF de Microsoft tiene 2 includes adicionales = 2 consultas más
  • Subtotal: 3 consultas

Total: 7 consultas (todavía por debajo del límite)

Usa nuestro verificador de SPF para contarlas

La forma más fácil de ver tu total de consultas:

Comprobar consultas SPF →

Esta herramienta:

• Cuenta todas las consultas de forma recursiva
• Muestra la estructura en árbol de consultas
• Identifica qué includes aportan más consultas
• Avisa si te acercas o superas el límite

Situaciones habituales que causan demasiadas consultas

Situación 1: Múltiples proveedores de email

Problema: Usas varios servicios de correo

v=spf1 include:_spf.google.com include:spf.protection.outlook.com
include:servers.mcsv.net include:sendgrid.net include:mailgun.org
include:_spf.zendesk.com include:spf.mandrillapp.com ~all

Cada include tiene consultas anidadas → se supera fácilmente el límite de 10

Situación 2: Mecanismo mx con muchos registros MX

Problema: Organizaciones grandes con múltiples registros MX

v=spf1 mx include:_spf.google.com ~all

Si tienes 5 registros MX:

• mx = 5 consultas (una por registro MX)
• include:_spf.google.com = 4 consultas
• Total: 9 consultas (acercándose al límite)

Situación 3: Servicios antiguos que siguen en el SPF

Problema: Includes de servicios que ya no usas

v=spf1 include:servicio1.com include:servicio2.com include:servicio3.com ...

Con el tiempo, los includes se acumulan pero nunca se eliminan.

Soluciones para corregir el exceso de consultas

Solución 1: Eliminar includes que ya no se usan

La más fácil y segura

Pasos:

1. Identifica todas las fuentes de correo

   • Revisa los informes DMARC (si ya los recopilas)
   • Revisa los correos enviados recientes
   • Audita las integraciones de email activas

2. Elimina los includes que no uses

   • Plataformas de marketing antiguas
   • Servicios transaccionales descontinuados
   • Sistemas de prueba que ya no se usan

3. Prueba a fondo

   • Envía correos desde todas las fuentes activas
   • Verifica que SPF sigue pasando

Ejemplo:

❌ Antes (12 consultas):

v=spf1 include:_spf.google.com include:mailgun.org
include:servicioantiguo.com include:sinuso.com include:sendgrid.net ~all

✅ Después (8 consultas):

v=spf1 include:_spf.google.com include:mailgun.org include:sendgrid.net ~all

Solución 2: Sustituir includes por direcciones IP (SPF Flattening)

Convierte los include: en rangos ip4: o ip6:

Ventajas:

• Las direcciones IP no cuentan como consultas
• Reduce el número de consultas significativamente

Desventajas:

• Hay que actualizarlo cuando el proveedor cambia sus IPs
• Se pierde la actualización automática del proveedor
• Requiere monitorización

Ejemplo de flattening:

❌ Antes:

v=spf1 include:servers.mcsv.net ~all

(servers.mcsv.net resuelve a múltiples IPs e includes)

✅ Después (aplanado):

v=spf1 ip4:198.2.128.0/24 ip4:198.2.129.0/24 ip4:205.201.128.0/24 ~all

(Sin consultas para direcciones IP)

Cómo hacer flattening:

Método manual:

1. Busca las IPs del dominio incluido

   dig +short include:servers.mcsv.net TXT
   nslookup -type=TXT servers.mcsv.net

2. Extrae los rangos de IP
3. Sustituye include: por entradas ip4:

Herramientas automatizadas:

• Servicios de SPF flattening (se actualizan automáticamente)
• MXToolbox SPF Flattening
• Nuestro verificador de SPF muestra los rangos de IP

Aviso: Los registros SPF aplanados quedan desactualizados cuando los proveedores cambian sus IPs. Programa un recordatorio para revisarlos trimestralmente.

Solución 3: Consolidar proveedores de email

Reduce el número de servicios que envían correo desde tu dominio

Pasos:

1. Audita los proveedores actuales:

   • Marketing: ¿Mailchimp, Klaviyo, HubSpot?
   • Transaccional: ¿SendGrid, Mailgun, SES?
   • Soporte: ¿Zendesk, Freshdesk, Help Scout?

2. Consolida donde sea posible:

   • Usa una sola plataforma de marketing en vez de tres
   • Enruta el correo transaccional a través de un único proveedor
   • Aprovecha las funcionalidades integradas de tu proveedor de email

Ejemplo:

❌ Antes:

• Google Workspace para email corporativo
• Mailchimp para newsletters
• SendGrid para correo transaccional
• Zendesk para tickets de soporte
• Mailgun para automatización de marketing

✅ Después:

• Google Workspace para email corporativo
• Mailchimp para newsletters (también gestiona transaccional y automatización)
• Zendesk para soporte (usando DKIM de Mailchimp para notificaciones)

Resultado: De 5 includes a 2

Solución 4: Usar subdominios para distintas funciones

Envía distintos tipos de correo desde subdominios

Estrategia:

• tudominio.com: Solo email corporativo
• marketing.tudominio.com: Emails de marketing
• transaccional.tudominio.com: Confirmaciones de pedido, notificaciones

Registros SPF:

