Los tres pilares de la confianza en email#

Cada email que envías es evaluado por el servidor receptor antes de que llegue a la bandeja de nadie. La evaluación se reduce a una pregunta: ¿este email viene realmente de quien dice venir?

Tres protocolos basados en DNS responden a esa pregunta: SPF, DKIM y DMARC. Cada uno cubre un aspecto distinto de la autenticación y, juntos, forman la base de la deliverability del email. Si alguno falta o está mal configurado, tus emails corren el riesgo de ser filtrados, puestos en cuarentena o rechazados.

Esta guía explica qué hace cada protocolo, cómo trabajan juntos y cómo verificar tu configuración.

SPF: ¿quién está autorizado a enviar?#

Qué hace SPF#

SPF (Sender Policy Framework) es un registro DNS TXT que lista qué servidores de correo están autorizados a enviar email en nombre de tu dominio. Cuando un servidor receptor recibe un email que dice venir de tuempresa.com, consulta el registro SPF para ver si el servidor de envío está en la lista aprobada.

Cómo funciona SPF#

Publicas un registro SPF en el DNS de tu dominio (p. ej., v=spf1 include:_spf.google.com -all)
Alguien envía un email desde tu dominio
El servidor receptor busca tu registro SPF
Compara la dirección IP del servidor de envío con la lista autorizada
Si la IP está autorizada, la comprobación SPF pasa. Si no, falla

Conceptos clave de SPF#

Mecanismo include: — Hace referencia al registro SPF de otro dominio. Se usa para autorizar servicios de terceros como Google Workspace o SendGrid.
-all vs ~all — El -all (hard fail) le dice al receptor que rechace los remitentes no autorizados. El ~all (soft fail) sugiere marcarlos como sospechosos pero no rechazarlos. Usa -all para una protección más fuerte.
Límite de 10 consultas DNS — Los registros SPF pueden disparar como máximo 10 consultas DNS. Superar este límite hace que SPF falle por completo. Es un problema habitual en dominios que usan muchos servicios de email.

Errores comunes de SPF#

Olvidarse de añadir un nuevo servicio de email al registro SPF
Superar el límite de 10 lookups por incluir demasiados servicios
Usar +all, que autoriza a cualquiera (lo que en la práctica desactiva SPF)
Tener varios registros SPF (solo se permite uno por dominio)

Comprueba tu configuración de SPF con el SPF Checker gratuito.

DKIM: ¿se ha manipulado el email?#

Qué hace DKIM#

DKIM (DomainKeys Identified Mail) añade una firma criptográfica a cada email saliente. Esta firma demuestra dos cosas: que el email vino de tu dominio y que su contenido no se ha modificado en tránsito.

Cómo funciona DKIM#

Tu servidor de email genera un par de claves pública/privada
La clave pública se publica como un registro DNS TXT en selector._domainkey.tudominio.com
Al enviar un email, tu servidor firma un hash de las cabeceras y el cuerpo con la clave privada
La firma se añade como cabecera DKIM-Signature en el email
El servidor receptor recupera tu clave pública del DNS y verifica la firma
Si la firma coincide, el email está autenticado y no ha sido alterado

Conceptos clave de DKIM#

Selectores — Cada clave DKIM tiene un nombre de selector (como google, s1 o default). Esto permite que un dominio tenga varias claves DKIM para diferentes servicios de email.
Rotación de claves — La buena práctica es rotar las claves DKIM periódicamente. Los selectores hacen que esto sea posible sin interrumpir el servicio.
Alcance de la firma — DKIM firma cabeceras concretas y el cuerpo. Las listas de correo que modifican los emails pueden romper las firmas DKIM.

Errores comunes de DKIM#

Activar DKIM en tu proveedor de email pero olvidar añadir el registro DNS
Usar una clave demasiado corta (mínimo 1024 bits, recomendado 2048 bits)
No configurar DKIM para todos tus servicios de envío (cada uno necesita su propio selector)

Verifica tu configuración de DKIM con el DKIM Checker gratuito.

