Cada día, tu empresa envía decenas o cientos de emails: facturas, presupuestos, newsletters, notificaciones. Pero, ¿cuántos llegan realmente a la bandeja de entrada del destinatario? Si no has configurado correctamente SPF, DKIM y DMARC, la respuesta probablemente es: menos de los que crees.
En 2026, Google y Microsoft han endurecido drásticamente los requisitos de autenticación para el correo electrónico. Los remitentes que no cumplan con estas normas verán sus emails rechazados o enviados directamente a spam. Esta guía técnica explica cómo configurar SPF, DKIM, DMARC y BIMI paso a paso, con ejemplos reales de registros DNS y las herramientas necesarias para verificar que todo funciona correctamente.
Por qué tus emails llegan a spam
Antes de entrar en la configuración, es fundamental entender por qué un email legítimo puede acabar en la carpeta de spam:
- Falta de autenticación: sin SPF, DKIM y DMARC, los servidores receptores no pueden verificar que el email proviene realmente de tu dominio.
- Reputación del dominio o IP: si tu dominio o la IP de tu servidor de envío tiene mala reputación (por envíos anteriores marcados como spam), tus emails serán penalizados.
- Contenido sospechoso: asuntos con mayúsculas excesivas, palabras como «GRATIS», «URGENTE», exceso de imágenes sin texto, enlaces acortados.
- Infraestructura incorrecta: registros DNS mal configurados, falta de reverse DNS (PTR), certificado TLS ausente.
- Listas de contactos sucias: enviar a direcciones inexistentes o que no han dado consentimiento genera bounces y reportes de spam.
La buena noticia: la mayoría de estos problemas se resuelven con una configuración técnica correcta. Y eso es exactamente lo que vamos a hacer.
SPF: Sender Policy Framework
Qué es SPF y cómo funciona
SPF es un registro DNS de tipo TXT que indica qué servidores están autorizados a enviar correo en nombre de tu dominio. Cuando un servidor receptor recibe un email de tu dominio, consulta tu registro SPF para verificar si el servidor que lo envió está en la lista de autorizados.
El proceso es:
- Tu servidor envía un email desde [email protected].
- El servidor receptor consulta el registro SPF de tudominio.com en el DNS.
- Si la IP del servidor emisor está incluida en el SPF, el check pasa (PASS).
- Si no está incluida, el resultado es FAIL o SOFTFAIL.
v=spf1— versión del protocolo (siempre spf1).include:_spf.google.com— autoriza los servidores de Google Workspace.include:servers.mcsv.net— autoriza los servidores de Mailchimp.~all— softfail: los emails desde otros servidores no están autorizados pero no se rechazan directamente (se marcan).- Más de 10 lookups DNS: SPF tiene un límite de 10 consultas DNS (cada
includeya/mxcuenta). Superar este límite provoca un permerror y el SPF falla completamente. Solución: usarip4:directamente cuando sea posible o herramientas de «flattening» de SPF. - Múltiples registros SPF: solo puede existir un registro TXT SPF por dominio. Si tienes dos, ambos son inválidos.
- Usar
+all: esto autoriza a cualquier servidor a enviar desde tu dominio. Nunca uses+all. - Olvidar servicios de terceros: si usas un CRM, herramienta de email marketing o sistema de ticketing que envía emails con tu dominio, debe estar en el SPF.
- Autenticidad: el email fue realmente enviado por alguien con acceso a la clave privada de tu dominio.
- Integridad: el contenido del email no fue modificado en tránsito.
- Tu servidor genera un par de claves (pública y privada).
- La clave privada se usa para firmar cada email saliente (se añade una cabecera
DKIM-Signature). - La clave pública se publica como registro DNS TXT.
- El servidor receptor extrae el selector de la cabecera DKIM, consulta la clave pública en DNS y verifica la firma.
- Accede a Admin Console > Apps > Google Workspace > Gmail > Autenticación de email.
- Selecciona tu dominio y haz clic en Generar nuevo registro.
- Elige la longitud de clave: 2048 bits (recomendado).
- Google te proporcionará un registro TXT que debes añadir en tu DNS.
- Usa siempre claves de 2048 bits como mínimo.
- Rota las claves al menos una vez al año.
- Configura DKIM para todos los servicios que envían email con tu dominio.
- Verifica que la firma DKIM incluya las cabeceras relevantes (From, To, Subject, Date, MIME-Version).
p=none: solo monitorización. No se toma ninguna acción sobre los emails que fallan. Úsala para empezar y analizar los informes.p=quarantine: los emails que fallan la autenticación se envían a la carpeta de spam.p=reject: los emails que fallan la autenticación se rechazan directamente. No llegan al destinatario.- Semana 1-4:
p=none— recopilar informes y analizar quién envía email con tu dominio. - Semana 5-8: corregir SPF y DKIM para todos los servicios legítimos identificados.
