Resumir con IA:



ChatGPT



Perplexity



Gemini



Claude

Si envías más de 5.000 emails al día y aún no has revisado tu autenticación, el problema no es si llegarás a spam – es cuándo. Desde febrero de 2024, Google y Yahoo exigen SPF, DKIM y DMARC como requisitos mínimos para remitentes de volumen. No es una recomendación: es un filtro binario. Data Innovation, que gestiona la entregabilidad de más de diez mil millones de emails mensuales desde Barcelona en más de 10 países, ha documentado que los dominios que migran de p=none a p=reject con alineación correcta experimentan un incremento medio del 18% en tasa de inbox en los primeros 30 días. Esta guía técnica para configurar SPF DKIM DMARC cubre exactamente lo que necesitas implementar, lo que probablemente tienes mal configurado y lo que la mayoría de guías omiten.

SPF: Qué hace realmente y por qué tu registro probablemente está roto

SPF (Sender Policy Framework) le dice al servidor receptor qué IPs están autorizadas a enviar email en nombre de tu dominio. Nada más. No verifica el contenido, no encripta, no firma. Solo responde una pregunta: ¿esta IP tiene permiso para enviar como @tudominio.com?

Formato de un registro SPF correcto

El registro se publica como un TXT en la raíz de tu dominio:

v=spf1 ip4:185.12.34.0/24 include:_spf.google.com include:mail.zendesk.com -all

Puntos críticos que la mayoría ignora:

  • Límite de 10 DNS lookups. Cada include, a, mx y redirect cuenta como un lookup. Superar 10 produce un PermError y tu SPF se invalida por completo. Según datos de Valimail, el 25,4% de los registros SPF publicados en 2024 eran inválidos, muchos por exceder este límite.
  • ~all no es -all. El softfail (~all) era aceptable en 2015. En 2026, usa -all (hardfail) siempre que tengas un inventario completo de tus fuentes de envío.
  • No uses +all bajo ninguna circunstancia. Equivale a autorizar a cualquier servidor del mundo a enviar en tu nombre.

Proceso de auditoría SPF en 3 pasos

  1. Enumera cada plataforma que envía email con tu dominio (ESP, CRM, transaccional, soporte, facturación).
  2. Ejecuta un check de lookups con herramientas como MXToolbox o dmarcian. Si estás en 8 o más, planifica la consolidación con mecanismos ip4/ip6 directos o registros SPF aplanados.
  3. Monitoriza durante 2 semanas antes de cambiar de ~all a -all.

DKIM: La firma que demuestra que el mensaje no fue alterado

DKIM (DomainKeys Identified Mail) añade una firma criptográfica a cada email saliente. El servidor receptor consulta tu clave pública vía DNS y verifica que el contenido no se haya modificado en tránsito. Si SPF valida la IP, DKIM valida el mensaje.

Anatomía de un registro DKIM

selector1._domainkey.tudominio.com IN TXT “v=DKIM1; k=rsa; p=MIIBIjANBgkqhki…”

  • Selector: Identificador único que permite tener múltiples claves DKIM activas simultáneamente (una por ESP, por ejemplo).
  • Longitud de clave: Usa 2048 bits como mínimo. Las claves de 1024 bits son técnicamente vulnerables desde 2023.
  • Rotación: Rota las claves cada 6-12 meses. Publica la nueva clave, configúrala en tu ESP, espera 48 horas de propagación DNS, y solo entonces retira la anterior.

Alineación DKIM: el detalle que decide todo

DMARC requiere que el dominio que firma en DKIM (d=) coincida con el dominio del From: del mensaje. Esto es la alineación. Si tu ESP firma con d=esp.com en lugar de d=tudominio.com, DKIM pasa pero la alineación DMARC falla. Muchos remitentes tienen DKIM técnicamente correcto pero sin valor real para DMARC por este motivo.

Configurar SPF DKIM DMARC: la política que lo une todo

DMARC (Domain-based Message Authentication, Reporting, and Conformance) es la capa que toma decisiones. Lee los resultados de SPF y DKIM, verifica la alineación con el dominio del From:, y le dice al receptor qué hacer si la autenticación falla.

Los tres niveles de política – y por qué p=none no es una política real

  • p=none: Solo monitoriza. No bloquea nada. Útil durante las primeras 4-8 semanas de implementación para recopilar informes. Más allá de eso, estás conduciendo sin cinturón de seguridad.
  • p=quarantine: Los emails que fallan autenticación van a spam. Paso intermedio razonable durante 2-4 semanas.
  • p=reject: Los emails no autenticados se rechazan. Este es el objetivo. Según el informe de Agari de 2024, solo el 31,9% de los dominios con DMARC publicado usan p=reject. El resto está expuesto a spoofing.

Ejemplo de registro DMARC progresivo

_dmarc.tudominio.com IN TXT “v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc-reports@tudominio.com; ruf=mailto:dmarc-forensics@tudominio.com; adkim=s; aspf=s; pct=100”

Nota: adkim=s y aspf=s exigen alineación estricta (strict). En entornos complejos con múltiples subdominios, puedes empezar con r (relaxed) y migrar a estricto una vez tengas control total.

