UA-51298262-10 Skip to main content
Correo

SPF DKIM DMARC: Evita que tus emails lleguen a spam

By julio 3, 2026No Comments
SPF DKIM DMARC: Evita que tus emails lleguen a spam

Por qué tus emails caen en spam y cómo solucionarlo

¿Te pasa que tus emails legítimos terminan en la carpeta de basura sin que entiendas por qué? Es frustrante. La realidad es que Gmail, Outlook o Yahoo ya no perdonan; si no pruebas quién eres, te cierran la puerta. La culpa casi siempre es la misma: falta de autenticación. Ya no basta con buenas intenciones, necesitas los protocolos SPF DKIM DMARC. Son tres letras aburridas, pero si no las tienes, tu servidor es un desconocido peligroso en el mundo digital. Vamos a ver cómo funcionan y cómo ponerlos en marcha.

Estos tres mecanismos trabajan juntos para validar que el email proviene de una fuente autorizada y que nadie ha tocado el mensaje durante el viaje. Sin ellos, tu servidor de correo es visto con recelo. Abajo te explico el detalle de cada uno para que dejes de tener problemas de entrega.

¿Qué es SPF (Sender Policy Framework)?

SPF es como el portero de un club. Define quién entra y quién no. Es un protocolo de validación diseñado para detener la suplantación de identidad. Funciona publicando un registro TXT en el DNS de tu dominio. Esa lista contiene las direcciones IP y servidores que tienen permiso explícito para enviar correos en tu nombre.

Cuando un servidor recibe un mensaje desde tudominio.com, consulta ese registro. Si la IP desde donde se envió no está en la lista autorizada, el mensaje falla la verificación SPF. Resultado? Marcado como sospechoso o rechazado directamente.

Estructura de un registro SPF

Un registro típico se ve más o menos así:

v=spf1 include:_spf.google.com ip4:192.0.2.0 ~all

Vamos por partes:

  • v=spf1: Indica la versión de SPF que estás usando.
  • include:_spf.google.com: Le dice al mundo que los servidores de Google tienen luz verde. Útil si usas Google Workspace o Gmail.
  • ip4:192.0.2.0: Autoriza una IP específica de tu servidor o VPS.
  • ~all (SoftFail): Significa «si viene de otra parte, desconfía, pero no lo mates todavía». El correo pasará, pero marcado.

    Nota técnica: Yo siempre recomiendo empezar con ~all para monitorizar. Una vez veas que todo funciona, cambia a -all (HardFail). Ahí sí, rechazo total de lo que no esté en la lista.

Ojo con esto: Nunca tengas más de un registro SPF para el mismo dominio. Es un error clásico. Si intentas agregar múltiples entradas TXT con «v=spf1», tendrás un error de «Multiple SPF records» y la autenticación fallará. Junta todos los mecanismos en una sola línea, aunque quede larga.

¿Qué es DKIM (DomainKeys Identified Mail)?

Si SPF es el portero, DKIM es el precinto de seguridad. Mientras el primero verifica quién envía (la IP), DKIM se asegura de que el mensaje no ha sido alterado en el camino. Usa criptografía asimétrica (una clave pública y otra privada) para «firmar» digitalmente cada email que sale de tu servidor.

El proceso es así: tu servidor firma el correo con una clave privada que solo tú conoces. Al mismo tiempo, publicas la clave pública en tus registros DNS. Cuando el servidor del destinatario recibe el correo, busca esa clave en tu DNS, desencripta la firma y comprueba que el contenido coincide con lo original. Si alguien interceptó el correo y cambió algo, la firma DKIM no cuadrará y el email será invalidado.

Elementos clave de DKIM

Para configurar DKIM en cPanel, Plesk o un servidor Linux, se genera un Selector. Es un prefijo que indica qué clave usar en el DNS. Por ejemplo, si tu selector es default, el registro DNS se verá así:

default._domainkey Tudominio.com

El valor de este registro TXT tendrá una cadena larguísima de caracteres que empieza con v=DKIM1; k=rsa; p=…. Aquí no hay margen de error. Copia y pega exactamente, sin espacios extra ni fallos de sintaxis. Créeme, he visto configuraciones romperse por menos.

¿Qué es DMARC y por qué es el director de orquesta?

