Spaceship Blog

¿Qué son SPF, DKIM y DMARC?

Cuando se trata del correo electrónico, la confianza lo es todo. Pero antes de que tu mensaje llegue siquiera a la bandeja de entrada de alguien, tiene que superar unas cuantas comprobaciones de seguridad silenciosas. SPF, DKIM y DMARC deciden si tus correos parecen legítimos o acaban en spam.

Saber cómo funcionan estos registros y cómo configurarlos correctamente puede proteger tu dominio y garantizar que tus mensajes siempre lleguen donde deben.

¿Qué son SPF, DKIM y DMARC en el correo electrónico?

Entre pulsar enviar y que tu correo llegue, comienza una cadena silenciosa de comprobaciones. Cada una plantea la misma pregunta: ¿realmente viene de ti?

SPF, DKIM y DMARC forman un bucle de retroalimentación entre remitente y receptor, verificando tu identidad antes de que tu mensaje salga de tu dominio, cuando llega o en ambos momentos. Juntos, son lo que se interpone entre tu mensaje y la carpeta de spam.

SPF, DKIM y DMARC explicados brevemente:

  • SPF – comprueba si el servidor que envía tu mensaje está en la lista autorizada de tu dominio. Si lo está, el correo pasa. Si no, se marca. Piensa en ello como la lista de invitados de tu dominio.

  • DKIM – añade un sello digital a tu mensaje antes de que salga de tu bandeja de salida. Una vez que llega al otro lado, el servidor receptor abre el sello para asegurarse de que no se ha alterado nada durante el tránsito.

  • DMARC – decide qué ocurre si falla cualquiera de esas comprobaciones. Indica al servidor receptor qué hacer: entregar el mensaje, enviarlo a spam o bloquearlo por completo.

Estos tres trabajan juntos: uno verifica al remitente, otro protege el mensaje y otro hace cumplir las reglas.

¿Por qué son importantes SPF, DKIM y DMARC para la seguridad del correo electrónico?

SPF, DKIM y DMARC protegen frente a dos de las mayores amenazas del correo electrónico actual: el spam y la suplantación. Los atacantes suelen enviar mensajes fingiendo ser alguien que no son. Imagina recibir un correo de Support@yourbank.com pidiéndote que confirmes los datos de tu cuenta. Estas tres comprobaciones se aseguran de que tu “banco” sea realmente tu banco:

En un ataque de phishing, los hackers usan correos falsos para engañar a la gente y conseguir que compartan contraseñas, números de tarjeta de crédito o hagan clic en enlaces maliciosos. Sin estas protecciones, tu dominio podría ser suplantado y los clientes podrían recibir mensajes convincentes que parecerían enviados por ti. Con SPF, DKIM y DMARC en su sitio, esos mensajes falsos suelen detenerse antes de que lleguen a una bandeja de entrada.

  • SPF comprobaría si el correo se envió desde un servidor autorizado.

  • DKIM se aseguraría de que el correo no hubiera sido manipulado durante el tránsito.

  • Si cualquiera de estas comprobaciones fallara, entonces DMARC se aseguraría de que el correo se descartara antes de llegar a tu bandeja de entrada

Del mismo modo, durante un ataque de phishing, los hackers envían correos falsos para engañar a la gente y conseguir que revele contraseñas o haga clic en enlaces peligrosos. Si el dominio de tu empresa no está protegido, podrían hacerse pasar por un empleado y enviar correos a tus clientes pidiéndoles sus datos. Si SPF, DKIM y DMARC están configurados, la mayoría de estos mensajes falsos nunca llegarían a las bandejas de entrada de los clientes, porque los servidores receptores pueden detectar que en realidad no proceden de ti.

Por qué también son importantes para la entregabilidad (no solo para la seguridad)

Si envías boletines, facturas o campañas de marketing, probablemente tu objetivo no sea solo enviar, sino que te vean. Pero como el spam global se ha disparado, grandes proveedores como Gmail y Yahoo han introducido nuevas reglas para mantener limpias las bandejas de entrada.

Desde 2024, estos proveedores exigen a los remitentes autenticar sus dominios con SPF, DKIM y DMARC. Sin ellos, tus correos podrían ser rechazados antes incluso de salir de tu bandeja de salida. Superar estas comprobaciones de forma constante mejora tu reputación como remitente y evita que tus correos acaben en spam. Cuanto mejor sea tu reputación, más rápida será la entrega, menos marcas de spam tendrás y mayor será tu credibilidad. Construir esa reputación en un nuevo dominio de envío —o rehabilitarla en uno dañado— es exactamente para lo que están diseñadas plataformas de warm-up especializadas como Warmy : aumentar gradualmente el volumen saliente en incrementos diarios controlados y generar señales de interacción positivas con los principales proveedores de buzones para que el correo autenticado con SPF, DKIM y DMARC llegue de forma constante a la bandeja de entrada principal en lugar de a promociones o spam.

SPF vs DKIM vs DMARC — ¿Cuál es la diferencia?

