Autenticación de email explicada: SPF, DKIM y DMARC
Autenticación de email explicada: cómo trabajan juntos SPF, DKIM y DMARC para frenar la suplantación de identidad, proteger tu dominio y conseguir que tus emails lleguen a la bandeja de entrada.
La autenticación de email es el método con el que los servidores de correo receptores deciden si un mensaje que dice provenir de tu dominio es genuino. Se basa en tres estándares apoyados en DNS —SPF, DKIM y DMARC— que funcionan como un sistema para frenar la suplantación de identidad y conseguir que tu correo legítimo llegue a la bandeja de entrada.
Esta guía es el punto de partida para los tres. Veremos por qué importa la autenticación, qué hace cada protocolo y, sobre todo, cómo encajan entre sí; después te enlazaremos a la guía detallada y al verificador gratuito de cada uno.
Por qué importa la autenticación de email
Sin autenticación, cualquiera puede poner tu dominio en la dirección De (From) de un email. Los servidores receptores no tienen una forma fiable de distinguir un mensaje real de una falsificación, así que o bien dejan pasar el correo suplantado —dañando tu marca y a tus clientes— o tratan con sospecha todo lo que procede de tu dominio. La autenticación resuelve ambos problemas a la vez.
Protege frente a la suplantación
Los atacantes suplantan habitualmente dominios de confianza para lanzar ataques de phishing y de compromiso de correo empresarial (BEC). La autenticación permite a los receptores rechazar el correo que no proviene realmente de ti, protegiendo a tus destinatarios y tu reputación.
Mejora la entregabilidad
Los proveedores de buzones de correo dan mucho peso a la autenticación a la hora de decidir entre la bandeja de entrada y la carpeta de spam. El correo correctamente autenticado genera más confianza, lo que se traduce en mejor colocación en la bandeja de entrada y menos mensajes perdidos por los filtros.
Obligatoria para los grandes proveedores
Desde febrero de 2024, Google y Yahoo exigen SPF, DKIM y una política DMARC a cualquiera que envíe más de 5,000 mensajes al día a sus usuarios. La autenticación ha pasado de ser una buena práctica a un requisito básico.
Te da visibilidad
Los informes de DMARC te muestran todas las fuentes que envían email en nombre de tu dominio —incluyendo TI en la sombra y abusos— para que puedas detectar problemas y controlar tus envíos antes de que te cuesten caro.
La autenticación es la base, no toda la casa
Superar SPF, DKIM y DMARC elimina un obstáculo importante para la entregabilidad, pero no garantiza la bandeja de entrada. La reputación del remitente, la calidad del contenido y el engagement siguen importando. La autenticación es la entrada que hace que el resto de tu trabajo cuente.
Los tres protocolos de un vistazo
Cada protocolo responde a una pregunta distinta sobre un email entrante. Así es como se comparan:
| Protocolo | Qué comprueba | Registro DNS |
|---|---|---|
| SPF | Qué servidores pueden enviar email en nombre de tu dominio | TXT en el dominio raíz |
| DKIM | Que el mensaje se firmó y no se alteró | TXT en selector._domainkey |
| DMARC | Qué hacer en caso de fallo, más informes | TXT en _dmarc |
SPF: autorizando tus remitentes
SPF (Sender Policy Framework) es una lista publicada de los servidores autorizados a enviar email usando tu dominio. Añades un único registro TXT a tu dominio raíz nombrando cada servicio autorizado, y los servidores receptores rechazan o marcan el correo que llega desde una dirección IP que no está en la lista. SPF valida el servidor de envío, pero puede romperse cuando un mensaje se reenvía, que es exactamente la razón por la que existe DKIM junto a él. Lee la guía completa de SPF o prueba tu registro con el verificador de SPF.
DKIM: firmando tus mensajes
DKIM (DomainKeys Identified Mail) añade una firma criptográfica a cada mensaje saliente. Tu servidor de correo firma con una clave privada, y los receptores obtienen la clave pública correspondiente desde un registro TXT en selector._domainkey.yourdomain.com para verificar la firma. Como la firma cubre las cabeceras y el cuerpo, DKIM demuestra que el mensaje no se manipuló en tránsito, y a diferencia de SPF, sobrevive a la mayoría de los reenvíos. Lee la guía completa de DKIM o verifica tu clave con el verificador de DKIM.
DMARC: estableciendo la política
DMARC (Domain-based Message Authentication, Reporting, and Conformance) se sitúa por encima de SPF y DKIM. Indica a los servidores receptores qué hacer cuando un mensaje falla la autenticación: monitorizar (p=none), poner en cuarentena (p=quarantine) o rechazar (p=reject); y te envía informes agregados sobre todas las fuentes que usan tu dominio. DMARC también exige alineación, asegurando que el dominio autenticado coincide con el que realmente ven tus destinatarios. Lee la guía completa de DMARC o valida tu política con el verificador de DMARC.