- Semana 9-12:
p=quarantine; pct=25— empezar a actuar sobre un porcentaje pequeño. - Semana 13-16:
p=quarantine; pct=100— cuarentena total. - Semana 17+:
p=reject— rechazo total de emails no autenticados. - DMARC Analyzer (dmarcanalyzer.com)
- Postmark DMARC (dmarc.postmarkapp.com) — herramienta gratuita excelente
- EasyDMARC (easydmarc.com)
- Google Postmaster Tools — para ver la reputación de tu dominio en Gmail
- DMARC en
p=quarantineop=reject: es un requisito obligatorio. Sin DMARC estricto, no hay BIMI. - Logo en formato SVG Tiny PS: no cualquier SVG vale. Debe cumplir el estándar SVG Tiny 1.2 Portable/Secure.
- VMC (Verified Mark Certificate) — opcional pero recomendado para Gmail: un certificado emitido por una autoridad certificadora (DigiCert o Entrust) que verifica que el logo es una marca registrada tuya. Coste: ~1.200-1.500 USD/año.
l=— URL del logo SVG (debe ser accesible públicamente por HTTPS).a=— URL del certificado VMC (opcional, pero necesario para Gmail).- SPF y DKIM configurados correctamente.
- DMARC con al menos
p=none. - Tasa de spam reportado inferior al 0,3 % (monitorizable en Google Postmaster Tools).
- Cabecera List-Unsubscribe funcional en emails comerciales.
- TLS para la conexión de envío.
- SPF con PASS obligatorio.
- DKIM firmado obligatorio.
- DMARC con al menos
p=noney alineación SPF o DKIM. - MX Lookup: verifica tus registros MX.
- SPF Record Lookup: analiza tu SPF y detecta errores.
- DKIM Lookup: verifica la clave pública DKIM publicada en DNS.
- DMARC Lookup: comprueba tu política DMARC.
- Email Health Report: análisis completo de todos los registros DNS relacionados con email.
- Tasa de spam reportado.
- Reputación de dominio e IP.
- Errores de autenticación (SPF, DKIM, DMARC).
- Tasa de encriptación TLS.
- Revisar informes DMARC semanalmente las primeras semanas, mensualmente después.
- Monitorizar Google Postmaster Tools si envías volumen a Gmail.
- Ejecutar tests con mail-tester.com cada vez que cambies la configuración de envío.
- Verificar tras cada cambio de DNS que SPF, DKIM y DMARC siguen funcionando.
- Alertar si la tasa de spam sube por encima del 0,1 % (umbral de alarma).
Cómo crear un registro SPF
Un registro SPF se añade como un registro TXT en la zona DNS de tu dominio. La sintaxis básica es:
v=spf1 [mecanismos] [modificador]Ejemplo para una empresa que usa Google Workspace y Mailchimp:
v=spf1 include:_spf.google.com include:servers.mcsv.net ~allDesglose:
Ejemplo para una empresa con servidor propio + Microsoft 365 + Brevo:
v=spf1 ip4:203.0.113.50 include:spf.protection.outlook.com include:sendinblue.com ~allMecanismos SPF más comunes
| Mecanismo | Descripción | Ejemplo |
|---|---|---|
ip4: | Autoriza una IP o rango IPv4 | ip4:203.0.113.50 o ip4:203.0.113.0/24 |
ip6: | Autoriza una IP o rango IPv6 | ip6:2001:db8::1 |
include: | Incluye el SPF de otro dominio | include:_spf.google.com |
a | Autoriza la IP del registro A del dominio | a |
mx | Autoriza las IPs de los registros MX | mx |
all | Aplica a todo lo demás | -all (reject) o ~all (softfail) |
Errores comunes en SPF
DKIM: DomainKeys Identified Mail
Qué es DKIM y cómo funciona
DKIM añade una firma criptográfica a cada email enviado. El servidor receptor verifica esta firma contra una clave pública publicada en tu DNS. Esto garantiza dos cosas:
El proceso técnico:
Configurar DKIM paso a paso
#### Para Google Workspace:
El registro tendrá este formato:
Nombre: google._domainkey.tudominio.com
Tipo: TXT
Valor: v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA... (clave pública)#### Para Microsoft 365:
Microsoft genera automáticamente registros DKIM con registros CNAME:
Nombre: selector1._domainkey.tudominio.com
Tipo: CNAME
Valor: selector1-tudominio-com._domainkey.tudominio.onmicrosoft.com
Nombre: selector2._domainkey.tudominio.com
Tipo: CNAME
Valor: selector2-tudominio-com._domainkey.tudominio.onmicrosoft.comDespués, activa DKIM desde el portal de seguridad de Microsoft 365 en Email & collaboration > Policies > DKIM.
