MailHealer
Privacidad © 2026 MailHealer
Guía Completa

Guía Definitiva de SPF, DKIM y DMARC

Todo lo que necesitas saber para configurar correctamente la autenticación de email en tu dominio. Protege tu marca, mejora la entregabilidad y cumple con los requisitos de Gmail y Yahoo.

15 min de lectura
Actualizado: Diciembre 2024
Nivel: Intermedio

Introducción

La autenticación de email es el conjunto de protocolos que permiten verificar que un correo electrónico realmente proviene de quien dice ser el remitente. Sin esta autenticación, cualquiera podría enviar emails haciéndose pasar por tu dominio, lo que se conoce como email spoofing.

Los tres pilares de la autenticación de email son:

  • SPF (Sender Policy Framework): Define qué servidores pueden enviar email en nombre de tu dominio
  • DKIM (DomainKeys Identified Mail): Añade una firma digital a cada email para verificar su autenticidad
  • DMARC (Domain-based Message Authentication): Define qué hacer cuando un email falla SPF o DKIM
Importante desde 2024

Google y Yahoo requieren obligatoriamente SPF, DKIM y DMARC para remitentes que envíen más de 5,000 emails diarios. Sin embargo, es recomendable para todos los dominios.

SPF: Sender Policy Framework

¿Qué es SPF?

SPF es un registro DNS de tipo TXT que especifica qué servidores de correo están autorizados para enviar emails en nombre de tu dominio. Cuando un servidor recibe un email, verifica si la IP del servidor que lo envió está autorizada en el registro SPF del dominio remitente.

Cómo configurar SPF

El registro SPF se añade como un registro TXT en tu zona DNS. La estructura básica es:

Registro TXT v=spf1 [mecanismos] [calificador]all

Mecanismos SPF más usados

Mecanismo Descripción Ejemplo
include: Incluye el SPF de otro dominio include:_spf.google.com
ip4: Autoriza una IP o rango IPv4 ip4:192.168.1.1
ip6: Autoriza una IP o rango IPv6 ip6:2001:db8::/32
a Autoriza la IP del registro A a
mx Autoriza los servidores MX mx

Calificadores para "all"

Calificador Significado Recomendación
-all Hard fail: Rechazar Recomendado para producción
~all Soft fail: Marcar como sospechoso Bueno para empezar
?all Neutral: No hacer nada No recomendado
+all Pass: Aceptar todo Nunca usar

Ejemplo de SPF completo

SPF v=spf1 include:_spf.google.com include:spf.sendinblue.com ip4:203.0.113.5 -all

Este registro autoriza a Google Workspace, Brevo (Sendinblue) y la IP 203.0.113.5 a enviar emails desde tu dominio.

Límite de lookups DNS

SPF tiene un límite de 10 lookups DNS. Cada include, a, mx cuenta como un lookup. Si lo excedes, SPF fallará.

Verifica tu SPF ahora

Comprueba si tu registro SPF está correctamente configurado.

Verificar SPF

DKIM: DomainKeys Identified Mail

¿Qué es DKIM?

DKIM añade una firma digital criptográfica a cada email enviado. Esta firma se genera con una clave privada (que solo tiene tu servidor) y se verifica con una clave pública publicada en tu DNS.

Cuando un servidor recibe un email con firma DKIM:

  1. Extrae el selector y dominio de la cabecera DKIM-Signature
  2. Busca la clave pública en selector._domainkey.tudominio.com
  3. Verifica que la firma del mensaje coincide con la clave pública
  4. Si coincide, confirma que el email no fue modificado en tránsito

Cómo configurar DKIM

A diferencia de SPF, DKIM requiere que tu proveedor de email genere las claves. Tú solo publicas la clave pública en DNS.

Estructura del registro DKIM

Registro TXT Host: selector._domainkey.tudominio.com Valor: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNA...

