SPF, DKIM y DMARC: qué son, cómo funcionan y por qué son imprescindibles para el email marketing

email marketing y entregabilidad

La entregabilidad de correo electrónico es el pilar invisible que sostiene cualquier campaña B2B de outbound y los flujos de marketing automation más avanzados. En 2024 y 2025, proveedores como Google, Yahoo y Microsoft han endurecido sus requisitos de autenticación , convirtiendo la correcta implementación de protocolos como SPF, DKIM y DMARC en un estándar imprescindible.

Ignorar estas configuraciones implica asumir un riesgo elevado: que los mensajes terminen en la carpeta de spam o, en el peor de los casos, que no lleguen nunca al destinatario.

Tabla de contenidos

SPF: qué es y por qué tu dominio lo necesita

SPF (Sender Policy Framework) es un protocolo de autenticación diseñado para indicar qué servidores de correo están autorizados a enviar emails en nombre de un dominio.

En la práctica, funciona como una “lista de invitados” publicada en los registros DNS. Cuando un servidor de correo recibe un mensaje, revisa si la dirección IP del servidor remitente está incluida en ese registro. Si no lo está, el correo puede marcarse como sospechoso o rechazarse directamente.

Este mecanismo evita el spoofing, técnica mediante la cual atacantes intentan suplantar un dominio legítimo para enviar spam o correos maliciosos.

En otras palabras: SPF actúa como el portero de tu dominio, asegurando que solo los servidores autorizados crucen la puerta de entrada digital.

Cómo funciona el registro SPF (ejemplo práctico)

El registro SPF se publica como un registro TXT en el DNS del dominio. En él se listan las direcciones IP o los hosts autorizados para enviar correo en su nombre.

Un ejemplo sencillo sería:

v=spf1 include:sendgrid.net -all

Este registro indica lo siguiente:

  • include:sendgrid.net: autoriza los servidores que SendGrid declara en su propio registro SPF.
  • -all: cualquier servidor no listado debe rechazarse.

De esta manera, si un correo enviado desde tu dominio proviene de la infraestructura de SendGrid, pasará la validación. Si un atacante intenta suplantar el dominio desde otro servidor no autorizado, el mensaje será marcado como sospechoso o bloqueado.

Una configuración correcta de SPF es crítica para proteger la reputación de la marca y asegurar que los proveedores de correo confíen en tus envíos.

DKIM: asegurando la integridad de tus emails

DKIM (DomainKeys Identified Mail) es un protocolo de autenticación que añade una firma digital única a cada mensaje enviado. Mientras que SPF valida qué servidores pueden enviar en nombre de tu dominio, DKIM garantiza que el contenido del correo no haya sido alterado durante su trayecto.

El funcionamiento es sencillo:

  • El servidor emisor añade una firma criptográfica en la cabecera del email.
  • El servidor receptor consulta la clave pública publicada en los registros DNS de tu dominio.
  • Si la firma y la clave coinciden, se confirma que el correo es legítimo y no ha sido manipulado.
  • En caso contrario, el mensaje puede marcarse como sospechoso o rechazarse.

De esta forma, DKIM no solo protege la integridad del contenido, sino que también refuerza la confianza de los proveedores de correo en tu dominio.

Ejemplo de registro DKIM y cómo configurarlo

Un registro DKIM se publica en el DNS del dominio en formato TXT. Su aspecto típico es el siguiente:
default._domainkey.tudominio.com IN TXT “v=DKIM1; k=rsa; p=MIGfMA0GCSq…base64_encoded_public_key…”

Desglose del registro:

  • default: es el selector, un identificador que permite usar varias llaves en un mismo dominio.
  • _domainkey: etiqueta fija que señala que el registro corresponde a DKIM.
  • v=DKIM1: especifica la versión.
  • k=rsa: indica el tipo de clave utilizado.
  • p=…: contiene la clave pública codificada en base64, que será utilizada por los servidores receptores para validar las firmas.

