Saltar al contenido principal
Moshipp

Menú

InicioDominiosDesarrollo WebNosotrosContacto
Área de Clientes
Guías

SPF, DKIM y DMARC: cómo evitar que tus correos vayan a SPAM

Guía técnica para configurar SPF, DKIM y DMARC en tu dominio. Mejora la entregabilidad de tus correos en Google Workspace y Microsoft 365.

Equipo Moshipp9 de mayo de 202612 min de lectura
Sobre de correo y candado representando autenticación de email
Foto: Unsplash

¿Tus correos importantes llegan a la carpeta de SPAM de tus clientes? ¿Recibes “delivery failed” sin razón aparente? ¿Te dijeron que enviaste un correo que tú nunca mandaste? Estos problemas se resuelven con tres registros DNS: SPF, DKIM y DMARC.

Esta guía te explica qué hace cada uno, cómo configurarlos paso a paso, y cómo verificar que tu correo profesional llegue donde debe llegar.

¿Por qué necesitas estos 3 registros?

Sin SPF/DKIM/DMARC, cualquiera puede falsificar correos desde tu dominio. Tu cliente recibe un email que dice ser “facturacion@tuempresa.com”, pero lo envió un atacante desde otro servidor. Resultado:

  • Phishing en tu nombre.
  • Pérdida de confianza.
  • Bloqueo de tus correos legítimos.
  • Tu dominio termina en blacklists.

Desde 2024, Gmail y Microsoft 365 exigen estos 3 registros para que tus correos lleguen al inbox sin problemas, especialmente si envías más de 5.000 correos al día. Para empresas medianas y grandes, configurar SPF/DKIM/DMARC ya no es opcional.

Sin estos registros, vas al SPAM directo

Desde febrero 2024, Gmail rechaza o marca como spam los correos masivos sin SPF, DKIM ni DMARC alineado. Si usas tu dominio para enviar newsletters, facturas o notificaciones automáticas, configurarlos es obligatorio.

SPF: Sender Policy Framework

Qué hace

SPF es una lista pública de qué servidores tienen permiso para enviar correos en nombre de tu dominio. Cuando alguien recibe un email “from: tuempresa.com”, verifica el SPF y confirma si el servidor remitente está autorizado.

Cómo se ve un registro SPF

Es un registro TXT en el DNS del dominio:

v=spf1 include:_spf.google.com include:spf.mandrillapp.com -all

Significa:

  • v=spf1: versión del protocolo.
  • include:...: incluye servidores autorizados (Google Workspace, Mandrill, etc.).
  • -all: rechaza todo lo demás (estricto). Otras opciones: ~all (soft fail), ?all (neutral).

Configuración paso a paso

1. Identifica qué servicios envían correo desde tu dominio:

  • Google Workspace, Microsoft 365.
  • Plataformas de marketing: Mailchimp, Mailgun, Brevo, Mandrill, Sendgrid.
  • ERP/CRM que envía facturas: HubSpot, Salesforce, Zoho.
  • Tu propio servidor (si envías desde un VPS).

2. Entra al panel del dominio (cPanel, Registrar, Cloudflare):

  • Busca DNS Zone Editor o DNS Records.

3. Crea un registro TXT con nombre @ (raíz del dominio) y valor:

Para solo Google Workspace:

v=spf1 include:_spf.google.com ~all

Para solo Microsoft 365:

v=spf1 include:spf.protection.outlook.com ~all

Para Google Workspace + Mailchimp:

v=spf1 include:_spf.google.com include:servers.mcsv.net ~all

4. Importante: solo puede existir UN registro SPF por dominio. Si combinas varios servicios, mete todos los include: en un solo registro.

Errores comunes en SPF

  • Múltiples SPF: si tienes dos registros TXT con v=spf1, ambos invalidan. Combínalos.
  • Más de 10 lookups: SPF tiene límite de 10 includes encadenados. Pasarlo invalida el registro.
  • Usar -all sin auditar bien: puede bloquear correos legítimos. Empieza con ~all y endurece después.

DKIM: DomainKeys Identified Mail

Qué hace

DKIM firma criptográficamente tus correos. El servidor receptor verifica que la firma corresponde a la clave pública publicada en tu DNS. Esto demuestra:

  1. Que el correo viene de quien dice venir (autenticidad).
  2. Que el contenido no se alteró en tránsito (integridad).

Cómo se ve un registro DKIM

Es un TXT en un subdominio especial:

Nombre: google._domainkey
Valor: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCB...

El “selector” (google aquí) lo define cada proveedor. Microsoft usa selector1 y selector2, otros varían.

Configuración paso a paso

Para Google Workspace:

  1. Entra a https://admin.google.com.
  2. Apps → Google Workspace → Gmail → Autenticar el correo electrónico.
  3. Selecciona tu dominio.
  4. Click en Generar nuevo registro (longitud de clave: 2048 bits).
  5. Google muestra el valor a copiar. Algo como: 
    v=DKIM1; k=rsa; p=MIIBIjANBgkq...
  6. En tu DNS, crea un TXT con:
    • Nombre: google._domainkey
    • Valor: el que copiaste.
  7. Vuelve al admin de Google y click en Iniciar autenticación.

Espera 24-48 horas para propagación DNS. El admin de Google mostrará un check verde cuando esté activo.

Para Microsoft 365:

  1. Entra a https://admin.microsoft.com.
  2. Configuración → Dominios → tu dominio → DNS records.
  3. Microsoft muestra los CNAMEs que debes crear: 
    selector1._domainkey.tudominio.com → selector1-tudominio-com._domainkey.organización.onmicrosoft.com
selector2._domainkey.tudominio.com → selector2-tudominio-com._domainkey.organización.onmicrosoft.com
  4. Crea ambos CNAMEs en tu DNS.
  5. Vuelve a Seguridad → Email & collaboration → Policies → DKIM.
  6. Habilita DKIM para tu dominio.

Diferencias clave Google vs Microsoft

  • Google publica un solo TXT con la clave pública.
  • Microsoft usa 2 CNAMEs que apuntan a su infraestructura (rotación automática de claves). Ambos funcionan igual de bien. No necesitas elegir; configura DKIM en cada proveedor que uses.

Para Mailchimp, Sendgrid, Mailgun, etc.:

Cada plataforma genera sus propios DKIMs. Ve a su panel → “DNS records” o “Domain authentication” y copia los CNAMEs/TXT que indique.

DMARC: Domain-based Message Authentication, Reporting & Conformance

Qué hace

DMARC le dice al servidor receptor qué hacer cuando SPF o DKIM fallan. Sin DMARC, los fallos pasan silenciosos. Con DMARC, defines:

  • Reject: rechaza el correo (no llega).
  • Quarantine: manda a spam.
  • None: solo monitorea, no actúa.

Además, DMARC envía reportes diarios a un correo tuyo con todos los intentos de envío desde tu dominio. Te enteras de quién intenta suplantarte.

Cómo se ve un registro DMARC

Es un TXT en el subdominio _dmarc:

Nombre: _dmarc
Valor: v=DMARC1; p=quarantine; rua=mailto:dmarc@tudominio.com; pct=100; sp=quarantine; adkim=s; aspf=s

Significa:

  • p=quarantine: política — manda al spam si falla.
  • rua=mailto:...: dónde enviar reportes agregados.
  • pct=100: aplica al 100% de los correos.
  • sp=quarantine: política para subdominios.
  • adkim=s: DKIM alignment strict.
  • aspf=s: SPF alignment strict.

Estrategia recomendada de implementación

Fase 1 — Monitoreo (primeras 2-4 semanas):

v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com

Política none significa: no rechaces nada, solo enviame reportes. Así sabes quién envía correos legítimos desde tu dominio sin romper nada.

Fase 2 — Cuarentena (después de revisar reportes):

v=DMARC1; p=quarantine; rua=mailto:dmarc@tudominio.com; pct=25

Marca el 25% de correos sospechosos como spam.

Fase 3 — Rechazo total (cuando todo esté limpio):

v=DMARC1; p=reject; rua=mailto:dmarc@tudominio.com; pct=100; sp=reject

Rechaza correos no autenticados al 100%. Máxima protección.

No saltes directo a p=reject

Pasar de “sin DMARC” a p=reject puede bloquear correos legítimos que pasaste por alto (un sistema de tickets, ERP, formularios que envían en tu nombre). Empieza con p=none, revisa reportes, luego quarantine, y solo finalmente reject.

Configuración paso a paso

  1. Crea el correo dmarc@tudominio.com (o usa uno existente).

  2. En el DNS, crea un TXT con nombre _dmarc y valor:

    v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com

  3. Espera 24 horas para propagación.

  4. Lee los reportes que llegarán (son XML, parecidos a basura pero contienen información oro). Herramientas para visualizarlos:

  5. Después de 2-4 semanas, sube a quarantine y luego a reject.

Cómo verificar que SPF/DKIM/DMARC funcionan

Herramienta 1: MXToolbox

https://mxtoolbox.com → ingresa tu dominio → verifica cada registro individualmente.

Herramienta 2: Mail-Tester

  1. Ve a https://www.mail-tester.com → te dan una dirección random.
  2. Envía un correo desde tu cuenta principal a esa dirección.
  3. Click en “check your score”.

Te dan score de 10 y te muestra:

  • Si SPF pasa.
  • Si DKIM pasa.
  • Si DMARC pasa.
  • Otros factores (contenido del correo, reputación IP).

Meta: 10/10.

Herramienta 3: Cabecera del correo

Envía un correo de prueba a tu Gmail/Outlook personal. Abre el mensaje → Mostrar original / Ver encabezados. Busca:

Authentication-Results: spf=pass dkim=pass dmarc=pass

Si los 3 dicen pass, todo bien.

Casos especiales

Subdominios

Si envías desde notificaciones.tudominio.com o facturacion.tudominio.com, cada subdominio puede tener su propio SPF/DKIM. DMARC con sp=reject cubre subdominios automáticamente.

BIMI (bono)

Si ya tienes DMARC con p=quarantine o p=reject, puedes añadir BIMI: muestra el logo de tu empresa en Gmail al lado del correo. Requiere SVG del logo + certificado VMC (~$1500 USD/año). Útil para grandes marcas.

Envíos desde apps externas

WordPress envía correos desde el servidor de hosting, no desde Google. Para que estos correos pasen SPF, necesitas:

  • SMTP relay vía Google Workspace, Mailgun, Brevo (recomendado).
  • O añadir al SPF el ip4: de tu servidor de hosting.

Plugin recomendado: WP Mail SMTP (configura un SMTP externo en WP).

Errores típicos en deliverability

SíntomaCausa probable
Correo va a SPAM aunque pase SPF/DKIMReputación de IP baja, contenido sospechoso, lista comprada
Delivery failed: ip blockedTu IP está en una blacklist (Spamhaus, etc.)
Pasa DKIM pero no DMARCFalta de alineación (el From: no coincide con el dominio firmado)
Funciona en Gmail pero no en OutlookMicrosoft tiene sus propias reglas; configura SmartScreen Sender Score
Reportes DMARC dicen “domain not found”Servicios viejos que no actualizaron tu dominio

Preguntas frecuentes

¿Cuánto tarda en propagar el DNS?

Normalmente 1-4 horas, hasta 48 horas en casos extremos. Depende del TTL del registro y del servidor DNS recursivo del destinatario. Para probar rápido, usa `dig _dmarc.tudominio.com TXT` desde la terminal.

¿Necesito DKIM si ya tengo SPF?

Sí. SPF solo verifica la IP del servidor remitente. DKIM verifica que el contenido no fue alterado, lo cual SPF no hace. Gmail y Microsoft ya exigen ambos para deliverability óptima.

¿Puedo tener varios DKIMs?

Sí, uno por proveedor (uno para Google, uno para Mailchimp, uno para Sendgrid, etc.). Cada uno usa un selector diferente (google._domainkey, mc._domainkey, s1._domainkey, etc.) y no entran en conflicto.

¿Los reportes DMARC consumen mucho ancho de banda?

No. Son archivos XML/CSV pequeños (50 KB - 5 MB diarios para empresas medianas). Reciben 5-20 reportes diarios de los principales proveedores (Google, Microsoft, Yahoo, etc.).

¿Qué hago si recibo un reporte DMARC que muestra suplantación?

Si ves IPs desconocidas intentando enviar como tu dominio, considera: (1) reportar a Spamhaus, (2) escalar tu DMARC a `p=reject`, (3) habilitar BIMI si aplicable. Si las IPs son tuyas (un servicio que olvidaste configurar), añádelas al SPF.

¿Microsoft 365 requiere configuración diferente?

Para SPF y DMARC: configuración estándar igual a Google. Para DKIM: Microsoft usa CNAMEs (no TXT directo) y rota claves automáticamente. Se habilita en el centro de seguridad después de crear los CNAMEs.

Si cambio de Google Workspace a Microsoft 365, ¿qué pasa con los registros?

Debes actualizar SPF (cambiar `_spf.google.com` por `spf.protection.outlook.com`), crear los nuevos CNAMEs de DKIM de Microsoft, y eventualmente eliminar el DKIM viejo de Google. DMARC no cambia (es independiente del proveedor).

Conclusión

Configurar SPF, DKIM y DMARC toma 30-60 minutos en total, pero resuelve el problema más frustrante del correo corporativo: que los emails legítimos lleguen al destino y que nadie suplante tu dominio.

La inversión vale la pena: deliverability sólida, protección antiphishing, y cumplimiento con los requisitos de Gmail y Outlook 2024+. Si tienes un dominio profesional y aún no configuraste estos 3 registros, hazlo esta semana.

Si tu empresa todavía usa correos @gmail.com o @hotmail.com para clientes, valora migrar a Google Workspace o Microsoft 365 — ambos incluyen SPF/DKIM listos y guías oficiales para activar DMARC.

Sigue aprendiendo

Disco duro externo conectado a una laptop representando una copia de seguridad

Backups: estrategia 3-2-1 completa para WordPress y VPS

Guía para implementar la estrategia de backup 3-2-1 en WordPress y VPS. Plugins, scripts y servicios para que nunca pierdas tu sitio.

Leer más
Laptop sobre escritorio con carta y elementos de oficina profesional

Cómo configurar un correo profesional con tu dominio paso a paso

Tutorial para crear un correo profesional tipo info@tuempresa.com con Google Workspace o Microsoft 365. Configuración DNS, MX, SPF y guía de uso.

Leer más
Escritorio de trabajo con laptop, libreta y accesorios de oficina

Google Workspace vs Microsoft 365: cuál elegir en 2026

Comparamos Google Workspace vs Microsoft 365 en precio, apps, colaboración y seguridad. Descubre cuál suite conviene a tu empresa en Colombia.

Leer más
Migración sin complicaciones

¿Migrar desde otro proveedor de hosting?

¿Estás cansado de la falta de rapidez y seguridad en tu sitio web? ¡Migra a Moshipp y obtén un servicio de hosting de calidad superior!

Solicitar migraciónVer planes
Más de 10,000 sitios web migrados con éxito