Fundamentos8 min de lectura

SPF, DKIM y DMARC explicados

Si tus emails terminan en spam a pesar de ser legítimos, el problema probable es que los servidores de correo no pueden verificar tu identidad. Estos tres mecanismos de autenticación resuelven exactamente eso.

Los servidores de correo modernos no confían ciegamente en el remitente que aparece en el campo From:. Cualquiera puede falsificar ese dato. Por eso los operadores de Gmail, Outlook, Yahoo y otros aplican tres verificaciones de autenticación: SPF, DKIM y DMARC. Si tu dominio las cumple, tus mensajes llegan a la bandeja de entrada. Si fallan, al spam directo.

Estos tres mecanismos son hoy no solo recomendables, sino obligatorios. Google y Yahoo exigen SPF+DKIM desde febrero de 2024, bajo pena de rechazar o filtrar tus mensajes. Incluso si tienes una campaña pequeña, si quieres garantizar entrega, debes configurarlos.

Qué es SPF y cómo funciona

SPF significa Sender Policy Framework. Es lo más simple de los tres: una lista de autorización en DNS que dice «estos servidores de correo pueden enviar emails desde mi dominio».

Imagina que tu dominio es tuempresa.es y usas Brevo para enviar campañas. Tú publicas un registro SPF en DNS que dice: «Autorizo a Brevo (su servidor IP/dominio) a enviar desde mi nombre». Cuando alguien recibe un email tuyo, su servidor chequea ese registro y confirma: «Sí, ese servidor está autorizado». Si un spammer intenta fingir que es tu empresa desde otro servidor, falla el SPF y el mensaje se marca como sospechoso.

El formato de un registro SPF es simple:

v=spf1 include:brevo.net ~all

Donde v=spf1 es la versión, include:brevo.net añade los servidores de Brevo, y ~all dice «rechaza débilmente otros servidores» (el ~ es un soft-fail; - sería rechazo fuerte).

Qué es DKIM y por qué es más seguro

DKIM (DomainKeys Identified Mail) va más allá: no solo verifica el remitente, sino que firma el contenido del mensaje. Es como un sello digital.

El funcionamiento es más complejo que SPF, pero el resultado es poderoso: tu servidor de correo genera una pareja de claves (pública y privada). La clave privada firma cada email que envías; la pública se publica en DNS. Cuando alguien recibe tu mensaje, su servidor extrae la firma, recupera tu clave pública, y verifica que el contenido no ha sido alterado y que realmente viene de ti.

Esto es crítico porque SPF solo verifica de dónde viene el servidor, no qué contiene el mensaje. Un atacante podría interceptar un email autorizado por SPF y modificar el cuerpo o el asunto. DKIM lo impide.

La mayoría de ESP (Brevo, Mailchimp, Doppler, Mailrelay) configura DKIM automáticamente si verificas tu dominio. Tú solo publicas el registro CNAME o TXT que te proporciona la plataforma.

Qué es DMARC y cómo define la política

DMARC (Domain-based Message Authentication, Reporting and Conformance) es el director de orquesta. SPF y DKIM son verificaciones; DMARC es la política que decide qué hacer si fallan.

Con DMARC defines:

  • p=none: solo monitorear. Si falla SPF o DKIM, el email se entrega igual, pero se notifica al remitente.
  • p=quarantine: cuarentena. El email se marca como sospechoso o va a spam.
  • p=reject: rechazo directo. El servidor rechaza el mensaje y no lo entrega.

La práctica recomendada es empezar con p=none, monitorear durante dos semanas, verificar que tus emails legítimos pasan SPF/DKIM, y luego escalar a p=quarantine o p=reject según tu confianza.

DMARC también genera reportes XML (agregados y forenses) que tu proveedor de correo envía a una dirección de email que especifiques. Esos reportes te muestran quién intenta suplantarte, dónde fallan las verificaciones, etc.

SPFAutoriza servidores específicos a enviar desde tu dominioDKIMFirma digitalmente el contenido para garantizar que no ha sido alteradoDMARCDefine la política: qué hacer si SPF o DKIM fallan
Los tres pilares de la autenticación de email

Cómo verificar que tus registros están correctos

Antes de enviar una campaña masiva, debes chequear que tus registros SPF, DKIM y DMARC estén publicados correctamente. Hay varias formas:

  1. MXToolbox (mxtoolbox.com) — herramienta web. Escribes tu dominio y te muestra SPF, DKIM, DMARC y otras validaciones.
  2. Google Postmaster Tools — requiere cuenta Google y verificación de dominio. Te muestra tasa de spam, DMARC compliance, feedback de bucles.
  3. Herramientas de tu ESP — casi todos los proveedores (Brevo, Doppler, Mailrelay, etc.) incluyen verificadores en el panel de control.
  4. Línea de comandos (nslookup, dig) — si eres técnico, puedes chequear directamente los registros DNS.