Configurar DKIM de forma correcta permite que los proveedores de correo verifiquen la integridad de cada mensaje. Esto genera confianza tanto en los sistemas que entregan los emails como en los destinatarios que los reciben.

DMARC: cómo unifica SPF y DKIM para proteger tu reputación

DMARC (Domain-based Message Authentication, Reporting, and Conformance) es un protocolo que se apoya en SPF y DKIM para dar a los dominios un mayor control sobre la autenticación de correos. Su función principal es indicar a los servidores receptores cómo actuar cuando un mensaje no supera las validaciones de autenticidad.

Con DMARC, el remitente establece políticas claras que ayudan a proteger el dominio frente a ataques de spoofing y phishing. Además, genera reportes que permiten monitorizar intentos de suplantación.

Las políticas posibles son:

  • None (ninguna): solo monitoriza; los correos fallidos no se bloquean, pero se generan informes.
  • Quarantine (cuarentena): los correos sospechosos se redirigen a la carpeta de spam o de correo no deseado.
  • Reject (rechazar): bloquea directamente los mensajes que no pasan las validaciones de SPF o DKIM, evitando que lleguen a los usuarios.

De esta manera, DMARC añade una capa estratégica de defensa, combinando la validación técnica con la gestión activa de los mensajes fraudulentos.

Ejemplo de registro DMARC y su interpretación

Un registro DMARC se publica en el DNS como un TXT record. Un ejemplo típico sería:
_dmarc.tudominio.com IN TXT “v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@tudominio.com; ruf=mailto:forensics@tudominio.com; pct=100”

Desglose de los parámetros:

  • v=DMARC1: versión del protocolo DMARC.
  • p=quarantine: política a aplicar (puede ser none, quarantine o reject).
  • rua: dirección de correo donde se reciben reportes agregados sobre intentos de envío.
  • ruf: dirección para recibir reportes forenses más detallados (opcional).
  • pct=100: porcentaje de correos a los que se aplica la política, útil para implementaciones graduales.

La aplicación de DMARC cierra el ciclo de autenticación de correo electrónico. Permite definir cómo deben manejarse los correos no autorizados y aporta retroalimentación valiosa a través de los informes, ayudando a optimizar la seguridad y la entregabilidad.

Cómo trabajan juntos SPF, DKIM y DMARC para mejorar la entregabilidad de las campañas de email marketing

SPF, DKIM y DMARC no actúan de forma aislada, sino como capas complementarias de seguridad. Cada protocolo valida un aspecto distinto del correo y, en conjunto, determinan si el mensaje llega a la bandeja de entrada o se bloquea.

El flujo básico de validación es el siguiente:

  1. SPF verifica si el servidor que envía el correo está autorizado en el DNS del dominio.

    • Si pasa la validación, continúa el proceso.
    • Si falla, se marca como sospechoso.

  2. DKIM comprueba la firma digital en la cabecera del correo.

    • Si la firma coincide con la clave pública del dominio, se confirma la integridad del mensaje.
    • Si no coincide, el mensaje se considera alterado o no confiable.

  3. DMARC revisa los resultados de SPF y DKIM.

    • Si al menos una validación pasa y el dominio coincide (alignment), el correo se acepta.
    • Si ambas fallan, se aplica la política definida: none, quarantine o reject.

Flujo de autenticación paso a paso (SPF, DKIM y DMARC)

Paso Protocolo Validación Resultado si pasa Resultado si falla
1 SPF ¿El servidor emisor está autorizado en el DNS? El correo sigue al siguiente paso El correo se marca como sospechoso
2 DKIM ¿La firma digital coincide con la clave pública del dominio? Se confirma la integridad del mensaje El correo se marca como sospechoso
3 DMARC ¿SPF o DKIM pasan y están alineados con el dominio? El mensaje se entrega a la bandeja de entrada Se aplica la política: none, quarantine o reject

Autenticación y reputación de dominio: impacto en la entregabilidad

La autenticación mediante SPF, DKIM y DMARC no solo protege frente a ataques de suplantación, sino que también tiene un impacto directo en la reputación de dominio.

