Datos8 min de lectura

SPF y DKIM en 2026: estadísticas de adopción real

Desde febrero de 2024, Gmail y Yahoo obligan a remitentes en volumen a implementar autenticación. Pero ¿dónde estamos realmente? Descubre por qué SPF sin DKIM sigue siendo débil y cómo verificar tu configuración.

Los registros SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail) son la base de la autenticación de correo electrónico. Desde febrero de 2024, Gmail y Yahoo obligan a los remitentes en volumen a implementarlos. En 2026, la adopción sigue siendo desigual: mientras algunos sectores (SaaS, finanzas) alcanzan el 80%, otros (pequeño e-commerce, WordPress) aún no configuran correctamente. Este artículo recorre los datos reales que ves en el escaneo semanal del top-1M de dominios.

Adopción de SPF y DKIM: dónde estamos en julio de 2026

Según el escaneo semanal de Tranco top-1M dominios publicado en /email-stats/, la adopción de SPF y DKIM presenta dos caras:

  • SPF: Presente en la mayoría de dominios corporativos (mayor del 70% en sectores regulados), pero con configuraciones débiles: registros muy permisivos, ausencia del cierre -all, o múltiples includes que complican la validación.
  • DKIM: Menos automatizado que SPF (requiere manejo de claves públicas y privadas). Adopción variable según proveedor: servicios como Brevo y Mailjet rondan el 90%, mientras que plataformas locales como Mailrelay y Acumbamail promedian el 60%.

En España, proveedores como Mailrelay, Acumbamail y MDirector ofrecen paneles integrados para la autenticación, pero muchas PYMES siguen configurando manualmente o ni siquiera actualizan registros tras cambiar de proveedor. En LatAm, Doppler facilita el DKIM con asistentes gráficos, pero Shopify y PrestaShop (muy populares en Tiendanube y Nuvemshop) siguen siendo puntos débiles en la cadena de autenticación.

SPFAutoriza IPs del servidor remitente en DNSDKIMFirma criptográfica: clave pública en DNSDMARCPolítica de fallo: rechaza, cuarentena o reporta
Capas de autenticación de correo electrónico: SPF, DKIM y DMARC

SPF y DKIM: qué hace cada uno y por qué ambos importan

SPF (Sender Policy Framework):

  • Autentica la IP del servidor que envía el correo.
  • Es lo primero que valida un servidor receptor: "¿está esta IP autorizada en el registro SPF del dominio remitente?".
  • Fácil de configurar, pero frágil si usas múltiples proveedores (SMTP transaccional + marketing + terceros): cada include suma complejidad y riesgo de desbordamiento (máximo 10 DNS lookups).

DKIM (DomainKeys Identified Mail):

  • Firma criptográfica del mensaje: el servidor remitente firma con su clave privada; el receptor verifica con la pública (publicada en DNS).
  • Mucho más robusto que SPF (no se engaña con cambios de IP o spoofing parcial).
  • Requiere rotación de claves y renovación de valores en DNS, por lo que es menos tolerante a errores de configuración.

Juntos ofrecen cobertura defensiva. Google y Yahoo desde febrero de 2024 exigen ambos; sin ellos, tu volumen en masa se queda en la carpeta spam o es rechazado directamente.

v=spf1 include:sendgrid.net include:mailrelay.com ~allVersión SPF (siempre v=spf1)Autoriza los servidores de SendGridAutoriza los servidores de MailrelaySoft fail: rechaza débilmente otros orígenes (-all = hard fail)
Ejemplo de registro SPF con sintaxis correcta

Diagnóstico: cómo verificar tu SPF y DKIM

Opción manual:

  1. Abre la consola del navegador (F12) en tu cliente de correo web (Gmail, Outlook, etc.) e inspecciona los headers de un email recibido: busca Authentication-Results, DKIM-Signature, Received-SPF.
  2. Consulta registros DNS desde la terminal:
    • dig tudominio.es TXT para SPF
    • dig selector._domainkey.tudominio.es CNAME para DKIM (o TXT si la clave está en TXT directo)

Opción automática (recomendada): usa check.live-direct-marketing.online. Envía un email de prueba a las direcciones seed que te proporciona; en el reporte ves SPF/DKIM/DMARC verificados, los veredicts de cada proveedor (Gmail, Outlook, Movistar, iCloud, etc.) y si tu mensaje se filtra a spam o llega a bandeja.

