Si tu correo sigue cayendo en spam, o te han dicho que "configures SPF, DKIM y DMARC" y no tienes idea de por dónde empezar, esta guía es el mapa. Estos tres registros son la columna vertebral de la autenticación de correo — el sistema que usan los proveedores de buzón para decidir si un mensaje realmente vino de tu dominio o de alguien que te suplanta. Hazlo bien y tu correo será de confianza; déjalos fuera y quedarás a merced de los filtros de spam.

Por qué el correo necesita autenticación

El protocolo que transporta el correo, SMTP, fue diseñado en una era de confianza mutua y no tiene forma incorporada de verificar al remitente. Cualquiera puede conectarse a un servidor de correo y afirmar ser billing@yourbank.com. Ese diseño abierto es exactamente lo que explotan los spammers y phishers. La autenticación de correo agrega la prueba que falta: un conjunto de registros DNS que permiten a los servidores receptores confirmar criptográfica y administrativamente que un mensaje fue autorizado por el dominio del que dice provenir.

Desde febrero de 2024, Google y Yahoo exigen que todos los remitentes se autentiquen, y los remitentes masivos deben publicar una política DMARC. La autenticación ya no es opcional ni "avanzada" — es el precio de entrada al buzón.

Los tres registros, en lenguaje claro

SPF — quién tiene permiso para enviar

SPF (Sender Policy Framework) es una lista publicada de los servidores y servicios autorizados a enviar correo usando tu dominio. Agregas un registro TXT que nombra a tu proveedor — por ejemplo include:_spf.google.com para Google Workspace. Cuando un servidor receptor recibe un mensaje, revisa si el servidor de envío aparece en tu lista. Si no aparece, es un punto en contra del mensaje.

DKIM — prueba de que el mensaje no fue falsificado ni alterado

DKIM (DomainKeys Identified Mail) adjunta una firma criptográfica a cada mensaje que envías. Tu proveedor de correo firma cada mensaje con una clave privada; la clave pública correspondiente vive en tu DNS. El receptor obtiene la clave pública, verifica la firma y confirma dos cosas: que el mensaje realmente vino de tu dominio y que nada en él fue manipulado durante el tránsito.

DMARC — qué hacer cuando las verificaciones fallan, y a quién avisar

DMARC (Domain-based Message Authentication, Reporting & Conformance) une a los otros dos. Les dice a los servidores receptores qué hacer con el correo que falla SPF y DKIM — no hacer nada, enviarlo a spam o rechazarlo de plano — y les pide que te envíen reportes que muestran quién está enviando correo como tu dominio. Sin DMARC, SPF y DKIM siguen funcionando, pero no tienes política ni visibilidad.

Cómo funcionan juntos: la alineación

La pieza que hace poderoso a DMARC es la alineación. No basta con que SPF o DKIM simplemente pasen — el dominio que autentican debe coincidir con el dominio de la dirección From: visible. Un spammer puede hacer fácilmente que SPF pase para su propio dominio, pero no puede hacer que se alinee con el tuyo. DMARC pasa solo cuando al menos uno de SPF o DKIM pasa y se alinea con el dominio From:. Ese requisito de alineación es lo que realmente detiene la suplantación.

En una frase: SPF lista a tus remitentes, DKIM firma tu correo y DMARC aplica una política y reporta abusos — y la alineación garantiza que todo esté ligado al dominio que tus destinatarios realmente ven.

El orden en que conviene configurarlos

  1. SPF primero. Es el más simple — un registro TXT que lista tus servicios de envío. La mayoría de los proveedores te dan el valor exacto a publicar.
  2. DKIM después. Activa la firma en la consola de administración de tu proveedor de correo; te dará un registro (o dos) para agregar al DNS. Una vez publicado, tu correo queda firmado.
  3. DMARC al final. Activa una política DMARC solo cuando SPF y DKIM ya estén pasando, y empieza en modo de monitoreo (p=none) para poder leer los reportes antes de endurecerla. Saltar directo a p=reject puede bloquear tu propio correo legítimo.

Errores comunes

"Tengo SPF, así que estoy cubierto." SPF por sí solo no detiene la suplantación de tu dirección From: visible, y se rompe cuando el correo se reenvía. También necesitas DKIM y DMARC.

"DMARC bloqueará mi correo." Solo si configuras una política de aplicación antes de que tu correo real se autentique. Empezado correctamente, en p=none, DMARC no cambia nada de la entrega — solo reporta.

"Esto es una configuración de una sola vez." Cada vez que agregas un nuevo servicio de envío (una plataforma de boletines, un CRM, una mesa de ayuda), debes autorizarlo en SPF e, idealmente, hacer que firme con DKIM, o su correo fallará tu política DMARC.

Revisa cómo estás

La forma más rápida de ver tu estado actual es consultar los tres a la vez. El chequeo completo de dominio de MXHelper reporta SPF, DKIM y DMARC juntos, marca lo que falta o está mal configurado y te da pasos específicos por proveedor para corregir cada uno. Desde ahí puedes leer las guías más profundas sobre SPF, DKIM y cómo configurar DMARC.