Los proveedores de correo como Google, Yahoo u Outlook utilizan métricas internas para decidir si un mensaje se entrega en la bandeja de entrada o se desvía a spam. Entre estas métricas, la autenticación juega un papel clave:

  • Confianza del proveedor: un dominio con autenticación correcta demuestra seriedad y compromiso con la seguridad. Esto aumenta la probabilidad de que los correos se ubiquen en la bandeja principal.
  • Sender Score y reputación IP: herramientas como Sender Score evalúan el comportamiento de envío de un dominio. Los fallos constantes en SPF, DKIM o DMARC reducen esta puntuación, mientras que una configuración sólida la refuerza.
  • Engagement del usuario: al mejorar la ubicación en bandeja de entrada, se incrementan las tasas de apertura y clic. Este engagement positivo retroalimenta la reputación de remitente.
  • Reducción de quejas y bloqueos: una autenticación correcta evita que los correos legítimos sean confundidos con intentos de phishing, lo que reduce quejas de spam y rechazos por parte de los ISP.

En 2025, la reputación de un dominio es un activo estratégico. Un buen nivel de autenticación no solo asegura la entregabilidad, sino que se traduce en mejores métricas de engagement, mayor confianza de los proveedores y, en consecuencia, mayor retorno de inversión en el email marketing.

Guía paso a paso para configurar SPF, DKIM y DMARC

Incluso para equipos técnicos con experiencia en operaciones o IT, la configuración de estos registros puede generar dudas. A continuación, se presenta una guía práctica para asegurar una implementación correcta:

Paso 1: Generar los registros DNS

Accede a la consola de administración de tu proveedor de correo electrónico o plataforma de envíos (por ejemplo, Google Workspace, Microsoft 365, SendGrid, Mailgun).

  • Localiza las secciones donde se generan los registros TXT para SPF, DKIM y DMARC.
  • Cada proveedor ofrece claves únicas vinculadas a tu dominio.

Ejemplos básicos:

  • SPF: =spf1 include:sendgrid.net -all
    Autoriza a SendGrid como remitente válido y bloquea cualquier servidor no listado.
  • DKIM: default._domainkey.tudominio.com IN TXT “v=DKIM1; k=rsa; p=MIGfMA0GCSq…”
    Publica la clave pública asociada a la firma digital de tus correos.
  • DMARC: _dmarc.tudominio.com IN TXT “v=DMARC1; p=quarantine; rua=mailto:reports@tudominio.com; pct=100”
    Indica a los servidores receptores que apliquen la política de cuarentena a los correos no autenticados y envíen reportes de actividad.

Paso 2: Publicar los registros en el DNS

Copia los valores generados en los registros TXT de tu proveedor de DNS (ej.: Cloudflare, GoDaddy, Route53).

  • La propagación puede tardar entre unos minutos y 24 horas.
  • Verifica que no existan registros SPF duplicados; si es necesario, unifica las autorizaciones en uno solo.

Paso 3: Validar la configuración

Utiliza herramientas como MXToolbox, Google Postmaster Tools o los validadores integrados de tu plataforma para comprobar que SPF, DKIM y DMARC estén activos y sin errores.

Paso 4: Monitorizar y ajustar

  • Empieza con una política DMARC en p=none para recopilar informes sin afectar la entregabilidad.
  • Revisa los reportes para identificar posibles fuentes de envío no autorizadas.
  • Escala progresivamente a p=quarantine o p=reject cuando estés seguro de que todos los flujos de correo legítimos están cubiertos.

Configurar SPF, DKIM y DMARC correctamente no solo protege el dominio frente a ataques, sino que también mejora la confianza con los proveedores de correo, reforzando la entregabilidad y la reputación digital.

