Si envías más de 5000 correos al día a direcciones @gmail.com o @yahoo.com, enfrentas una realidad: Gmail y Yahoo ya no aceptan mensajes masivos sin autenticación y sin conformidad con los nuevos estándares. En 2026, el cumplimiento no es opcional—es la base de tu entregabilidad.
Los requisitos no son caprichosos. Nacen de años de lucha contra el spam y la suplantación de identidad. Por eso, cualquier remitente legítimo debe entenderlos y aplicarlos. Aquí te mostramos exactamente qué necesitas, paso a paso.
Autenticación: SPF, DKIM y DMARC—la triada obligatoria
La autenticación de dominio es el primer filtro. Gmail y Yahoo validan tu dominio usando tres protocolos:
- SPF (Sender Policy Framework): define qué servidores SMTP pueden enviar correos en nombre de tu dominio. Se configura con un registro TXT en DNS.
- DKIM (DomainKeys Identified Mail): añade una firma criptográfica a cada correo, verificable contra tu clave pública en DNS.
- DMARC (Domain-based Message Authentication, Reporting, and Conformance): coordina SPF y DKIM, define cómo actuar si la autenticación falla (rechazar, cuarentena, o solo reportar).
Antes de 2024, estos registros eran recomendados. Desde febrero de 2024, Gmail y Yahoo los declaran obligatorios. En 2026, sin ellos, tus correos simplemente no llegan a Inbox.
RFC 8058: el botón de desuscripción obligatorio
En 2022, Gmail estableció que todos los correos comerciales deben incluir un botón de desuscripción de un solo clic (one-click unsubscribe). En 2024, esto se hizo oficial en el RFC 8058. Para 2026, Gmail y Yahoo lo consideran no negociable.
Esto significa:
- Cada correo debe contener un enlace
mailto:O un headerList-Unsubscribe-Postque permita desuscribirse sin confirmar. - El botón debe ser visible en la interfaz (no escondido en el pie).
- Tienes máximo 2 clics de distancia: un clic en el correo más confirmación opcional en una página.
Si no lo implementas, Gmail mostrará una advertencia (“Desuscribirse” en el encabezado) que muchos usuarios seguirán antes de reportarte como spam. Eso vuelca tu tasa de quejas.
Postmaster Tools: monitorea tu reputación
Gmail y Yahoo ofrecen dashboards para remitentes masivos llamados Postmaster Tools (Gmail) y Yahoo Feedback Loop. Aquí ves:
- Tasa de spam reportado (máximo 0.3% según las nuevas reglas).
- Tasa de rechazo (bounces duros y blandos).
- Métricas de autenticación: SPF pass rate, DKIM pass rate, DMARC alignment.
- Cambios en la reputación del dominio.
Si tu tasa de spam sube por encima del 0.3%, Gmail comienza a bloquear progresivamente tus correos. A partir del 0.5%, puede suspenderte temporalmente.
El monitoreo es continuo. Revisa tu Postmaster Tools al menos una vez por semana.
Warm-up y validación de dominio
Aunque tengas SPF, DKIM y DMARC perfectos, Gmail y Yahoo aún desconfían de dominios nuevos o con bajo volumen histórico. Por eso, el warm-up es esencial.
Un warm-up efectivo:
- Comienza con pequeños volúmenes (100–200 correos el primer día).
- Aumenta gradualmente: 200 → 500 → 1000 → 5000+ en una semana.
- Monitorea el spam rate diariamente.
- Si la tasa sube, pausa temporalmente y mejora la calidad de contenido y lista.
También incluye la validación del dominio en otros proveedores: Outlook/Hotmail acepta SPF/DKIM estándar, pero es más tolerante. Yahoo es casi tan estricto como Gmail. iCloud rechaza habitualmente correos de dominios nuevos sin historial de envíos previos.
Particularidades por proveedor: Outlook, iCloud, Yahoo y proveedores locales
No todos los proveedores de correo tienen las mismas reglas:
- Outlook/Hotmail (@outlook.com, @hotmail.es, @hotmail.com): Acepta SPF/DKIM estándar. Más tolerante que Gmail con nuevos dominios, pero rechaza mensajes si el From-domain no tiene un registro MX válido. Motivo: valida que el remitente sea legítimo.
- iCloud Mail (@icloud.com): El filtro más estricto después de Gmail. Usa IP reputation más sender domain reputation. Muchos correos comerciales llegan a la carpeta Promociones o Spam. Razón: Apple prioriza la privacidad. Solución: warm-up agresivo, contenido de alta calidad, lista limpia.
- Yahoo (@yahoo.com, @yahoo.es): Casi idéntico a Gmail en requisitos. SPF/DKIM obligatorios, RFC 8058, spam rate inferior a 0.3%. Usa VBMC (Verizon Bounce Management Center) para feedback de rechazos.
- Movistar / Telefónica (@movistar.es, @telefonica.net): Proveedores españoles con filtros anticuados. Tasa de rechazo alta. Recomendación: valida y limpia estas direcciones agresivamente antes de enviar. De lo contrario, espera rebotes masivos.
Lista de chequeo para 2026
Antes de enviar una campaña masiva, verifica:
- SPF: Registro TXT con sintaxis correcta. Incluye todos los proveedores que envíen en tu nombre (ESP, transaccional, etc.). Termina con
~allo-all. - DKIM: Genera claves (pública en DNS, privada en tu ESP). Rotación cada 6–12 meses.
- DMARC: Comienza con
p=none(solo reporting). Después de 2 semanas sin errores, cambia ap=quarantine. Luego ap=rejectsi es posible. - Unsubscribe: Header
List-Unsubscribecon mailto: y URL. También botón visible en HTML. - Postmaster Tools: Registra tu dominio, monitorea spam rate, rechazos y autenticación.
- Limpieza de lista: Elimina hard bounces, direcciones antiguas sin actividad y sinónimos.
- Warm-up: Gradual durante 5–7 días antes de volumen completo.
- Contenido: Evita palabras trigger de spam, enlaces sospechosos, exceso de mayúsculas y múltiples attachments.
¿Qué pasa si no tengo SPF/DKIM/DMARC configurados?
¿Puedo usar DMARC con p=reject desde el inicio?
p=none para monitorear (al menos 1–2 semanas). Luego p=quarantine, y solo cuando estés seguro de que SPF y DKIM alinean perfectamente, cambia a p=reject. Un error en p=reject bloquea TODOS tus correos legítimos.