La tabla de errores que nadie publica: 5 configuraciones que parecen correctas pero no lo son

  • SPF válido + DKIM válido + DMARC p=none sin informes configurados. No proteges nada y ni siquiera estás recopilando datos para mejorar. Estás ciego.
  • DKIM con clave de 1024 bits firmando desde el dominio del ESP. La firma pasa pero la alineación DMARC falla. Tu autenticación es cosmética.
  • SPF con 12 includes y ~all. El registro supera el límite de lookups, SPF devuelve PermError, y el softfail lo enmascara. Resultado: sin autenticación efectiva.
  • DMARC en p=reject pero sin política de subdominio (sp=). El dominio raíz está protegido, pero los atacantes usan facturacion.tudominio.com o cualquier subdominio inventado para hacer spoofing.
  • Un solo registro DKIM compartido entre marketing, transaccional y soporte. Si rotas la clave, afectas a todos los flujos simultáneamente. Una falla en la rotación te deja sin email durante horas.

Aislamiento por subdominios: arquitectura para remitentes serios

Los remitentes de alto volumen necesitan separar flujos de email en subdominios dedicados. No es opcional – es la única forma de aislar la reputación y gestionar la autenticación sin conflictos.

  • marketing.tudominio.com → ESP de campañas (Braze, Salesforce MC, etc.)
  • transaccional.tudominio.com → Plataforma transaccional (SendGrid, Mailgun)
  • soporte.tudominio.com → Helpdesk (Zendesk, Freshdesk)

Cada subdominio tiene su propio SPF, su propia clave DKIM y hereda (o sobreescribe) la política DMARC del dominio raíz. Así, un problema de reputación en campañas de marketing no arrastra la entrega de confirmaciones de compra o tickets de soporte. En el trabajo que Data Innovation realizó con Nestlé – recuperando más de 5 millones de euros en ingresos atribuidos a email – el aislamiento por subdominios fue una de las primeras acciones implementadas.

BIMI: la cereza visual (cuando el resto está sólido)

BIMI (Brand Indicators for Message Identification) permite mostrar tu logo verificado junto al email en la bandeja de entrada del destinatario. Gmail, Yahoo Mail y Apple Mail lo soportan. Fastmail y otros proveedores están en proceso.

Requisitos para implementar BIMI:

  1. DMARC en p=quarantine o p=reject (con pct=100).
  2. Logo en formato SVG Tiny PS que cumpla la especificación BIMI.
  3. Certificado VMC (Verified Mark Certificate) emitido por DigiCert o Entrust – coste aproximado de 1.200-1.500 USD/año.

default._bimi.tudominio.com IN TXT “v=BIMI1; l=https://tudominio.com/logo.svg; a=https://tudominio.com/vmc.pem”

¿Merece la pena? Si tu volumen justifica la inversión en reconocimiento de marca en inbox, sí. Pero nunca antes de tener DMARC en p=reject funcionando. BIMI sin autenticación sólida no existe.

El framework de implementación: de cero a p=reject en 90 días

  1. Semana 1-2: Inventario. Documenta cada sistema que envía email con tu dominio. Todos. Incluye ese servidor SMTP olvidado que nadie recuerda haber configurado.
  2. Semana 3-4: SPF y DKIM. Publica registros SPF limpios (bajo 10 lookups) y configura DKIM con claves de 2048 bits y alineación correcta para cada fuente.
  3. Semana 5-6: DMARC p=none con informes. Publica el registro y analiza los informes RUA diariamente. Identifica fuentes legítimas no autenticadas y fuentes maliciosas.
  4. Semana 7-8: Corrección. Autentica las fuentes legítimas faltantes. Verifica la alineación.
  5. Semana 9-10: p=quarantine con pct=50. Aplica cuarentena al 50% del tráfico que falla. Monitoriza impacto en entrega.
  6. Semana 11-12: p=reject con pct=100. Protección completa. Configura sp=reject para subdominios.

El tráfico legítimo que falle después de este proceso es tráfico que tenías mal configurado desde el principio. Mejor descubrirlo tú que dejarlo en manos de los filtros de Google.

Conclusión: configurar SPF DKIM DMARC ya no es opcional

La autenticación de email en 2026 no es un proyecto de mejora – es infraestructura básica. Si tu dominio tiene DMARC en p=none, no tienes protección ni contra spoofing ni contra degradación progresiva de tu reputación como remitente. Si tienes SPF con 14 includes, no tienes SPF. Si tu DKIM firma desde el dominio de tu proveedor, tu alineación DMARC es nula. Configurar SPF DKIM DMARC correctamente, con aislamiento por subdominios y una ruta clara hacia p=reject, es el paso más rentable que puedes dar para proteger tu inversión en email. Si tu equipo necesita validación externa o no tiene la visibilidad técnica para ejecutar este proceso con confianza, es un problema que tiene solución – pero que no se resuelve esperando.

DIAGNÓSTICO GRATUITO – 15 MINUTOS

¿Quieres saber exactamente dónde está tu programa de CRM y email en este momento?

Revisamos tu reputación de dominio, autenticación de email, salud de la lista y datos de engagement – y te damos una imagen clara de qué funciona, qué está perdiendo ingresos y qué corregir primero.

Reserva Tu Diagnóstico Gratuito →