Errores frecuentes al autenticar emails y cómo evitarlos

  • Múltiples registros SPF
    Un dominio debe tener un único registro TXT de SPF. Publicar más de uno provoca errores de validación (permerror) y hace que los correos legítimos terminen en spam.
    Cómo evitarlo: unificar todas las autorizaciones en un solo registro.
  • Superar el límite de 10 búsquedas DNS en SPF
    Cada include, a, mx o redirect consume búsquedas. Al pasar de 10, la validación falla automáticamente.
    Cómo evitarlo: optimizar el registro o usar servicios de SPF flattening.
  • Mala alineación de dominios (DMARC alignment)
    El dominio en el campo From debe coincidir con los definidos en SPF y DKIM. Sin esta coincidencia, DMARC lo considera un fallo.
    Cómo evitarlo: revisar la alineación en modo relaxed o strict y ajustar los dominios de envío.
  • Pasar directamente a p=reject en DMARC
    Forzar un rechazo sin un periodo previo de monitorización puede bloquear correos legítimos.
    Cómo evitarlo: empezar con p=none, revisar reportes y escalar a quarantine o reject cuando todo esté alineado.
  • Olvidar la rotación de claves DKIM
    Las claves deben renovarse periódicamente y mantenerse en un tamaño seguro (mínimo 2048 bits).
    Cómo evitarlo: rotar claves usando distintos selectors y retirar las obsoletas.
  • Confiar en una sola herramienta de validación
    Un único verificador puede pasar por alto errores.
    Cómo evitarlo: comprobar siempre con múltiples fuentes, como MXToolbox, Google Postmaster Tools o Dmarcian.
  • No autenticar todas las fuentes de envío
    Es común olvidar incluir plataformas de facturación, CRMs o servicios de soporte.
    Cómo evitarlo: auditar todas las aplicaciones que envían en nombre del dominio e incluirlas en SPF/DKIM.
  • Errores de sintaxis en DNS
    Publicar DMARC como CNAME, cortar cadenas TXT largas o usar TTLs extremos rompe la configuración.
    Cómo evitarlo: publicar siempre como TXT, dividir correctamente las cadenas largas y validar la sintaxis.
  • Uso indefinido de ~all en SPF
    El softfail deja un margen de ambigüedad y puede facilitar abusos.
    Cómo evitarlo: tras la validación completa, pasar a -all en producción.
  • Selectors DKIM incorrectos
    Si el selector publicado en DNS no coincide con el configurado en el proveedor, la firma falla.
    Cómo evitarlo: confirmar siempre el selector activo y que el registro exista en el DNS.
  • No procesar los reportes DMARC
    Publicar rua y ruf sin revisarlos no aporta valor.
    Cómo evitarlo: configurar buzones o integraciones que procesen los reportes y permitan ajustar la política de forma informada.

Mejores prácticas avanzadas de autenticación y entregabilidad

BIMI (Brand Indicators for Message Identification)

BIMI es un estándar que permite mostrar el logotipo oficial de la marca en las bandejas de entrada compatibles, siempre que el dominio esté correctamente autenticado con SPF, DKIM y DMARC en modo quarantine o reject.

Este sistema refuerza la confianza del destinatario, mejora la visibilidad de la marca y reduce los intentos de suplantación.

Pasos de configuración:

  1. Configurar DMARC con política quarantine o reject.
  2. Preparar un logotipo en formato SVG que cumpla con las especificaciones de BIMI.
  3. Obtener un VMC (Verified Mark Certificate) si el proveedor lo requiere (actualmente Gmail, Apple Mail y otros grandes lo admiten).
  4. Publicar el registro BIMI en el DNS:
    default._bimi.tudominio.com IN TXT “v=BIMI1; l=https://tudominio.com/logo.svg; a=https://tudominio.com/vmc.pem

ARC (Authenticated Received Chain)

ARC complementa a SPF, DKIM y DMARC en los escenarios donde los correos son reenviados (por ejemplo, listas de distribución).

  • Mantiene la cadena de autenticación original.
  • Permite a los servidores receptores confiar en la validez del mensaje, incluso tras varios reenvíos.
  • Su uso es clave para organizaciones que gestionan grandes volúmenes de reenvíos o alias.

