Saltar al contenido
(+381) 60 3535 720
Mi cuenta
BeoHosting
BeoHosting
Mi cuentaContacto
(+381) 60 3535 720
 
Email

Cómo configurar los registros SPF, DKIM y DMARC

BeoHosting Team··10 min de lectura de lectura
Cómo configurar los registros SPF, DKIM y DMARC

Por qué importan los registros de autenticación de correo

Cada día se envían más de 300 000 millones de correos electrónicos, y se estima que casi la mitad son spam o intentos de phishing. Los atacantes falsifican habitualmente la dirección del remitente (campo De) para hacerse pasar por empresas o personas legítimas; esta técnica se denomina suplantación de correo (email spoofing). Sin los mecanismos de protección adecuados, cualquiera puede enviar un correo que parezca proceder de tu dominio, engañando potencialmente a tus clientes, socios o empleados. SPF, DKIM y DMARC son tres registros DNS interrelacionados que, en conjunto, forman un sistema de autenticación de correo y protegen tu dominio del abuso.

Más allá de la protección frente a la suplantación, estos registros influyen directamente en la entrega de tus correos legítimos. Gmail, Outlook y otros grandes proveedores de correo son cada vez más estrictos con las comprobaciones de autenticación, por lo que es importante contar con un hosting de correo profesional con la configuración correcta: desde febrero de 2024, Gmail exige DKIM y DMARC a quien envíe más de 5000 correos al día. Sin registros correctamente configurados, tus correos profesionales pueden acabar en la carpeta de spam o ser rechazados por completo.

SPF (Sender Policy Framework)

Cómo funciona SPF

SPF es un registro TXT de DNS que define qué servidores están autorizados a enviar correo en nombre de tu dominio. Cuando el servidor de correo de un destinatario recibe un mensaje de tu dominio, comprueba el registro SPF en el DNS para determinar si el servidor del remitente está en la lista de autorizados. Si el servidor no está en la lista, el correo puede marcarse como sospechoso o rechazarse. SPF comprueba la dirección del remitente del sobre (MAIL FROM), no la cabecera De que ve el usuario, una distinción importante para entender cómo funciona SPF junto con DMARC.

Crear un registro SPF

El registro SPF se añade como registro TXT en el DNS de tu dominio. El formato básico empieza con v=spf1, que indica la versión, seguido de los mecanismos que definen los remitentes autorizados, y termina con un calificador que determina qué hacer con los remitentes no autorizados. Por ejemplo, para un dominio que utiliza BeoHosting para el correo y Google Workspace para el correo corporativo, el registro SPF tendría este aspecto: v=spf1 include:_spf.beohosting.com include:_spf.google.com -all. El mecanismo include incorpora los registros SPF de otro dominio, y -all al final significa que el resto de los servidores no están autorizados y el correo debe rechazarse.

Errores habituales con SPF

El error más frecuente es superar el límite de 10 consultas DNS. Cada mecanismo include, a y mx requiere una consulta DNS, y si tienes demasiados, la validación SPF falla automáticamente. La solución es utilizar los mecanismos ip4 e ip6, que no consumen consultas, o consolidar los includes. Otro error habitual es usar la virgulilla en lugar del signo menos al final: ~all es un soft fail que solo marca el correo como sospechoso en lugar de rechazarlo, mientras que -all es un hard fail más seguro. El tercer error es olvidar añadir todos los servicios que envían correo en tu nombre: correos transaccionales, plataformas de newsletter, sistemas CRM y herramientas de helpdesk.

DKIM (DomainKeys Identified Mail)

Cómo funciona DKIM

DKIM utiliza criptografía de clave pública para firmar los correos salientes. Tu servidor de correo añade una firma digital en la cabecera de cada mensaje mediante una clave privada que solo conoce tu servidor. El servidor del destinatario localiza la clave pública en el DNS de tu dominio y la utiliza para verificar la firma. Si la firma coincide, demuestra dos cosas: que el correo se envió realmente desde un servidor controlado por el propietario del dominio y que el contenido del correo no se modificó en tránsito. A diferencia de SPF, que solo comprueba la dirección IP del remitente, DKIM confirma la integridad del propio mensaje.

Generar claves DKIM

Las claves DKIM se generan como un par de clave privada y clave pública. La clave privada se instala en el servidor de correo y se utiliza para firmar los mensajes. La clave pública se publica como un registro TXT de DNS en un subdominio concreto, con el formato selector._domainkey.tudominio.com. El selector es una cadena arbitraria que identifica la clave, por ejemplo default o google. La longitud mínima recomendada de la clave es de 2048 bits; las claves más cortas, de 1024 bits, se consideran inseguras. La mayoría de los proveedores de hosting y servicios de correo generan automáticamente las claves DKIM y te facilitan únicamente el registro DNS que debes añadir.

Configurar DKIM

Para configurar DKIM en BeoHosting, accede a cPanel y busca la sección de autenticación de correo, donde DKIM suele estar ya activado. Para Google Workspace, ve a la Consola de administración, después a Aplicaciones, Gmail, Autenticar correo electrónico, y genera la clave DKIM. Google te facilita un registro TXT que debes añadir al DNS. Para Microsoft 365, el proceso es similar: en el Centro de administración de Exchange habilitas DKIM para cada dominio y añades dos registros CNAME al DNS. Tras añadir los registros DNS, espera hasta 48 horas para la propagación del DNS, aunque por lo general bastan 1 o 2 horas.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

Cómo funciona DMARC

DMARC integra SPF y DKIM en un sistema unificado y define qué debe hacer el servidor del destinatario con un correo que no supera la autenticación. DMARC introduce el concepto de alineación (alignment): comprueba si el dominio de la cabecera De (la que ve el usuario) coincide con el dominio que superó la comprobación de SPF o DKIM. Esto es clave, porque SPF y DKIM por sí mismos no protegen la cabecera De que los usuarios ven realmente. DMARC introduce además un sistema de informes que te envía informes diarios sobre quién envía correo desde tu dominio y si supera la autenticación.

