Diagrama explicando el flujo de verificación SPF DKIM y DMARC cuando un correo corporativo llega al servidor receptor

SPF, DKIM y DMARC: qué son y cómo configurarlos paso a paso

Configurar SPF, DKIM y DMARC es el paso que la mayoría salta después de crear su correo corporativo —y el que explica por qué sus correos terminan en spam. Si ya tienes tu dirección con dominio propio funcionando pero tus mensajes no llegan bien, o simplemente quieres blindar tu dominio contra suplantación de identidad, esta guía es para ti. Sin rodeos técnicos innecesarios: te explico qué es cada protocolo, para qué sirve y cómo configurarlo paso a paso desde tu panel DNS.

Si aún no tienes correo corporativo configurado, empieza por nuestra guía completa de correo corporativo y vuelve aquí una vez que tengas tu dirección activa.

¿Qué son SPF, DKIM y DMARC? La explicación sin tecnicismos

Los tres son registros de seguridad que se añaden al DNS de tu dominio. Su función conjunta es demostrarle a los servidores de correo receptores (Gmail, Outlook, Yahoo…) que los mensajes que salen de tu dominio son legítimos y no falsificados. Funcionan como capas de verificación: una sola no es suficiente, las tres juntas construyen una reputación sólida.

SPF — quién puede enviar correos en nombre de tu dominio

SPF (Sender Policy Framework) es un registro TXT en tu DNS que lista los servidores autorizados para enviar correos desde tu dominio. Cuando alguien recibe un email de [email protected], el servidor receptor consulta tu DNS y comprueba si el servidor que lo envió está en la lista aprobada. Si no lo está, el correo falla la verificación SPF y aumenta su probabilidad de ir a spam o ser rechazado.

En términos simples: es como la lista de empleados autorizados a salir con el sello de tu empresa.

DKIM — la firma digital de cada correo

DKIM (DomainKeys Identified Mail) añade una firma criptográfica invisible a cada correo que envías. El servidor receptor descifra esa firma usando una clave pública que también está en tu DNS. Si la firma es válida, el correo no fue modificado en tránsito y efectivamente salió de tu servidor. Si no coincide, algo está mal.

Piénsalo como el lacre de cera en una carta: si llega roto, sabes que alguien la abrió antes.

DMARC — la política que une SPF y DKIM

DMARC (Domain-based Message Authentication, Reporting and Conformance) es el registro que le dice a los servidores receptores qué hacer cuando un correo falla SPF o DKIM: dejarlo pasar, mandarlo a cuarentena (spam) o rechazarlo directamente. Además, te envía informes periódicos sobre quién está intentando enviar correos usando tu dominio.

DMARC sin SPF y DKIM no funciona. Los tres deben estar activos y correctamente configurados.

Panel DNS de un registrar mostrando los tres registros SPF DKIM y DMARC correctamente configurados para un dominio
SPF verifica el origen, DKIM verifica la integridad, DMARC decide qué hacer si algo falla.

Por qué necesitas los tres, no solo uno

Es un error común configurar solo SPF y asumir que es suficiente. Cada protocolo cubre un ángulo diferente:

  • SPF solo no protege contra correos falsificados que pasan por el servidor correcto (forwarding, por ejemplo).
  • DKIM solo no impide que un servidor no autorizado intente enviar desde tu dominio.
  • DMARC solo no tiene nada que verificar si no hay SPF ni DKIM configurados.

Juntos forman el estándar mínimo exigido en 2026 para una buena entregabilidad. Google y Yahoo endurecieron sus requisitos en 2024 exigiendo SPF, DKIM y DMARC a cualquier dominio que envíe más de 5.000 mensajes al día. Aunque tu volumen sea menor, no tenerlos activos perjudica tu reputación de dominio desde el primer correo.

Cómo configurar SPF paso a paso

El registro SPF se añade como un registro de tipo TXT en el DNS de tu dominio. Accede al panel DNS del lugar donde registraste tu dominio — habitualmente tu hosting (Hostinger, Namecheap) o Cloudflare si delegaste los DNS ahí.

Estructura básica de un registro SPF

v=spf1 include:zoho.com ~all

Desglose de cada parte:

  • v=spf1 — declara que es un registro SPF versión 1.
  • include:zoho.com — autoriza a los servidores de Zoho Mail a enviar en tu nombre. Si usas Hostinger Email, sería include:hostingeremails.com. Si usas Google Workspace: include:_spf.google.com.
  • ~all — softfail: los correos de servidores no listados se marcan como sospechosos pero no se rechazan. Para mayor seguridad usa -all (hardfail), que los rechaza directamente.