Cómo funcionan juntos SPF, DKIM y DMARC
Los tres protocolos no son alternativas, son capas. Cada uno cubre una debilidad de los otros, y DMARC es la pieza que los convierte en un único sistema aplicable. Esto es lo que ocurre cuando un servidor receptor evalúa uno de tus mensajes:
1. SPF y DKIM se ejecutan primero
El receptor comprueba si la IP de envío está autorizada por tu registro SPF y si la firma DKIM del mensaje es válida. Cada comprobación puede superarse o fallar de forma independiente.
2. DMARC comprueba la alineación
DMARC exige que un resultado positivo de SPF o DKIM esté alineado con el dominio que aparece en la cabecera De (From) visible. La alineación es lo que impide que un atacante supere SPF en su propio dominio mientras suplanta el tuyo en la línea De. DMARC se supera si al menos uno de SPF o DKIM se supera y está alineado.
3. La política decide el resultado
Si DMARC se supera, el mensaje se entrega con normalidad. Si falla, el receptor aplica tu política publicada —nada, cuarentena o rechazo— para que seas tú quien controle cómo se gestionan las falsificaciones, en lugar de dejarlo a las suposiciones de cada proveedor.
4. Los informes cierran el círculo
Los receptores te devuelven informes agregados de DMARC, revelando todas las fuentes que envían correo en nombre de tu dominio. Los usas para autorizar servicios legítimos que habías olvidado y para detectar abusos antes de endurecer tu política.
En la práctica, los tres conviven en tu DNS como registros TXT en ubicaciones distintas:
# SPF — published at the root domain
example.com. IN TXT "v=spf1 include:spf.bitelio.com ~all"
# DKIM — published at the selector your provider gives you
bit._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEB..."
# DMARC — published at the _dmarc subdomain
_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"Por qué necesitas los tres
SPF se rompe con el reenvío, DKIM no dice nada sobre cómo tratar los fallos, y DMARC no puede superarse sin un resultado alineado de SPF o DKIM detrás. Implementa los tres y cada protocolo cubre los puntos ciegos de los demás, dándote la protección superpuesta que los proveedores de buzones de correo ahora esperan.
Lista de verificación para configurar la autenticación de email
Configura los tres protocolos en orden: primero SPF y DKIM, después DMARC, para que DMARC tenga algo alineado sobre lo que construir.
Haz inventario de cada fuente de envío
Enumera todos los servicios que envían email en nombre de tu dominio: tu plataforma de email, CRM, servicio de soporte, herramientas de marketing y sistema de facturación. Olvidar uno es la razón más común por la que la autenticación falla más adelante.
Publica un único registro SPF
Combina todos los remitentes autorizados en un único registro TXT de SPF en tu dominio raíz, terminado en ~all. Recuerda el límite de 10 consultas DNS: no crees más de un registro SPF.
Activa y publica DKIM
Haz que cada servicio de envío genere un par de claves DKIM y publica la clave pública en el selector que proporciona. Activa la firma en todas las fuentes para que ningún correo legítimo salga sin firmar.
Inicia DMARC en modo de monitorización
Añade un registro DMARC en _dmarc.yourdomain.com con p=none y una dirección de informes rua. Esto recopila datos sin afectar a la entrega.
Revisa los informes y después endurece la política
Lee los informes de DMARC durante dos a cuatro semanas, corrige cualquier fuente legítima que esté fallando y después mueve tu política de p=none a p=quarantine y finalmente a p=reject.
Bitelio configura esto por ti
Cuando añades un dominio en Bitelio, generamos los registros exactos de SPF y DKIM para que los pegues en tu DNS y los verificamos automáticamente, para que puedas centrarte en llevar DMARC a una política de rechazo con confianza.
Cómo verificar tu configuración
Nunca des por hecho que un registro está activo solo porque lo has guardado: los cambios de DNS pueden tardar en propagarse y es fácil cometer errores tipográficos. Verifica cada protocolo de forma independiente:
Verificador de SPF
Confirma que tu registro se interpreta correctamente y se mantiene por debajo del límite de 10 consultas DNS.
Verificador de DKIM
Comprueba que la clave pública se resuelve para el selector con el que firma tu proveedor.
Verificador de DMARC
Valida la sintaxis de tu política y las direcciones de informes.
Como prueba final de extremo a extremo, envía un mensaje a una cuenta de Gmail u Outlook, abre las cabeceras originales y busca spf=pass, dkim=pass y dmarc=pass. Cuando los tres se superan y se alinean, tu dominio está correctamente autenticado.
Profundiza: SPF, DKIM y DMARC
¿Listo para configurar cada protocolo en detalle? Empieza por la guía del que vayas a configurar a continuación.