SPF y DKIM son estupendos, pero no dan instrucciones claras sobre qué hacer si un email falla estas validaciones. Aquí entra DMARC (Domain-based Message Authentication, Reporting, and Conformance). DMARC permite al dueño del dominio publicar una política que dice: «Si falla SPF y DKIM, haz X».

Además, DMARC te permite recibir informes de los grandes proveedores (como Google y Microsoft) sobre qué IPs intentan enviar correos en tu nombre. Es vital para detectar suplantación de identidad (phishing) antes de que sea un problema mayor.

Parámetros de la política DMARC

Un registro DMARC se publica en el DNS bajo el nombre _dmarc.tudominio.com. La sintaxis básica es:

v=DMARC1; p=none; rua=mailto:[email protected]

  • v=DMARC1: La versión del protocolo.
  • p=none: La política. Significa «solo observa, no hagas nada». Es el estado inicial recomendado para recibir informes sin arriesgar la entrega de tus correos. Después deberás pasar a p=quarantine (enviar a spam) y finalmente p=reject (rechazar).
  • rua: La dirección de correo donde llegarán los reportes de análisis para que los revises.

Cómo implementar SPF, DKIM y DMARC paso a paso

La implementación correcta requiere acceso a la zona DNS de tu dominio. Si usas un panel como cPanel (común en hosting compartido) o gestionas tus VPS a mano, el proceso varía un poco, pero la esencia es la misma.

Paso 1: Verificar el estado actual

Antes de tocar nada, miremos qué hay. Usa herramientas de diagnóstico en línea como «Email Header Analyzer» o «MXToolbox» para ver si ya existen registros SPF o DKIM. Evitarás conflictos estúpidos.

Paso 2: Configurar el registro SPF

  1. Entra a tu administrador de zonas DNS.
  2. Edita o crea un registro TXT para @ (la raíz del dominio).
  3. Si ya tienes un registro SPF (empieza con v=spf1), edítalo. No crees uno nuevo.
  4. Asegúrate de incluir tu servidor de hosting (normalmente include:relay.mailchannels.net o el proveedor que tengas) y tu servicio de email externo (Google, Office365, Zoho).

Paso 3: Generar y publicar DKIM

En la mayoría de paneles modernos (como cPanel), no tienes que escribir la clave a mano. Ve a la sección «Email» y busca «Email Deliverability» o «Authentication». Allí verás un botón para «Generar» o «Instalar» el registro DKIM. El sistema lo creará solo en tu zona DNS. Si estás en un VPS manual (Postfix/Exim), tendrás que usar herramientas como opendkim-genkey para generar las claves y luego copiar el contenido del archivo .txt a tu DNS. Es más rollo, pero funciona igual.

Paso 4: Activar DMARC gradualmente

Crea el registro TXT para el host _dmarc. Empieza con p=none. Espera unos días y revisa la bandeja de entrada de la dirección que pusiste en rua. Si ves que tus envíos legítimos pasan SPF y DKIM sin problemas, sube la política a p=quarantine. Finalmente, tras un periodo de estabilidad, configura p=reject. Así garantizas que nadie podrá suplantar tu identidad.

Preguntas Frecuentes

¿Cuánto tardan los cambios DNS en surtir efecto?
Depende. La propagación puede tomar desde unos minutos hasta 48 horas. Sin embargo, para registros SPF, DKIM y DMARC, el cambio suele ser rápido en la mayoría de proveedores, aunque yo recomiendo esperar al menos una hora antes de hacer pruebas.

Tengo todo configurado y sigo llegando a spam. ¿Qué hago?
Si la autenticación técnica es correcta (SPF y DKIM pasan), el problema puede ser de reputación del contenido o de la IP. Asegúrate de no usar palabras sensibles en el asunto y revisa que tu IP no esté en listas negras (RBLs). A veces hace falta una limpieza de reputación profesional.

El último consejo

Configurar SPF DKIM DMARC no es opcional; es una necesidad operativa para cualquier negocio o webmaster. La falta de estos protocolos pone en riesgo la reputación de tu marca y la efectividad de tus comunicaciones. Con los pasos de arriba, puedes transformar tu infraestructura de correo en un sistema seguro y confiable.

Si tras implementar estos registros experimentas problemas técnicos, conflictos de DNS o necesitas una auditoría completa de tu servidor, en RedServicio (redservicio.net) contamos con expertos listos para ayudarte. No dejes que la configuración técnica sea un obstáculo para tu proyecto.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies