Bitelio

Autenticación de email explicada: SPF, DKIM y DMARC

Autenticación de email explicada: cómo trabajan juntos SPF, DKIM y DMARC para frenar la suplantación de identidad, proteger tu dominio y conseguir que tus emails lleguen a la bandeja de entrada.

Updated July 14, 2026
8 min read

La autenticación de email es el método con el que los servidores de correo receptores deciden si un mensaje que dice provenir de tu dominio es genuino. Se basa en tres estándares apoyados en DNS —SPF, DKIM y DMARC— que funcionan como un sistema para frenar la suplantación de identidad y conseguir que tu correo legítimo llegue a la bandeja de entrada.

Esta guía es el punto de partida para los tres. Veremos por qué importa la autenticación, qué hace cada protocolo y, sobre todo, cómo encajan entre sí; después te enlazaremos a la guía detallada y al verificador gratuito de cada uno.

Por qué importa la autenticación de email

Sin autenticación, cualquiera puede poner tu dominio en la dirección De (From) de un email. Los servidores receptores no tienen una forma fiable de distinguir un mensaje real de una falsificación, así que o bien dejan pasar el correo suplantado —dañando tu marca y a tus clientes— o tratan con sospecha todo lo que procede de tu dominio. La autenticación resuelve ambos problemas a la vez.

Protege frente a la suplantación

Los atacantes suplantan habitualmente dominios de confianza para lanzar ataques de phishing y de compromiso de correo empresarial (BEC). La autenticación permite a los receptores rechazar el correo que no proviene realmente de ti, protegiendo a tus destinatarios y tu reputación.

Mejora la entregabilidad

Los proveedores de buzones de correo dan mucho peso a la autenticación a la hora de decidir entre la bandeja de entrada y la carpeta de spam. El correo correctamente autenticado genera más confianza, lo que se traduce en mejor colocación en la bandeja de entrada y menos mensajes perdidos por los filtros.

Obligatoria para los grandes proveedores

Desde febrero de 2024, Google y Yahoo exigen SPF, DKIM y una política DMARC a cualquiera que envíe más de 5,000 mensajes al día a sus usuarios. La autenticación ha pasado de ser una buena práctica a un requisito básico.

Te da visibilidad

Los informes de DMARC te muestran todas las fuentes que envían email en nombre de tu dominio —incluyendo TI en la sombra y abusos— para que puedas detectar problemas y controlar tus envíos antes de que te cuesten caro.

La autenticación es la base, no toda la casa

Superar SPF, DKIM y DMARC elimina un obstáculo importante para la entregabilidad, pero no garantiza la bandeja de entrada. La reputación del remitente, la calidad del contenido y el engagement siguen importando. La autenticación es la entrada que hace que el resto de tu trabajo cuente.

Los tres protocolos de un vistazo

Cada protocolo responde a una pregunta distinta sobre un email entrante. Así es como se comparan:

ProtocoloQué compruebaRegistro DNS
SPFQué servidores pueden enviar email en nombre de tu dominioTXT en el dominio raíz
DKIMQue el mensaje se firmó y no se alteróTXT en selector._domainkey
DMARCQué hacer en caso de fallo, más informesTXT en _dmarc

SPF: autorizando tus remitentes

SPF (Sender Policy Framework) es una lista publicada de los servidores autorizados a enviar email usando tu dominio. Añades un único registro TXT a tu dominio raíz nombrando cada servicio autorizado, y los servidores receptores rechazan o marcan el correo que llega desde una dirección IP que no está en la lista. SPF valida el servidor de envío, pero puede romperse cuando un mensaje se reenvía, que es exactamente la razón por la que existe DKIM junto a él. Lee la guía completa de SPF o prueba tu registro con el verificador de SPF.

DKIM: firmando tus mensajes

DKIM (DomainKeys Identified Mail) añade una firma criptográfica a cada mensaje saliente. Tu servidor de correo firma con una clave privada, y los receptores obtienen la clave pública correspondiente desde un registro TXT en selector._domainkey.yourdomain.com para verificar la firma. Como la firma cubre las cabeceras y el cuerpo, DKIM demuestra que el mensaje no se manipuló en tránsito, y a diferencia de SPF, sobrevive a la mayoría de los reenvíos. Lee la guía completa de DKIM o verifica tu clave con el verificador de DKIM.