Dominios de envío dedicados y calentamiento de IPs

  • Separar los dominios transaccionales de los promocionales evita que una mala práctica afecte a todos los envíos.
  • Para nuevos dominios o IPs, aplicar un warm-up progresivo (incrementando el volumen poco a poco) ayuda a generar una reputación positiva.

Monitorización proactiva

  • Revisar métricas de entregabilidad: tasa de rebote, spam complaints, inbox placement.
  • Monitorizar los reportes DMARC (rua, ruf) para detectar intentos de suplantación.
  • Usar herramientas como Google Postmaster Tools, Microsoft SNDS o Cisco Talos Intelligence para evaluar la reputación del dominio e IP.

Aplicar estas prácticas avanzadas consolida una estrategia de autenticación robusta y eleva la entregabilidad, permitiendo que los mensajes no solo lleguen, sino que además lo hagan con la máxima confianza para el usuario final.

FAQ: dudas comunes sobre SPF, DKIM y DMARC en email marketing

¿Qué son SPF, DKIM y DMARC?

  • SPF especifica qué servidores de correo están autorizados a enviar emails en nombre de tu dominio.
  • DKIM añade una firma criptográfica que garantiza la integridad del mensaje.
  • DMARC establece cómo deben manejarse los correos que no superan las verificaciones de SPF o DKIM, reforzando la protección frente al spoofing y phishing.

¿Necesito los tres para asegurar la entregabilidad del correo?
Sí. La combinación de SPF + DKIM + DMARC maximiza la entregabilidad, previene la suplantación de identidad y mejora la reputación del dominio frente a los principales proveedores de correo.

¿Cómo sé si SPF, DKIM y DMARC están configurados correctamente?
Puedes usar herramientas como MXToolbox, Dmarcian o Postmark para comprobar los registros DNS. Además, los reportes agregados de DMARC permiten verificar la alineación y monitorizar tasas de autenticación exitosa.

¿Cuál es la diferencia entre SPF y DKIM?

  • SPF valida la IP del servidor emisor frente a una lista autorizada en el DNS.
  • DKIM asegura que el contenido del correo no haya sido alterado mediante una firma digital.

¿DMARC es obligatorio para Google,Yahoo y Microsoft?
Sí. Desde 2024/2025, tanto Google, Yahoo y Microsoft exigen a los remitentes de alto volumen tener implementado SPF, DKIM y DMARC. No cumplir con estos requisitos impacta directamente en la capacidad de entrega al inbox.

¿Qué pasa si mi dominio no tiene configurado DMARC?
Los correos seguirán entregándose, pero tu dominio estará expuesto a spoofing y phishing. Además, proveedores como Gmail, Yahoo y Microsoft penalizarán tu entregabilidad, enviando tus mensajes con mayor probabilidad a spam.

¿Puedo usar un subdominio para mis envíos?
Sí. Muchos remitentes configuran un subdominio (por ejemplo, mail.tudominio.com) para separar envíos transaccionales de los promocionales. Esto permite un control más granular y evita que un problema afecte a toda la comunicación de la marca.

Referencias y enlaces de interés.

Validadores SPF, DKIM y DMARC

  • Herramientas indispensables para un email marketer.
    Plataforma con generadores y verificadores especializados
  • DMARCLY.
    Plataforma con generadores y verificadores especializados
  • MXtoolbox.
    Suite completa con generadores y verificadores para SPF, DKIM y DMARC
  • URIports.
    Validador completo que verifica SPF, DMARC, DKIM, MTA-STS, BIMI, y otros registros DNS con verificación de compliance RFC
  • DKIMValidartor.
    Envía un email a una dirección para obtener análisis completo de SPF, DKIM y DMARC
  • LearnDmarc.
    Herramienta especializada que visualiza cómo un servidor de email validará SPF, DKIM y DMARC enviando un email de prueba.

Recursos Oficiales y Documentación Técnica