Cada vez que subes a un avión, pasas por un proceso casi idéntico a cómo funcionan SPF, DKIM y DMARC. Puede sonar extraño, pero estos tres términos no son precisamente fáciles de recordar, y ayuda tener una forma más sencilla de memorizarlos. Además, sin estos tres configurados, es probable que tu correo acabe igual que tú cuando pierdes la facturación de un vuelo. A la intemperie.

SPF – El primer control de seguridad de tu correo

Cuando llegas al mostrador, listo para embarcar, el agente comprueba tu billete con la lista del vuelo. Si tu nombre está ahí, tienes autorización para volar. Si no, no hay tarjeta de embarque ni vuelo.

SPF funciona igual. Cada dominio, como example.com, mantiene una “lista de pasajeros” o un registro de qué servidores de correo están autorizados a enviar correos en su nombre. Cuando envías un correo, el servidor receptor comprueba si tu servidor de envío está en esa lista. Al configurar tu registro SPF, básicamente estás añadiendo tu nombre al manifiesto para que tus mensajes puedan pasar el control de seguridad sin demora.

DKIM – La comprobación de identidad de tu bandeja de entrada

Una vez que tu billete es válido, llega el momento de demostrar tu identidad. La foto de tu pasaporte confirma que realmente eres tú, una firma física que no se puede falsificar fácilmente. DKIM hace lo mismo, pero para el correo electrónico.

DomainKeys Identified Mail (DKIM) añade una firma digital a cada mensaje saliente. Esta firma demuestra que el correo no ha sido modificado ni manipulado durante el tránsito y evita que se rastree tu correo electrónico. Cuando pulsas enviar, tu servidor firma el correo con una clave privada. Cuando llega, el servidor receptor verifica esa firma, confirmando que el mensaje es auténtico y no ha sido alterado.

DMARC – Qué ocurre cuando algo sale mal

Si llegas al aeropuerto sin billete ni pasaporte, la aerolínea tiene una política clara sobre lo que ocurre después. DMARC funciona igual cuando fallan las comprobaciones de SPF o DKIM.

DMARC indica al servidor receptor qué hacer con el correo si falla la comprobación de SPF o DKIM. Puede:

  • No hacer nada

  • Poner el mensaje en cuarentena (enviarlo a spam)

  • Rechazar el mensaje por completo

Como remitente, tú decides qué regla se aplica. La configuras en tu DNS, definiendo qué ocurre cuando tus mensajes no superan la inspección.

Cómo configurar SPF, DKIM y DMARC para tu dominio

Para configurar SPF, DKIM y DMARC, necesitarás acceso a tu DNS. Aquí es donde apuntan los nameservers de tu dominio, así que será tu registrador o tu proveedor de DNS.

Como mencionamos antes, SPF funciona como una lista de pasajeros que indica a los servidores receptores qué hosts pueden enviar correo para tu dominio. Así que, para configurar SPF, necesitas incluir tu correo en esa lista de pasajeros. Para hacerlo, hay unos cuantos pasos.

1. Comprueba si ya tienes SPF

Empieza usando una herramienta gratuita de búsqueda DNS para comprobar si tu dominio ya tiene un registro SPF. Si la herramienta, en la pestaña TXT, muestra un registro que empieza por v=spf1, significa que SPF ya está configurado para tu dominio.

Si no aparece ningún registro de ese tipo, tendrás que crear un nuevo registro SPF desde cero.

2. Añade un nuevo registro SPF en DNS

Para añadir un nuevo registro SPF, ve a la configuración DNS del host de tu dominio. Podría ser Spaceship, Google, Outlook, etc., según quién sea tu proveedor. Busca la lista de registros existentes y selecciona Añadir registro; después, elige TXT en el menú de tipo.

A continuación, rellena los campos como se muestra abajo para crear tu entrada SPF.

Para Spacemail, tendría este aspecto:Tipo: registro TXT | Host: @ | Valor: v=spf1 include:spf.spacemail.com ~all | TTL: Automático

Guarda y espera unos minutos a que se propague.

3. Verifica el registro

En este punto, puedes hacer otra comprobación con tu herramienta de búsqueda DNS. Si muestra tu valor, todo está correcto. También es importante recordar que el registro del host puede tardar hasta 24 horas en actualizarse, así que no te alarmes si no aparece de inmediato.

Paso 2. Actualiza tu configuración de DKIM

DKIM añade una firma digital a cada correo que envía tu dominio, demostrando que no ha sido manipulado.

1: Genera tu registro DKIM

Empieza en la configuración de tu proveedor de correo electrónico.

  1. Ve a la sección de autenticación de dominio o seguridad del correo electrónico.

  2. Busca una opción llamada DKIM, DomainKeys o algo similar.

  3. Selecciona el botón para generar nuevas claves DKIM.

Tu proveedor te dará dos datos clave:

  • Un selector (por ejemplo, selector1._domainkey)

  • El propio registro DKIM — una larga cadena de texto cifrado

Es buena idea copiar ambos en un lugar seguro, ya que los necesitarás en el siguiente paso.

2: Añade el registro DKIM a tu DNS

A continuación, inicia sesión en tu proveedor de DNS.