DMARC: estableciendo la política

DMARC (Domain-based Message Authentication, Reporting, and Conformance) se sitúa por encima de SPF y DKIM. Indica a los servidores receptores qué hacer cuando un mensaje falla la autenticación: monitorizar (p=none), poner en cuarentena (p=quarantine) o rechazar (p=reject); y te envía informes agregados sobre todas las fuentes que usan tu dominio. DMARC también exige alineación, asegurando que el dominio autenticado coincide con el que realmente ven tus destinatarios. Lee la guía completa de DMARC o valida tu política con el verificador de DMARC.

Cómo funcionan juntos SPF, DKIM y DMARC

Los tres protocolos no son alternativas, son capas. Cada uno cubre una debilidad de los otros, y DMARC es la pieza que los convierte en un único sistema aplicable. Esto es lo que ocurre cuando un servidor receptor evalúa uno de tus mensajes:

1. SPF y DKIM se ejecutan primero

El receptor comprueba si la IP de envío está autorizada por tu registro SPF y si la firma DKIM del mensaje es válida. Cada comprobación puede superarse o fallar de forma independiente.

2. DMARC comprueba la alineación

DMARC exige que un resultado positivo de SPF o DKIM esté alineado con el dominio que aparece en la cabecera De (From) visible. La alineación es lo que impide que un atacante supere SPF en su propio dominio mientras suplanta el tuyo en la línea De. DMARC se supera si al menos uno de SPF o DKIM se supera y está alineado.

3. La política decide el resultado

Si DMARC se supera, el mensaje se entrega con normalidad. Si falla, el receptor aplica tu política publicada —nada, cuarentena o rechazo— para que seas tú quien controle cómo se gestionan las falsificaciones, en lugar de dejarlo a las suposiciones de cada proveedor.

4. Los informes cierran el círculo

Los receptores te devuelven informes agregados de DMARC, revelando todas las fuentes que envían correo en nombre de tu dominio. Los usas para autorizar servicios legítimos que habías olvidado y para detectar abusos antes de endurecer tu política.

En la práctica, los tres conviven en tu DNS como registros TXT en ubicaciones distintas:

SPF, DKIM & DMARC records for one domain
# SPF — published at the root domain
example.com.                 IN TXT  "v=spf1 include:spf.bitelio.com ~all"

# DKIM — published at the selector your provider gives you
bit._domainkey.example.com.  IN TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEB..."

# DMARC — published at the _dmarc subdomain
_dmarc.example.com.          IN TXT  "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

Por qué necesitas los tres

SPF se rompe con el reenvío, DKIM no dice nada sobre cómo tratar los fallos, y DMARC no puede superarse sin un resultado alineado de SPF o DKIM detrás. Implementa los tres y cada protocolo cubre los puntos ciegos de los demás, dándote la protección superpuesta que los proveedores de buzones de correo ahora esperan.

Lista de verificación para configurar la autenticación de email

Configura los tres protocolos en orden: primero SPF y DKIM, después DMARC, para que DMARC tenga algo alineado sobre lo que construir.

1

Haz inventario de cada fuente de envío

Enumera todos los servicios que envían email en nombre de tu dominio: tu plataforma de email, CRM, servicio de soporte, herramientas de marketing y sistema de facturación. Olvidar uno es la razón más común por la que la autenticación falla más adelante.

2

Publica un único registro SPF

Combina todos los remitentes autorizados en un único registro TXT de SPF en tu dominio raíz, terminado en ~all. Recuerda el límite de 10 consultas DNS: no crees más de un registro SPF.

3

Activa y publica DKIM

Haz que cada servicio de envío genere un par de claves DKIM y publica la clave pública en el selector que proporciona. Activa la firma en todas las fuentes para que ningún correo legítimo salga sin firmar.

4

Inicia DMARC en modo de monitorización

Añade un registro DMARC en _dmarc.yourdomain.com con p=none y una dirección de informes rua. Esto recopila datos sin afectar a la entrega.