Pasos en el panel DNS

  1. Entra al panel DNS de tu dominio.
  2. Crea un nuevo registro de tipo TXT.
  3. En el campo Host o Name escribe @ (representa la raíz del dominio).
  4. En el campo Value o Content pega tu registro SPF.
  5. TTL: déjalo en automático o ponlo en 3600 (1 hora).
  6. Guarda. La propagación puede tardar entre 30 minutos y 24 horas.

Importante: solo puede existir un registro SPF por dominio. Si ya tienes uno y necesitas añadir otro proveedor, edita el registro existente e incorpora el nuevo include: en la misma línea, no crees un segundo registro TXT con SPF.

Cómo configurar DKIM paso a paso

A diferencia de SPF, el registro DKIM lo genera tu proveedor de correo — no lo escribes tú desde cero. El proceso es: obtienes la clave pública desde el panel de tu servicio de email y la pegas en el DNS de tu dominio.

Panel de administración de Zoho Mail mostrando la sección de configuración DKIM con el registro TXT listo para copiar
Zoho Mail genera automáticamente el valor DKIM que debes copiar en tu DNS.

Obtener el registro DKIM según tu proveedor

Zoho Mail: entra a la consola de administración → Dominios → selecciona tu dominio → pestaña Email Authentication → verás el valor DKIM listo para copiar con su selector (normalmente zoho).

Hostinger: en hPanel ve a Correo electrónico → Cuentas de correo → selecciona el dominio → DNS del correo. Encontrarás el registro DKIM generado automáticamente.

Google Workspace: en la consola de administración ve a Aplicaciones → Google Workspace → Gmail → Autenticar el correo. Genera la clave y cópiala.

Añadir DKIM al DNS

  1. Crea un nuevo registro de tipo TXT en tu DNS.
  2. En el campo Host escribe el selector seguido de ._domainkey. Por ejemplo: zoho._domainkey.
  3. En el campo Value pega la clave pública completa que te dio tu proveedor. Empieza por v=DKIM1; k=rsa; p=…
  4. Guarda y espera la propagación.
  5. Vuelve al panel de tu proveedor y pulsa el botón de verificación para confirmar que el registro fue detectado correctamente.

Cómo configurar DMARC paso a paso

Con SPF y DKIM activos, DMARC es el último paso. También es un registro TXT en tu DNS, pero con un host específico: _dmarc.

Registro DMARC recomendado para empezar

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1

Desglose:

  • v=DMARC1 — versión del protocolo.
  • p=none — política de observación: no hace nada con los correos que fallan, solo reporta. Ideal para empezar sin riesgo de bloquear correos legítimos.
  • rua=mailto:... — dirección donde recibirás los informes agregados diarios (quién envía desde tu dominio).
  • ruf=mailto:... — dirección para informes forenses individuales (opcional, no todos los proveedores los envían).
  • fo=1 — genera informes cuando falla SPF o DKIM (más información útil).

La progresión recomendada de la política DMARC

No pases directamente a p=reject. El camino correcto es gradual, especialmente si tienes varios sistemas enviando correos desde tu dominio (CRM, herramientas de marketing, notificaciones automáticas):

  1. p=none — durante las primeras 2–4 semanas. Solo observas y recibes reportes sin bloquear nada.
  2. p=quarantine — cuando los reportes muestran que solo tus servidores legítimos envían correos. Los correos que fallen SPF/DKIM van a spam en lugar de ser aceptados.
  3. p=reject — política máxima. Los correos no autenticados son rechazados directamente por el servidor receptor. Máxima protección contra spoofing y phishing.

Añadir DMARC al DNS

  1. Crea un nuevo registro de tipo TXT.
  2. En el campo Host escribe exactamente: _dmarc
  3. En el campo Value pega tu registro DMARC.
  4. Guarda.
Panel DNS mostrando los tres registros SPF DKIM y DMARC correctamente configurados para un dominio
Con los tres registros activos, el dominio muestra señales claras de autenticidad ante cualquier servidor receptor.

Cómo verificar que todo está correctamente configurado

Una vez propagados los registros, comprueba que todo funciona antes de dar el tema por cerrado. Estas son las herramientas gratuitas más usadas:

  • MXToolbox (mxtoolbox.com) — consulta individual de registros SPF, DKIM y DMARC. Introduce tu dominio y te muestra el estado de cada uno con diagnóstico de errores.
  • Mail-tester.com — envías un correo de prueba a una dirección temporal y recibes una puntuación de entregabilidad con detalle de qué pasa o falla.
  • Google Postmaster Tools — si envías a Gmail, esta herramienta muestra la reputación de tu dominio e IP en tiempo real.
  • DMARC Analyzer — para interpretar los informes XML que recibirás en la dirección rua. Los reportes crudos de DMARC son difíciles de leer; esta herramienta los traduce a algo comprensible.