  1. Abre tus registros DNS y crea una nueva entrada.

  2. Elige CNAME si el registro es corto, o TXT si es una clave más larga.

  3. En el campo Host o Name, introduce el selector DKIM (por ejemplo, selector1._domainkey).

  4. En el campo Value, pega el registro DKIM de tu proveedor de correo electrónico.

  5. Guarda los cambios.

Dale unos minutos, ya que los cambios de DNS pueden tardar un poco en actualizarse.

Para el correo empresarial Spacemail, puedes configurar un registro DKIM con esta guía.

Paso 3. Añade la configuración de DMARC

Una vez configurados SPF y DKIM, el paso final es DMARC. Solo tienes que añadir un registro TXT más al DNS de tu dominio. Este registro indica a los servidores de correo receptores qué hacer si un correo de tu dominio falla la autenticación, y te da visibilidad sobre quién está enviando correo en tu nombre.

Un registro DMARC tiene algunas partes clave que tendrás que entender antes de añadirlo:

  • v=DMARC1 – esto indica a los servidores de correo que estás usando DMARC. Siempre va primero.

  • p= – Esto establece tu política sobre cómo gestionar los mensajes no autenticados:

  • rua=mailto: – Esto indica a los servidores de correo dónde enviar tus informes DMARC diarios. Puedes usar una dirección como security@yourdomain.com o dmarc@yourdomain.com. Estos informes muestran qué IP están enviando en nombre de tu dominio, ayudándote a detectar cualquier cosa inusual.

1: Genera un registro DMARC para tu dominio

Abre la herramienta Generador de registros DMARC (puedes usar cualquier herramienta generadora de DMARC que prefieras) e introduce tu nombre de dominio en la barra de búsqueda. Cuando termines, haz clic en el botón Check DMARC Record. Personaliza la configuración de DMARC según tus necesidades y obtén el registro generado.

2: Añade tu registro DMARC a la configuración DNS

Ve a tu proveedor de DNS. Crea un nuevo registro seleccionando TXT como tipo de registro del host. DMARC usa un formato de registro TXT, igual que SPF.

Usa host: _dmarcAñade el valor, el que generaste anteriormente

Una vez que lo hayas añadido, guarda los cambios y espera unos minutos a que se propague. Puedes usar herramientas como MX Lookup Tool u otras herramientas gratuitas para comprobar que tu registro DMARC está configurado correctamente.

Puedes usar esta guía para configurar un registro DMARC para tu dominio con Spacemail.

Configurar correctamente tu correo electrónico

Si tus mensajes siguen acabando en spam o desaparecen a mitad de camino, podría deberse a una autenticación ausente. SPF, DKIM y DMARC dan a tus correos las credenciales que necesitan para llegar a la bandeja de entrada de forma segura.

Cuando oyes explicar SPF, DKIM y DMARC, puede sonar complicado, pero lo mejor es que no requieren herramientas costosas ni configuraciones complejas, solo unos pocos registros DNS y un poco de paciencia. Son algunos de los protocolos de correo electrónico más sencillos que puedes añadir a tu sistema de correo y que dan resultado cada vez que tu mensaje llega exactamente donde debe.

Preguntas frecuentes

SPF verifica que tu correo se envía desde un servidor autorizado. La seguridad del correo DKIM funciona firmando cada mensaje con una clave digital para que el receptor sepa que el mensaje no ha sido manipulado. DMARC los une, indicándole al servidor qué hacer si algo parece sospechoso. Juntos, mantienen tus correos fiables, verificados y seguros.

Al comparar DMARC con SPF y DKIM, funcionan mejor como equipo. La autenticación de correo SPF y DKIM realiza las comprobaciones, mientras que DMARC decide qué ocurre si esas comprobaciones fallan. Sin DMARC, tus correos podrían seguir pasando, pero no tendrás control sobre lo que ocurre cuando no lo hacen. Configura los tres una sola vez y cubrirás todos los frentes tanto en seguridad como en entregabilidad.

La suplantación ocurre cuando alguien envía un correo fingiendo ser tú. SPF comprueba de dónde procede el mensaje, DKIM confirma que no ha sido alterado y DMARC bloquea cualquier cosa sospechosa.

Sin DMARC, no hay una regla clara sobre cómo gestionan los servidores de correo los mensajes sospechosos. Eso significa que los correos falsos podrían colarse, o que los reales podrían marcarse como spam. DMARC es la parte que hace cumplir las reglas y, sin él, tu dominio queda desprotegido.

En realidad no, simplemente hacen trabajos diferentes. SPF comprueba quién envía el correo; DKIM comprueba si se ha modificado. Ninguno funciona perfectamente por sí solo, pero juntos crean una sólida primera línea de defensa.


Artículos sugeridos

Comparte tus ideas

Se requieren más de 10 caracteres.
Tu identidad para mostrar públicamente.
Proporcionar tu dirección de correo electrónico es opcional. No se compartirá con terceros.

Ayúdanos a mejorar nuestro blog

Comparte tu opinión en una breve encuesta de dos minutos.

Se requiere un correo electrónico válido