Errores frecuentes que los diagnósticos automáticos detectan:

  • Sintaxis SPF errónea: falta -all, includes inválidos, orden incorrecto de directivas.
  • Clave DKIM pública publicada en A-record en lugar de CNAME o TXT → falla silenciosa.
  • Múltiples proveedores sin coordinación: cada uno intenta agregar su sender, y el registro SPF se vuelve inmanejable o se desborda el límite de lookups.
Consejo práctico: el ciclo de vida de SPF/DKIM en 2026

SPF y DKIM no son "configura una vez y olvida". Cada vez que cambias de proveedor de email, actualizas infraestructura o añades un tercero (formulario de signup, emails transaccionales), debes:

  1. Obtener los nuevos registros SPF/DKIM del proveedor.
  2. Fusionarlos en tu DNS sin exceder 10 DNS lookups (límite de SPF).
  3. Verificar con un test automático en dos olas: primero a Inbox, después a spam/promotions.
  4. Recolectar datos en Google Postmaster Tools o Yahoo abuse tools; si la spam rate sube, investiga y ajusta antes de que te bloqueen.

Lo que debes hacer en 2026

Paso 1: Verificar alineación SPF/DKIM con tu dominio.

Si usas Mailrelay, Acumbamail, Brevo o Mailjet (ESP españoles y europeos populares), la plataforma configura ambos automáticamente. Si usas WooCommerce, Contact Form 7, Elementor Forms o PrestaShop sin SMTP externo, cámbiate a un proveedor SMTP (Gmail SMTP, SendGrid, AWS SES) + plugin (WP Mail SMTP, Easy WP SMTP, etc.).

Paso 2: Configurar DMARC en p=none (como mínimo).

DMARC te dice qué hacer si SPF o DKIM fallan (rechazar, cuarentena o permitir). Google y Yahoo requieren al menos p=none para recopilar datos sobre tus emails. Ejemplo:

v=DMARC1; p=none; rua=mailto:abuse@tudominio.es

Paso 3: Cumplir con el requisito de one-click unsubscribe (RFC 8058).

El header List-Unsubscribe-Post es obligatorio para volumen grande. Todos los ESP españoles y europeos ya lo implementan automáticamente.

Paso 4: Vigilar spam rate < 0.3%.

Carga tus logs de bounce y complaint en Google Postmaster Tools, Yahoo abuse, u outlook.com postmaster. Si la tasa sube, investiga (lista sucia, dominio reputacional bajo, cambio de contenido). Si no actúas, te bloquean o te filtran automáticamente.

Mitos comunes que siguen en 2026

Mito 1: "SPF es suficiente, no necesito DKIM."

Falso. SPF se puede bypasear con cambios de DNS, spoofing parcial de IP o errores de alineación de dominio. DKIM es la firma criptográfica: mucho más robusta y difícil de falsificar.

Mito 2: "Mi ESP configura todo automáticamente."

A medias. El ESP configura sus DNS records si usas dominio compartido (ej: tuescrito@sends.mailrelay.com). Si usas tu propio dominio (lo recomendado para marca), tú creas los registros en tu registrador de dominios.

Mito 3: "DMARC con p=reject mata mi throughput."

Solo si tu SPF/DKIM están mal configurados. Con ambos correctamente alineados, p=reject filtra exactamente el spam falsificado, no tu email legítimo.

Mito 4: "Si cambio de ESP, no tengo que hacer nada."

Incorrecto. Cada ESP solicita registros DKIM nuevos (claves públicas diferentes). Si no actualizas los records en DNS después del cambio, DKIM fallará con el nuevo proveedor y tu email irá a spam.

¿Por qué Gmail y Yahoo obligan SPF y DKIM desde febrero de 2024?

Son dos capas de autenticación que evitan suplantación de dominio y spam masivo. SPF valida la IP del servidor; DKIM firma el contenido del mensaje. Juntos, eliminan la mayoría de falsos positivos. Sin ellos, cualquiera podría enviar correos en tu nombre.

¿Cuál es la diferencia entre DKIM, SPF y DMARC?

SPF: Autentica la IP del servidor. DKIM: Firma el mensaje con una clave criptográfica. DMARC: Define la política de qué hacer si los dos anteriores fallan (rechazar, cuarentena, permitir). DMARC depende de SPF y DKIM; sin ellos, DMARC no actúa.

¿Cuánto tiempo tarda en funcionar SPF y DKIM tras crear los registros?

La propagación DNS típica es entre 4 y 48 horas, según tu registrador y los servidores DNS de los receptores. Algunos receptores cachean durante más tiempo. Verifica a las 24 horas con una herramienta automática; si ves DKIM alineado en todos los proveedores, ya está activo.

Lecturas relacionadas
Found this useful? Share it
AB
Sobre el autor
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Comprueba tu entregabilidad en más de 20 proveedores

Gmail, Outlook, Yahoo, GMX, ProtonMail y más. Capturas reales de la bandeja de entrada, SPF/DKIM/DMARC, veredictos de filtros de spam. Gratis, sin registro.

Hacer test gratis →

Tests ilimitados · Más de 20 buzones · Resultados en vivo · Sin cuenta