Lo ideal: usa check.live-direct-marketing.online, la herramienta gratuita que prueba tu email en más de 20 proveedores reales (Gmail, Outlook, Yahoo, Movistar, iCloud, etc.). Envías un mensaje de prueba a los seeds que generamos, y ves exactamente dónde cae (Inbox, Spam, Promotions) y si hay problemas en SPF/DKIM/DMARC. Incluye captura de pantalla del email renderizado en tiempo real en cada servidor.

Pasos prácticos para configurar SPF y DKIM

La configuración exacta depende de tu ESP y proveedor de DNS, pero el flujo general es:

  1. Verifica tu dominio en el ESP. Entra en la cuenta (Brevo, Doppler, Mailchimp, etc.), ve a Dominios/Remitentes y elige verificar dominio propio.
  2. Copia los registros SPF y DKIM. La plataforma te dará un registro SPF (o te dirá cómo incluirla en tu SPF existente) y un registro DKIM (normalmente un CNAME o TXT).
  3. Publica en tu DNS. Entra en tu proveedor de DNS (GoDaddy, Namecheap, CloudFlare, tu hosting, etc.), localiza la sección de registros y añade/modifica los registros SPF y DKIM que te proporciona el ESP.
  4. Espera la propagación. Los cambios DNS pueden tardar desde minutos hasta 48 horas. La mayoría de ESP avisa cuando detecta que están en vigor.
  5. Configura DMARC. Crea un registro DMARC (normalmente en el subdominio _dmarc.tudominio.es). Empieza con p=none, añade rua=mailto:reporte@tudominio.es para recibir reportes agregados.

Un ejemplo de registro DMARC mínimo:

v=DMARC1; p=none; rua=mailto:dmarc-reports@tudominio.es
v=spf1 include:sendingservice.com ~allVersión de SPFAutoriza los servidores del proveedorSoft-fail para otros servidores
Estructura de un registro SPF con inclusiones de un proveedor
Consejo: empieza con p=none, no saltes a p=reject
Mucha gente configura DMARC directamente con p=reject. Arriesgado: si hay un error en tu SPF o DKIM, o si una herramienta legítima (formularios de contacto, notificaciones automáticas) no está bien autenticada, tus emails serán rechazados silenciosamente. Empieza con p=none, monitorea los reportes DMARC durante al menos dos semanas, y solo entonces sube a p=quarantine o p=reject.

Por qué importa ahora más que nunca

Desde febrero de 2024, Google y Yahoo obligan a SPF+DKIM para remitentes de volumen (más de 5000 mensajes diarios a sus usuarios). Si no los configuras, tus emails son rechazados o filtrados a spam sin excepción. Incluso volúmenes pequeños sufren: una tasa de spam alta degrada tu reputación de dominio rápidamente.

En España, además, la ley (RGPD, LSSI-CE) exige que cada email comercial incluya una forma legítima de desuscripción. DMARC te ayuda a detectar intentos de suplantación (cuando alguien falsifica tu dominio); SPF+DKIM impiden que esos intentos lleguen lejos.

¿Puedo usar SPF sin DKIM?

Técnicamente sí, pero no es recomendable. SPF solo verifica el remitente del servidor, no el contenido del mensaje. Un atacante podría interceptar un email autorizado por SPF y modificar el cuerpo. DKIM lo bloquea firmando digitalmente. Google y Yahoo esperan ambos. Usa ambos.

¿Cuánto tarda en funcionar DMARC?

La propagación DNS tarda entre minutos y 48 horas según tu proveedor. Pero los reportes DMARC (que muestran si tus emails pasan) pueden llegar hasta 24 horas después. No te desesperes si no ves datos el primer día. Verifica que el registro está publicado usando nslookup -type=TXT _dmarc.tudominio.es o mxtoolbox.com.

¿Qué pasa si tengo múltiples proveedores de correo?

SPF permite múltiples include:. Por ejemplo: v=spf1 include:brevo.net include:mailchimp.com ~all. DKIM también: cada proveedor firma con su clave. DMARC aplica a ambos: si cualquiera pasa SPF o DKIM, el mensaje se considera autenticado.
Lecturas relacionadas
Found this useful? Share it
AB
Sobre el autor
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Comprueba tu entregabilidad en más de 20 proveedores

Gmail, Outlook, Yahoo, GMX, ProtonMail y más. Capturas reales de la bandeja de entrada, SPF/DKIM/DMARC, veredictos de filtros de spam. Gratis, sin registro.

Hacer test gratis →

Tests ilimitados · Más de 20 buzones · Resultados en vivo · Sin cuenta