Crear un registro DMARC

El registro DMARC se añade como registro TXT en el subdominio _dmarc.tudominio.com. El registro básico tiene este aspecto: v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com. La etiqueta v indica la versión, p define la política (none, quarantine o reject) y rua es la dirección de correo para recibir los informes agregados. Recomendamos un enfoque gradual: empieza con p=none para solo hacer un seguimiento de quién envía correo desde tu dominio sin bloquear nada; tras analizar los informes, pasa a p=quarantine para que los correos sospechosos vayan a spam; y, por último, activa p=reject para rechazar por completo los correos no autorizados.

Políticas de DMARC

La política none es un modo de monitorización que no afecta a la entrega del correo, pero te envía informes. Utilízala durante las primeras 2 a 4 semanas para identificar todos los servicios legítimos que envían correo desde tu dominio y añadirlos a la configuración de SPF y DKIM. La política quarantine indica al servidor del destinatario que coloque los correos sospechosos en la carpeta de spam; es un buen paso intermedio que protege a los destinatarios pero no bloquea por completo los correos en caso de errores de configuración. La política reject es la más estricta y rechaza por completo los correos que no superan la autenticación; actívala solo cuando tengas la certeza de que todas las fuentes legítimas están correctamente configuradas.

Analizar los informes DMARC

Los informes agregados de DMARC llegan en formato XML y contienen información sobre las direcciones IP que envían correo desde tu dominio, si superaron las comprobaciones de SPF y DKIM, y el porcentaje de correos que pasan la autenticación. Los informes XML en bruto son difíciles de leer, así que recomendamos utilizar herramientas gratuitas como DMARC Analyzer, dmarcian o la herramienta DMARC de Postmark, que visualizan los datos y simplifican el análisis. El análisis periódico de los informes revela el uso no autorizado de tu dominio y ayuda a optimizar la configuración.

Probar la configuración

Herramientas de prueba en línea

Después de configurar los registros, no olvides probar la configuración. MXToolbox es una herramienta completa que comprueba los registros SPF, DKIM y DMARC y muestra resultados detallados con explicaciones de los errores. Mail-tester.com puntúa la configuración general del correo en una escala del 1 al 10: envía un correo de prueba a una dirección generada y obtendrás un informe detallado. Google Postmaster Tools muestra cómo ve Gmail tus correos e identifica problemas de autenticación. Específicamente para DKIM, utiliza la herramienta DKIMCore para verificar los registros DNS o envía un correo a check-auth@verifier.port25.com para una comprobación automática.

Comprobación desde la línea de comandos

Para usuarios técnicos, los registros DNS se pueden comprobar directamente desde un terminal. El comando dig TXT tudominio.com comprueba el registro SPF. Para DKIM utiliza dig TXT selector._domainkey.tudominio.com, donde selector es tu selector DKIM. Para DMARC utiliza dig TXT _dmarc.tudominio.com. En Windows usa nslookup con el tipo TXT. Estos comandos muestran los valores reales del DNS y ayudan a identificar problemas con la propagación o el formato de los registros.

Resolución de problemas habituales

  • El correo va a spam: comprueba que SPF, DKIM y DMARC se superen todos; utiliza el análisis de cabeceras del correo recibido para ver los resultados de autenticación.
  • SPF PermError: demasiadas consultas DNS; consolida los mecanismos include o usa direcciones IP directamente.
  • Fallo de DKIM: comprueba si la clave pública está correctamente publicada en el DNS y si el selector del DNS coincide con el selector que utiliza el servidor de correo.
  • Fallo de alineación de DMARC: el dominio del campo De no coincide con el dominio de la comprobación de SPF o DKIM; es habitual con servicios de correo de terceros.
  • La newsletter rebota: añade tu servicio de newsletter (Mailchimp, SendinBlue) al registro SPF y habilita la firma DKIM desde su panel.
  • Correos transaccionales rechazados: las plataformas SaaS que envían correo en tu nombre deben incluirse en SPF y tener firma DKIM.

Conclusión

Configurar correctamente los registros SPF, DKIM y DMARC es ya obligatorio para todo dominio que envíe correos. Estos registros protegen tu marca de la suplantación, mejoran la entrega de los correos legítimos y ofrecen visibilidad sobre quién envía correo desde tu dominio. Empieza con SPF, añade DKIM y, a continuación, habilita DMARC en modo de monitorización y endurece la política de forma gradual. En BeoHosting configuramos automáticamente SPF y DKIM para todas las cuentas de hosting y ofrecemos soporte técnico para configurar DMARC, con el objetivo de que tus correos lleguen siempre a la bandeja de entrada y no a la carpeta de spam.

BeoHosting Team

10+ años de experiencia — Especialistas en alojamiento web e infraestructura

  • Web Hosting
  • WordPress Hosting
  • VPS
  • Dedicated Serveri
  • Domeni
  • SSL
  • cPanel
  • LiteSpeed
  • Linux administracija
  • DNS

Última actualización:

Artículos relacionados

Cómo configurar un correo electrónico profesional para tu empresa

11. avgust 2025.

Cómo evitar que tus correos acaben en spam

10. avgust 2025.

Etiqueta del email en la comunicación empresarial

1. septembar 2025.
Volver al blogMás de la categoría: Email