SPF, DKIM y DMARC: Guía Completa

Introducción: por qué estas configuraciones son esenciales

Google, Microsoft y los principales proveedores de correo aplican políticas estrictas de autenticación. Si tu dominio no prueba su identidad, los mensajes pueden acabar en spam o ser rechazados. Para organizaciones que envían newsletters, facturas o notificaciones críticas, la autenticación puede marcar la diferencia entre 90% y 30% de entregabilidad.

Capítulo 1 — Qué es SPF, DKIM y DMARC

SPF (Sender Policy Framework)

SPF define qué servidores están autorizados a enviar correo en nombre de tu dominio. Se publica como un registro TXT en el DNS.

DKIM (DomainKeys Identified Mail)

DKIM firma digitalmente el correo con una clave privada y publica la clave pública en DNS para que el receptor verifique la integridad del mensaje.

DMARC (Domain-based Message Authentication Reporting & Conformance)

DMARC coordina SPF y DKIM y dicta la política que deben aplicar los receptores cuando un mensaje no pasa las comprobaciones. También habilita reportes para monitoreo.

Capítulo 2 — Prerrequisitos

• Acceso al panel DNS del dominio (cPanel, Cloudflare, DonWeb, Nic.ar, etc.).
• Inventario de servicios que envían correos (CRMs, plataformas de newsletter, facturación, CMS, etc.).
• Acceso a los servidores o al admin del servicio SMTP para generar claves DKIM.

Capítulo 3 — Cómo configurar SPF (paso a paso)

SPF se publica en DNS como un registro TXT. Ejemplo base:

v=spf1 a mx ip4:TU_IP ip6:TU_IPV6 include:spf.proveedor -all

Buenas prácticas:

• Tener un solo registro SPF por dominio.
• No exceder los 10 DNS lookups (includes).
• Usar -all para política estricta cuando estés seguro.

Ejemplo realista

v=spf1 a mx ip4:200.45.12.34 include:servers.dominio.net include:_spf.google.com -all

Capítulo 4 — Cómo configurar DKIM

DKIM requiere generar una pareja de claves y publicar la pública en DNS. Formato:

selector._domainkey.tu-dominio.com TXT "v=DKIM1; k=rsa; p=CLAVE_PUBLICA"

Recomendaciones:

• Usar RSA 2048 bits.
• Un selector por servicio (ej.: default, mail2025).
• Renovar claves cada 2–3 años.

Capítulo 5 — Cómo configurar DMARC

DMARC se publica en _dmarc.tu-dominio.com. Ejemplo inicial (modo monitor):

v=DMARC1; p=none; rua=mailto:reportes@tu-dominio.com; ruf=mailto:reportes@tu-dominio.com; fo=1

Política final recomendada:

v=DMARC1; p=reject; rua=mailto:reportes@tu-dominio.com; pct=100; adkim=s; aspf=s

Capítulo 6 — Verificación

Herramientas útiles: MXToolbox, dmarcian, DNSChecker. También podés verificar enviando un correo a Gmail y revisando "Ver original" para confirmar SPF: PASS, DKIM: PASS, DMARC: PASS.

Capítulo 7 — Interpretación de reportes DMARC

Los reportes agregados (rua) contienen resúmenes por IP que envían con tu dominio. Buscá IPs desconocidas, servicios no configurados o volúmenes inusuales.

Capítulo 8 — Errores comunes

• Múltiples registros SPF (invalida SPF).
• Includes excesivos que superan 10 lookups.
• Claves DKIM cortadas o mal copiadas en DNS.
• Activar p=reject sin monitorear los reportes.

Capítulo 9 — Configuraciones por tipo de empresa

Incluye recomendaciones para pymes con newsletters, e-commerce con WooCommerce, empresas con servidores internos y grandes organizaciones con múltiples MTAs.

Capítulo 10 — Checklist final

• 1 registro SPF, probado y con menos de 10 lookups.
• DKIM RSA 2048 publicado y verificado.
• DMARC en monitor, luego quarantine y finalmente reject.

Conclusión

Implementar correctamente SPF, DKIM y DMARC no solo mejora la entregabilidad, sino que protege la reputación del dominio y reduce suplantaciones. Para empresas con altos volúmenes de envío es una inversión imprescindible.

Recursos y enlaces útiles

• Cómo enviar mailing masivo sin problemas: 10 tips fundamentales
• Gestión de correos rebotados/rechazados
• Cómo evitar ser bloqueado en Hotmail, Gmail, Yahoo

¿Querés que implementemos estas configuraciones en tu dominio? Contactanos