Los servidores de correo modernos no confían ciegamente en el remitente que aparece en el campo From:. Cualquiera puede falsificar ese dato. Por eso los operadores de Gmail, Outlook, Yahoo y otros aplican tres verificaciones de autenticación: SPF, DKIM y DMARC. Si tu dominio las cumple, tus mensajes llegan a la bandeja de entrada. Si fallan, al spam directo.
Estos tres mecanismos son hoy no solo recomendables, sino obligatorios. Google y Yahoo exigen SPF+DKIM desde febrero de 2024, bajo pena de rechazar o filtrar tus mensajes. Incluso si tienes una campaña pequeña, si quieres garantizar entrega, debes configurarlos.
Qué es SPF y cómo funciona
SPF significa Sender Policy Framework. Es lo más simple de los tres: una lista de autorización en DNS que dice «estos servidores de correo pueden enviar emails desde mi dominio».
Imagina que tu dominio es tuempresa.es y usas Brevo para enviar campañas. Tú publicas un registro SPF en DNS que dice: «Autorizo a Brevo (su servidor IP/dominio) a enviar desde mi nombre». Cuando alguien recibe un email tuyo, su servidor chequea ese registro y confirma: «Sí, ese servidor está autorizado». Si un spammer intenta fingir que es tu empresa desde otro servidor, falla el SPF y el mensaje se marca como sospechoso.
El formato de un registro SPF es simple:
v=spf1 include:brevo.net ~allDonde v=spf1 es la versión, include:brevo.net añade los servidores de Brevo, y ~all dice «rechaza débilmente otros servidores» (el ~ es un soft-fail; - sería rechazo fuerte).
Qué es DKIM y por qué es más seguro
DKIM (DomainKeys Identified Mail) va más allá: no solo verifica el remitente, sino que firma el contenido del mensaje. Es como un sello digital.
El funcionamiento es más complejo que SPF, pero el resultado es poderoso: tu servidor de correo genera una pareja de claves (pública y privada). La clave privada firma cada email que envías; la pública se publica en DNS. Cuando alguien recibe tu mensaje, su servidor extrae la firma, recupera tu clave pública, y verifica que el contenido no ha sido alterado y que realmente viene de ti.
Esto es crítico porque SPF solo verifica de dónde viene el servidor, no qué contiene el mensaje. Un atacante podría interceptar un email autorizado por SPF y modificar el cuerpo o el asunto. DKIM lo impide.
La mayoría de ESP (Brevo, Mailchimp, Doppler, Mailrelay) configura DKIM automáticamente si verificas tu dominio. Tú solo publicas el registro CNAME o TXT que te proporciona la plataforma.
Qué es DMARC y cómo define la política
DMARC (Domain-based Message Authentication, Reporting and Conformance) es el director de orquesta. SPF y DKIM son verificaciones; DMARC es la política que decide qué hacer si fallan.
Con DMARC defines:
- p=none: solo monitorear. Si falla SPF o DKIM, el email se entrega igual, pero se notifica al remitente.
- p=quarantine: cuarentena. El email se marca como sospechoso o va a spam.
- p=reject: rechazo directo. El servidor rechaza el mensaje y no lo entrega.
La práctica recomendada es empezar con p=none, monitorear durante dos semanas, verificar que tus emails legítimos pasan SPF/DKIM, y luego escalar a p=quarantine o p=reject según tu confianza.
DMARC también genera reportes XML (agregados y forenses) que tu proveedor de correo envía a una dirección de email que especifiques. Esos reportes te muestran quién intenta suplantarte, dónde fallan las verificaciones, etc.
Cómo verificar que tus registros están correctos
Antes de enviar una campaña masiva, debes chequear que tus registros SPF, DKIM y DMARC estén publicados correctamente. Hay varias formas:
- MXToolbox (
mxtoolbox.com) — herramienta web. Escribes tu dominio y te muestra SPF, DKIM, DMARC y otras validaciones. - Google Postmaster Tools — requiere cuenta Google y verificación de dominio. Te muestra tasa de spam, DMARC compliance, feedback de bucles.
- Herramientas de tu ESP — casi todos los proveedores (Brevo, Doppler, Mailrelay, etc.) incluyen verificadores en el panel de control.
- Línea de comandos (
nslookup,dig) — si eres técnico, puedes chequear directamente los registros DNS.
Lo ideal: usa check.live-direct-marketing.online, la herramienta gratuita que prueba tu email en más de 20 proveedores reales (Gmail, Outlook, Yahoo, Movistar, iCloud, etc.). Envías un mensaje de prueba a los seeds que generamos, y ves exactamente dónde cae (Inbox, Spam, Promotions) y si hay problemas en SPF/DKIM/DMARC. Incluye captura de pantalla del email renderizado en tiempo real en cada servidor.
Pasos prácticos para configurar SPF y DKIM
La configuración exacta depende de tu ESP y proveedor de DNS, pero el flujo general es:
- Verifica tu dominio en el ESP. Entra en la cuenta (Brevo, Doppler, Mailchimp, etc.), ve a Dominios/Remitentes y elige verificar dominio propio.
- Copia los registros SPF y DKIM. La plataforma te dará un registro SPF (o te dirá cómo incluirla en tu SPF existente) y un registro DKIM (normalmente un CNAME o TXT).
- Publica en tu DNS. Entra en tu proveedor de DNS (GoDaddy, Namecheap, CloudFlare, tu hosting, etc.), localiza la sección de registros y añade/modifica los registros SPF y DKIM que te proporciona el ESP.
- Espera la propagación. Los cambios DNS pueden tardar desde minutos hasta 48 horas. La mayoría de ESP avisa cuando detecta que están en vigor.
- Configura DMARC. Crea un registro DMARC (normalmente en el subdominio
_dmarc.tudominio.es). Empieza conp=none, añaderua=mailto:reporte@tudominio.espara recibir reportes agregados.
Un ejemplo de registro DMARC mínimo:
v=DMARC1; p=none; rua=mailto:dmarc-reports@tudominio.esp=reject. Arriesgado: si hay un error en tu SPF o DKIM, o si una herramienta legítima (formularios de contacto, notificaciones automáticas) no está bien autenticada, tus emails serán rechazados silenciosamente. Empieza con p=none, monitorea los reportes DMARC durante al menos dos semanas, y solo entonces sube a p=quarantine o p=reject.Por qué importa ahora más que nunca
Desde febrero de 2024, Google y Yahoo obligan a SPF+DKIM para remitentes de volumen (más de 5000 mensajes diarios a sus usuarios). Si no los configuras, tus emails son rechazados o filtrados a spam sin excepción. Incluso volúmenes pequeños sufren: una tasa de spam alta degrada tu reputación de dominio rápidamente.
En España, además, la ley (RGPD, LSSI-CE) exige que cada email comercial incluya una forma legítima de desuscripción. DMARC te ayuda a detectar intentos de suplantación (cuando alguien falsifica tu dominio); SPF+DKIM impiden que esos intentos lleguen lejos.
¿Puedo usar SPF sin DKIM?
¿Cuánto tarda en funcionar DMARC?
nslookup -type=TXT _dmarc.tudominio.es o mxtoolbox.com.¿Qué pasa si tengo múltiples proveedores de correo?
include:. Por ejemplo: v=spf1 include:brevo.net include:mailchimp.com ~all. DKIM también: cada proveedor firma con su clave. DMARC aplica a ambos: si cualquiera pasa SPF o DKIM, el mensaje se considera autenticado.