5

Revisa los informes y después endurece la política

Lee los informes de DMARC durante dos a cuatro semanas, corrige cualquier fuente legítima que esté fallando y después mueve tu política de p=none a p=quarantine y finalmente a p=reject.

Bitelio configura esto por ti

Cuando añades un dominio en Bitelio, generamos los registros exactos de SPF y DKIM para que los pegues en tu DNS y los verificamos automáticamente, para que puedas centrarte en llevar DMARC a una política de rechazo con confianza.

Cómo verificar tu configuración

Nunca des por hecho que un registro está activo solo porque lo has guardado: los cambios de DNS pueden tardar en propagarse y es fácil cometer errores tipográficos. Verifica cada protocolo de forma independiente:

Como prueba final de extremo a extremo, envía un mensaje a una cuenta de Gmail u Outlook, abre las cabeceras originales y busca spf=pass, dkim=pass y dmarc=pass. Cuando los tres se superan y se alinean, tu dominio está correctamente autenticado.

Profundiza: SPF, DKIM y DMARC

¿Listo para configurar cada protocolo en detalle? Empieza por la guía del que vayas a configurar a continuación.

Preguntas frecuentes

¿Qué es la autenticación de email?

La autenticación de email es un conjunto de estándares basados en DNS que permiten a los servidores de correo receptores verificar que un email realmente proviene del dominio que dice representar. Los tres protocolos principales son SPF (que autoriza los servidores de envío), DKIM (que firma criptográficamente cada mensaje) y DMARC (que indica a los receptores qué hacer cuando SPF o DKIM fallan y te envía informes). Juntos evitan la suplantación de identidad y mejoran drásticamente la entregabilidad.

¿Cuál es la diferencia entre SPF, DKIM y DMARC?

SPF publica una lista de los servidores autorizados a enviar email en nombre de tu dominio, de modo que los receptores puedan rechazar el correo procedente de IPs no autorizadas. DKIM añade una firma criptográfica que demuestra que el mensaje no se alteró durante el tránsito. DMARC une ambos: comprueba que SPF o DKIM se superan y se alinean con la dirección De (From) visible, indica a los receptores si deben monitorizar, poner en cuarentena o rechazar los fallos, y te envía informes sobre quién está enviando correo en nombre de tu dominio. SPF comprueba el servidor, DKIM comprueba el mensaje y DMARC establece la política.

¿Necesito los tres, SPF, DKIM y DMARC?

Sí. SPF por sí solo se rompe cuando el correo se reenvía, y DKIM por sí solo no indica a los receptores qué hacer con los fallos. DMARC necesita que al menos SPF o DKIM esté alineado para superarse, así que tampoco puede funcionar de forma independiente. Configurar los tres te ofrece una cobertura superpuesta, cierra los huecos de suplantación y cumple con los requisitos para remitentes masivos que Google y Yahoo introdujeron en 2024.

¿Cómo compruebo si mi autenticación de email está configurada correctamente?

Pasa cada registro por un verificador gratuito: un verificador de SPF confirma que tu registro se interpreta correctamente y se mantiene por debajo del límite de 10 consultas DNS, un verificador de DKIM comprueba que tu clave pública se resuelve para el selector que usa tu proveedor, y un verificador de DMARC valida la sintaxis de tu política. También puedes enviar un email de prueba a una cuenta de Gmail u Outlook e inspeccionar las cabeceras del mensaje en busca de "spf=pass", "dkim=pass" y "dmarc=pass".

¿Por qué mis emails siguen llegando a spam si SPF, DKIM y DMARC se superan?

La autenticación demuestra quién eres, no si la gente quiere recibir tu correo. Superar SPF, DKIM y DMARC elimina un obstáculo importante para la entregabilidad, pero el envío a la carpeta de spam puede deberse igualmente a una mala reputación de remitente, tasas altas de quejas o rebotes, contenido con aspecto de spam, cabeceras list-unsubscribe ausentes, o el envío a contactos poco receptivos. La autenticación es la base; la reputación y el contenido son el resto de la imagen.