Dominio principal (simple):

v=spf1 include:_spf.google.com ~all

(2 consultas)

Subdominio de marketing:

v=spf1 include:servers.mcsv.net include:spf.klaviyo.com ~all

(4 consultas)

Subdominio transaccional:

v=spf1 include:sendgrid.net ~all

(2 consultas)

Ventajas:

• Cada dominio por debajo de 10 consultas
• Mejor segmentación
• Aísla la reputación

Desventajas:

• Requiere configuración DNS para cada subdominio
• Puede ser necesario actualizar plantillas de email
• Configuración más compleja

Solución 5: Eliminar el mecanismo mx

Sustituye mx por direcciones IP explícitas

❌ Antes:

v=spf1 mx include:_spf.google.com ~all

(Si tienes 5 registros MX: 5 consultas solo del mx)

✅ Después:

v=spf1 ip4:192.0.2.1 include:_spf.google.com ~all

(0 consultas para la IP, más control)

Cuándo eliminar mx:

• Tienes muchos registros MX
• Conoces las IPs de tus servidores de correo saliente
• Los servidores MX no se usan para enviar (solo para recibir)

Guía de corrección paso a paso

Paso 1: Comprueba el número actual de consultas

Ejecutar verificador de SPF →

Anota:

• El total de consultas
• Qué includes aportan más consultas
• Si hay includes anidados

Paso 2: Identifica servicios en desuso

Revisa los includes de tu SPF:

• Google Workspace / Microsoft 365: ¿Sigue en uso?
• Plataforma de marketing: ¿Activa?
• Servicio de email transaccional: ¿Envía correos?
• Sistema de soporte: ¿Configurado?
• Otros includes: ¿Los reconoces?

Paso 3: Elimina los includes que no uses

Actualiza el registro SPF eliminando los servicios que no usas:

1. Accede al proveedor de DNS
2. Localiza el registro TXT de SPF
3. Elimina las entradas include: que no necesites
4. Guarda y espera 30 minutos a la propagación

Paso 4: Aplana los includes restantes (si es necesario)

Si sigues por encima de 10 consultas:

1. Identifica candidatos para aplanar:

   • Servicios con IPs estáticas
   • Proveedores que cambian poco

2. Busca los rangos de IP:

   dig +short include:servicio.com TXT

3. Sustituye por direcciones IP:

   include:servicio.com → ip4:192.0.2.0/24 ip4:198.51.100.0/24

4. Programa un recordatorio para revisarlo trimestralmente

Paso 5: Verifica la corrección

1. Comprueba el número de consultas: Verificador de SPF → (Debería ser ≤10)

2. Envía correos de prueba:

   • Desde cada servicio de email
   • A Gmail, Outlook, Yahoo
   • Verifica que SPF pasa

3. Monitoriza durante una semana:

   • Comprueba si hay problemas de entrega
   • Revisa cualquier mensaje de rebote

Monitorización y mantenimiento

Auditoría trimestral de SPF

Programa un recordatorio cada 3 meses:

• Comprueba el número de consultas SPF
• Verifica que todos los includes siguen siendo necesarios
• Actualiza las IPs aplanadas si es necesario
• Prueba la entrega de correo desde todas las fuentes

Al añadir nuevos servicios

Antes de añadir un nuevo servicio de email:

1. Comprueba su número de consultas SPF:

   dig +short include:nuevoservicio.com TXT

2. Calcula el nuevo total: Consultas actuales + consultas del nuevo servicio

3. Si te acercas al límite:

   • Elimina un servicio en desuso
   • Aplana un include existente
   • Usa un subdominio para el nuevo servicio

Configura alertas

Monitorización manual:

• Comprobación mensual de SPF
• Usa nuestro verificador de SPF

Monitorización automática:

• Los informes DMARC muestran fallos de SPF
• Activa las alertas

Avanzado: técnicas con macros SPF

Para situaciones complejas, las macros SPF pueden reducir consultas:

v=spf1 exists:%{i}._spf.tudominio.com ~all

Aviso: Requiere infraestructura DNS compatible, complejo de implementar. Solo para usuarios avanzados.

Resumen

El error "too many DNS lookups" de SPF significa que has superado el límite de 10 consultas.

Soluciones rápidas (de más fácil a más compleja):

1. Eliminar includes en desuso (la más fácil y segura)
2. Aplanar algunos includes a IPs (esfuerzo moderado, requiere mantenimiento)
3. Consolidar proveedores de email (estratégico, a largo plazo)
4. Usar subdominios (más configuración, mejor organización)

La solución más habitual: Eliminar 2-3 includes antiguos o en desuso

Tiempo estimado de corrección:

• Identificar servicios en desuso: 15 minutos
• Actualizar registro SPF: 5 minutos
• Propagación DNS: 30 minutos
• Verificación: 10 minutos

Total: ~1 hora

Siguientes pasos

1. Comprueba tu número de consultas SPF: Verificador de SPF →
2. Verifica la autenticación completa: Domain Score →
3. Monitoriza de forma continua: Prueba gratis → para monitorización automática de SPF

---

Artículos relacionados:

• SPF, DKIM y DMARC: la guía completa
• Por qué tus correos van a spam
• Registro DMARC no encontrado: cómo solucionarlo