Selectores comunes por proveedor

Proveedor Selector(es) Dónde obtener la clave
Google Workspace google Admin Console > Gmail > Authenticate email
Microsoft 365 selector1, selector2 Admin > Settings > Domains
Brevo mail Settings > Senders & IPs > Domains
Mailchimp k1, k2 Account > Settings > Domains
SendGrid s1, s2 Settings > Sender Authentication
Recomendación

Usa claves de al menos 2048 bits. Las claves de 1024 bits se consideran débiles actualmente.

Verifica tu DKIM ahora

Comprueba si tu firma DKIM está correctamente configurada.

Verificar DKIM

DMARC: Políticas de Autenticación

¿Qué es DMARC?

DMARC une SPF y DKIM, indicando a los servidores receptores qué hacer cuando un email falla la autenticación. También permite recibir reportes sobre quién está enviando emails usando tu dominio.

Cómo configurar DMARC

DMARC se configura como un registro TXT en _dmarc.tudominio.com.

Las tres políticas DMARC

Política Acción Cuándo usar
p=none Solo monitorizar, no actuar Al empezar, para analizar
p=quarantine Enviar a spam Transición, cuando SPF/DKIM funcionan
p=reject Rechazar completamente Producción, máxima protección

Tags DMARC importantes

Tag Descripción Ejemplo
v Versión (obligatorio) v=DMARC1
p Política principal (obligatorio) p=reject
sp Política para subdominios sp=none
pct Porcentaje de emails afectados pct=100
rua Email para reportes agregados rua=mailto:dmarc@dominio.com
ruf Email para reportes forenses ruf=mailto:forensic@dominio.com

Ejemplo de implementación gradual

Paso 1: Monitorización v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com
Paso 2: Quarantine parcial v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@tudominio.com
Paso 3: Reject completo v=DMARC1; p=reject; rua=mailto:dmarc@tudominio.com

Verifica tu DMARC ahora

Comprueba si tu política DMARC está correctamente configurada.

Verificar DMARC

Cómo Funcionan Juntos

Cuando un servidor recibe un email, el proceso de verificación es:

  1. Verificar SPF: ¿La IP del servidor está autorizada para enviar desde este dominio?
  2. Verificar DKIM: ¿La firma digital del email es válida?
  3. Verificar alineación: ¿El dominio del "From" coincide con los dominios de SPF y DKIM?
  4. Aplicar DMARC: Si falla SPF o DKIM (y no hay alineación), aplicar la política DMARC
Alineación

Para que DMARC pase, el dominio del "From:" debe coincidir (alinear) con el dominio usado en SPF o DKIM. Esta alineación puede ser estricta (exacta) o relajada (incluye subdominios).

Errores Comunes

1. Múltiples registros SPF

Solo puede haber UN registro SPF por dominio. Si tienes varios, combínalos en uno solo.

2. Exceder el límite de 10 lookups DNS

Usa herramientas de "flattening" SPF o elimina includes innecesarios.

3. Olvidar un proveedor de email

Si usas varios servicios (hosting, CRM, newsletter), asegúrate de incluir todos en SPF.

4. Empezar con p=reject

Siempre empieza con p=none para monitorizar antes de bloquear.

5. No configurar reportes DMARC

Sin rua= no sabrás quién está enviando emails con tu dominio.

Verificar tu Configuración

Una vez configurados SPF, DKIM y DMARC, usa nuestras herramientas gratuitas para verificar que todo funciona correctamente:

Verificar SPF Verificar DKIM Verificar DMARC

O usa nuestro generador para crear los registros automáticamente:

Generador de Registros DNS

Artículos Relacionados

Requisitos Gmail/Yahoo 2024

Todo sobre los nuevos requisitos obligatorios de autenticación email.

Blacklist Checker

Verifica si tu IP o dominio está en listas negras de email.

Generador DNS

Genera los registros SPF, DKIM y DMARC para tu dominio.