DMARC: ¿qué debe pasar cuando fallan las comprobaciones?#

Qué hace DMARC#

DMARC (Domain-based Message Authentication, Reporting, and Conformance) une SPF y DKIM con una política. Le dice a los servidores receptores qué hacer cuando un email falla la autenticación y proporciona un mecanismo de informes para que veas quién está enviando email usando tu dominio.

Cómo funciona DMARC#

Publicas un registro DMARC en el DNS, en _dmarc.tudominio.com
Un servidor receptor recibe un email de tu dominio
Comprueba SPF y DKIM
Comprueba si alguno de los resultados está "alineado" con el dominio del From
Si la alineación falla, sigue tu política DMARC: none (solo monitorizar), quarantine (mandar a spam) o reject (bloquear por completo)
Envía informes agregados a la dirección indicada en tu registro DMARC

Conceptos clave de DMARC#

Alineación — La alineación SPF significa que el dominio del remitente del envelope coincide con el dominio de la cabecera From. La alineación DKIM significa que el dominio de firma coincide con el dominio del From. Al menos uno debe estar alineado para que DMARC pase.
Progresión de la política — Empieza con p=none para monitorizar sin afectar la entrega. Pasa a p=quarantine cuando estés seguro de que el email legítimo pasa. Gradúate a p=reject para máxima protección.
Reportes (rua) — La etiqueta rua especifica dónde se envían los informes agregados de DMARC. Estos informes te muestran toda la actividad de email en tu dominio, incluidos los remitentes no autorizados.

Errores comunes de DMARC#

Saltar directamente a p=reject sin monitorizar antes (bloquea email legítimo de servicios mal configurados)
No configurar una dirección rua para los informes (vuelas a ciegas)
Olvidar que los servicios de terceros necesitan alineación SPF/DKIM, no solo que SPF/DKIM pasen

Comprueba tu política DMARC con el DMARC Checker gratuito.

Cómo encajan los tres#

SPF, DKIM y DMARC son complementarios, no redundantes:

Protocolo	Pregunta que responde	Qué demuestra
SPF	¿Está autorizado este servidor?	El servidor de envío está aprobado
DKIM	¿Es auténtico este email?	El email no ha sido manipulado
DMARC	¿Qué pasa si falla?	Los emails no autorizados se gestionan correctamente

Un email que pasa las tres comprobaciones tiene la mayor probabilidad de llegar a la bandeja de entrada. Un email que falla cualquier comprobación puede ser filtrado, puesto en cuarentena o rechazado, según las políticas del servidor receptor.

La configuración ideal#

SPF: Publicado con todos los servicios de envío legítimos, terminando en -all
DKIM: Configurado para todos los servicios que envían email en tu nombre
DMARC: Establecido en p=reject (o como mínimo p=quarantine) con reportes rua activados

Comprobar tu configuración#

Ejecuta las tres comprobaciones a la vez con el Email Health Checker, que evalúa SPF, DKIM, DMARC, registros MX y estado de blacklists en un solo escaneo. Para investigar a fondo cada protocolo, usa los checkers dedicados:

SPF Checker — Análisis detallado del registro SPF
DKIM Checker — Detección y validación de claves DKIM
DMARC Checker — Evaluación de política y recomendaciones

Para una monitorización continua, la monitorización de email health de Nova Uptime comprueba tu configuración de autenticación regularmente y te avisa cuando algo cambia — así detectas configuraciones erróneas antes de que afecten a la deliverability.

Lecturas relacionadas#

Guía completa del Email Health Checker — Recorrido completo del análisis de email health
Cómo comprobar el riesgo de bandeja de entrada antes de enviar cold emails — Evaluación del riesgo de inbox antes del envío
DKIM explicado: guía completa — Análisis a fondo de DKIM
Guía de configuración de la política DMARC — Configuración de DMARC paso a paso
Configurar registros SPF — Guía de configuración del registro SPF
10 herramientas gratuitas de email y dominio — Todas las herramientas gratuitas disponibles
¿Está mi email en una blacklist? — Comprueba el estado en blacklists y arregla las inclusiones

SPF, DKIM y DMARC: la guía completa de autenticación de email