SPF, DKIM y DMARC son los tres registros DNS que determinan si tus correos llegan a la bandeja de entrada o al spam. Desde 2024, Google exige estos estándares de autenticación a todos los remitentes masivos — ignorarlos significa que tus correos acabarán en spam o serán rechazados directamente. Esta guía te muestra la configuración paso a paso.
¿Qué es la autenticación de email y por qué importa?
La autenticación de email es un conjunto de estándares técnicos que permite a los proveedores verificar si un correo realmente proviene del dominio remitente indicado. El problema: el protocolo de correo original (SMTP) no tiene verificación de remitente integrada. Cualquiera puede técnicamente enviar un correo con cualquier dirección de remitente.
Los tres estándares de autenticación resuelven este problema de diferentes maneras:
| Estándar | Mecanismo de protección | Contra |
|---|---|---|
| SPF | Lista blanca de servidores autorizados | Suplantación de identidad desde servidores no autorizados |
| DKIM | Firma criptográfica del mensaje | Manipulación durante la transmisión |
| DMARC | Política para fallos de autenticación | Uso no autorizado de tu dominio |
Por qué los tres son necesarios:
SPF solo puede ser eludido por atacantes que falsifican la dirección "From". DKIM solo no da instrucciones sobre qué hacer con los correos sin firmar. Solo DMARC combina ambos y define una política vinculante.
Desde febrero de 2024, Google exige que todos los remitentes que envíen más de 5.000 correos al día a Gmail configuren SPF, DKIM y DMARC. Microsoft sigue el mismo camino en 2025. Para el cold email, estos estándares ya no son opcionales — son obligatorios.
Configurar SPF — Paso a paso
¿Qué es un registro SPF?
Un registro SPF es una entrada TXT en tu DNS que lista qué servidores pueden enviar correos en tu nombre. Los servidores de correo receptores comprueban esta entrada cuando llega un correo de tu dominio.
La estructura básica de un registro SPF
v=spf1 include:_spf.google.com ~all
Este registro dice: "Todos los servidores de Google Workspace están autorizados a enviar correos para este dominio. Todos los demás servidores deben marcarse como sospechosos."
| Elemento | Significado |
|---|---|
v=spf1 | Versión del protocolo SPF (siempre idéntica) |
include:domain.com | Autoriza todos los servidores del proveedor indicado |
ip4:1.2.3.4 | Autoriza una dirección IPv4 individual |
~all | Soft Fail: marcar otros servidores como sospechosos |
-all | Hard Fail: rechazar otros servidores |
Registros SPF para los proveedores de email más comunes
| Proveedor | Registro SPF |
|---|---|
| Google Workspace | v=spf1 include:_spf.google.com ~all |
| Microsoft 365 | v=spf1 include:spf.protection.outlook.com ~all |
| Zoho Mail | v=spf1 include:zoho.eu ~all |
Regla más importante: Solo se permite un único registro SPF por dominio. Si usas varios proveedores de correo, combínalos en un registro:
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ip4:123.45.67.89 ~all
Jetzt kostenlos starten — ohne Kreditkarte
1 Mailbox · 1 Kampagne · 50 Prospects. Starte in unter 5 Minuten mit anicampaign.io.
Configurar DKIM — La firma digital
Cómo funciona DKIM
DKIM (DomainKeys Identified Mail) usa un par de claves: una clave privada en tu servidor de correo y una clave pública en tu DNS. Cada correo saliente se firma con la clave privada. El servidor receptor lee la clave pública del DNS y verifica la firma — demostrando que el correo viene de ti y no fue alterado en tránsito.
Configuración de DKIM en Google Workspace
- Abre Google Admin Console (admin.google.com)
- Ve a Apps → Google Workspace → Gmail → Autenticación de correo electrónico
- Selecciona tu dominio
- Haz clic en "Generar nuevo registro" (se recomiendan 2048 bits)
- Google te muestra el registro TXT que debes añadir al DNS
- Añade el registro a tu proveedor DNS (Nombre:
google._domainkey, Tipo: TXT) - Espera 15-30 minutos y luego haz clic en "Iniciar autenticación DKIM"
Ejemplo de registro DKIM
Nombre: google._domainkey.tudominio.es
Tipo: TXT
Valor: v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
Configurar DMARC — La política
El modelo de implementación gradual de DMARC
Nunca empieces con una política estricta. El enfoque correcto:
| Fase | Registro | Significado | Duración |
|---|---|---|---|
| Fase 1 | p=none | Solo monitoreo, sin acción | 2-4 semanas |
| Fase 2 | p=quarantine; pct=25 | 25% de correos sospechosos al spam | 2 semanas |
| Fase 3 | p=quarantine; pct=100 | Todos los sospechosos al spam | 2-4 semanas |
| Fase 4 | p=reject | Rechazar correos sospechosos | Permanente |
Configurar el registro DMARC
Fase 1 (inicio):
Nombre: _dmarc.tudominio.es
Tipo: TXT
Valor: v=DMARC1; p=none; rua=mailto:dmarc@tudominio.es; fo=1
Errores comunes y cómo evitarlos
- Múltiples registros SPF: Solo se permite uno. Combina todo en un registro.
- DMARC antes de SPF y DKIM: Configura SPF y DKIM primero, luego DMARC con
p=none. - Demasiadas consultas DNS en SPF: El límite es 10. Minimiza las directivas
include:. - Estado de proxy incorrecto en Cloudflare: Los registros TXT deben estar en "DNS only".
- Empezar directamente con
p=reject: Siempre empieza conp=noney analiza los informes.
Verificación con herramientas
- MXToolbox (mxtoolbox.com): Comprobadores separados para SPF, DKIM y DMARC
- Google Admin Toolbox (toolbox.googleapps.com): Comprueba todos los registros DNS en un paso
- mail-tester.com: Envía un correo real y obtén una puntuación de spam de 0-10
Objetivo: 9/10 o superior en mail-tester.com.
Preguntas frecuentes
¿Qué es SPF y por qué lo necesito?
SPF es un registro DNS que especifica qué servidores pueden enviar correos en nombre de tu dominio. Sin SPF, los proveedores no pueden verificar tus emails y frecuentemente los envían al spam.
¿Cuál es la diferencia entre DKIM y SPF?
SPF verifica si el servidor remitente está autorizado; DKIM firma el correo criptográficamente. Se complementan: SPF protege al remitente, DKIM protege el mensaje en sí.
¿Qué ocurre si configuro DMARC incorrectamente?
Un DMARC mal configurado con política "reject" puede hacer que todos tus correos sean rechazados. Empieza siempre con p=none y cambia a políticas más estrictas solo después de analizar los informes durante 2-4 semanas.
¿Cuánto tiempo tardan en aplicarse los cambios de DNS?
La propagación DNS puede tardar entre 15 minutos y 48 horas; lo típico son 1-4 horas.
¿Necesito SPF, DKIM y DMARC para el cold email?
Sí, los tres son imprescindibles para el cold email profesional. Sin autenticación correcta, tus correos terminarán muy probablemente en spam.