La prueba definitiva: envía un correo desde tu cuenta corporativa a una dirección de Gmail y abre el mensaje. Haz clic en los tres puntos → «Mostrar original». Busca las líneas spf=pass, dkim=pass y dmarc=pass. Si las tres aparecen, estás blindado.

Errores frecuentes al configurar SPF, DKIM y DMARC

  • Dos registros SPF en el mismo dominio. Solo puede haber uno. Si tienes dos, ambos fallan. Fusiona los include: en una sola línea.
  • Superar el límite de 10 consultas DNS en SPF. Cada include: cuenta como una consulta. Si usas muchos servicios (CRM, marketing, transaccional), puedes superarlo. La solución es aplanar el SPF usando herramientas como dmarcian o AutoSPF.
  • Ir directo a p=reject en DMARC. Sin revisar reportes primero puedes bloquear correos legítimos de sistemas que aún no tienen DKIM configurado. Siempre empieza en p=none.
  • No verificar DKIM en el panel del proveedor. Añadir el registro DNS no activa DKIM automáticamente. Debes volver al panel de Zoho, Hostinger o Google y pulsar «Verificar» para que el sistema confirme que encontró el registro.
  • Copiar mal el selector DKIM. El campo Host debe ser exactamente selector._domainkey, no solo _domainkey. Un carácter de más o de menos rompe la verificación.

Preguntas frecuentes sobre SPF, DKIM y DMARC

¿Cuánto tiempo tarda en propagarse un registro DNS?

Normalmente entre 30 minutos y 4 horas. En casos excepcionales puede llegar a 24–48 horas dependiendo del TTL previo del dominio. Si verificas justo después de guardar y no aparece, espera y vuelve a comprobar.

¿Necesito SPF, DKIM y DMARC si solo envío pocos correos al día?

Sí. El volumen no es el factor determinante. Un dominio sin estos registros tiene peor reputación por defecto, independientemente de cuántos correos envíes. Además, un dominio desprotegido es más vulnerable al spoofing: alguien podría enviar correos fraudulentos suplantando tu dirección.

¿Los reportes DMARC contienen correos reales?

No. Los informes agregados (rua) solo contienen datos estadísticos: qué IPs enviaron correos desde tu dominio, cuántos pasaron o fallaron SPF y DKIM. No incluyen el contenido de los mensajes. Los informes forenses (ruf) pueden incluir cabeceras, pero la mayoría de proveedores los limitan o no los envían por privacidad.

¿Qué pasa si uso varios servicios para enviar correos desde el mismo dominio?

Cada servicio (Zoho Mail, Mailchimp, tu CRM, notificaciones de WordPress…) necesita estar autorizado en tu SPF y tener su DKIM configurado. Si alguno no está incluido, los correos de ese servicio fallarán la autenticación. Los reportes DMARC te mostrarán exactamente cuáles fuentes están enviando y cuáles no pasan la verificación.

¿Afecta DMARC a los correos que reenvío a otra cuenta?

Sí, y es uno de los casos más problemáticos. Cuando un correo se reenvía, el servidor intermedio cambia la IP de origen, lo que puede romper la verificación SPF. En esos casos DKIM es la salvación, porque la firma criptográfica viaja con el mensaje. Si tienes reenvíos activos, asegúrate de que DKIM esté bien configurado antes de endurecer la política DMARC.

Conclusión: tres registros, un dominio de confianza

Configurar SPF, DKIM y DMARC no es opcional si quieres que tu correo corporativo funcione bien a largo plazo. Son los tres pilares de la autenticación de email: SPF controla quién envía, DKIM garantiza que el mensaje no fue alterado, y DMARC define qué hacer cuando algo falla. Los tres juntos protegen tu dominio, mejoran tu entregabilidad y evitan que terceros lo usen para enviar spam o phishing en tu nombre.

Si todavía no tienes correo corporativo o estás evaluando opciones, lee nuestra guía completa de correo corporativo o, si eres independiente, la guía para freelancers. Y si prefieres delegar la configuración técnica completa —registros DNS incluidos— a un especialista, puedes ver el servicio de implementación de correo corporativo con Zoho Mail.

¿Tienes dudas con algún registro específico o tu proveedor de correo no aparece en esta guía? Déjalo en los comentarios.

Etiquetas

Entradas relacionadas