#### Para servidores propios (Postfix/OpenDKIM):
# 1. Instalar OpenDKIM
apt install opendkim opendkim-tools
# 2. Generar las claves
opendkim-genkey -s mail -d tudominio.com -b 2048
# 3. El fichero mail.txt contiene el registro DNS a publicar
cat mail.txt
# 4. El fichero mail.private es la clave privada que usa OpenDKIM
# Configurar en /etc/opendkim.conf y reiniciarBuenas prácticas DKIM
DMARC: Domain-based Message Authentication, Reporting and Conformance
Qué es DMARC y por qué es imprescindible
DMARC es la pieza que une SPF y DKIM. Define la política que deben aplicar los servidores receptores cuando un email falla la autenticación, y te envía informes sobre quién está enviando email con tu dominio.
Sin DMARC, aunque tengas SPF y DKIM configurados, los servidores receptores no saben qué hacer cuando fallan. Con DMARC, tú decides: ignorar, poner en cuarentena o rechazar.
Las tres políticas DMARC
Cómo configurar DMARC
DMARC se configura como un registro TXT en el subdominio _dmarc:
Ejemplo de política inicial (monitorización):
Nombre: _dmarc.tudominio.com
Tipo: TXT
Valor: v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1Ejemplo de política intermedia (cuarentena parcial):
v=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected]; fo=1Esto envía a spam solo el 25 % de los emails que fallan (permite una transición gradual).
Ejemplo de política estricta (rechazo total):
v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; adkim=s; aspf=s; fo=1Parámetros DMARC explicados
| Parámetro | Descripción | Valores |
|---|---|---|
v | Versión del protocolo | DMARC1 (siempre) |
p | Política para el dominio | none, quarantine, reject |
sp | Política para subdominios | none, quarantine, reject |
pct | Porcentaje de emails afectados | 1–100 (default: 100) |
rua | Email para informes agregados | mailto:[email protected] |
ruf | Email para informes forenses | mailto:[email protected] |
adkim | Alineación DKIM | r (relaxed) o s (strict) |
aspf | Alineación SPF | r (relaxed) o s (strict) |
fo | Opciones de informe forense | 0, 1, d, s |
Ruta recomendada de implementación DMARC
No saltes directamente a p=reject sin pasar por las fases anteriores. Podrías bloquear emails legítimos de servicios que olvidaste incluir en tu SPF o configurar con DKIM.
Interpretar los informes DMARC
Los informes agregados (rua) llegan como archivos XML comprimidos. Herramientas gratuitas para analizarlos:
Estos informes te mostrarán exactamente qué IPs envían email con tu dominio, cuáles pasan SPF/DKIM y cuáles fallan.
BIMI: tu logo en la bandeja de entrada
Qué es BIMI
BIMI (Brand Indicators for Message Identification) es el estándar que permite mostrar el logo de tu empresa junto a los emails que envías, directamente visible en la bandeja de entrada de Gmail, Apple Mail y otros clientes compatibles.
Cuando un destinatario ve tu logo verificado junto al email, la confianza y las tasas de apertura aumentan significativamente. Estudios indican que BIMI puede mejorar el open rate entre un 10 y un 39 %.
Requisitos para implementar BIMI
Configurar BIMI
El registro DNS de BIMI es sencillo:
Nombre: default._bimi.tudominio.com
Tipo: TXT
Valor: v=BIMI1; l=https://tudominio.com/logo.svg; a=https://tudominio.com/vmc.pemSin VMC, tu logo aparecerá en Apple Mail y Yahoo, pero no en Gmail. Para máxima visibilidad, el VMC es una inversión que merece la pena para empresas con volumen de envío relevante.
Requisitos de Google y Microsoft para 2026
Requisitos de Google para remitentes masivos
Desde febrero de 2024, Google exige a los remitentes que envían más de 5.000 emails diarios a cuentas Gmail:
En 2026, Google ha extendido estos requisitos progresivamente a todos los remitentes, no solo los masivos. Los dominios sin SPF, DKIM y DMARC experimentan tasas de entrega significativamente inferiores incluso para emails transaccionales.
Requisitos de Microsoft (Outlook/Hotmail)
Microsoft ha seguido una línea similar. Desde 2025, los dominios que envían más de 5.000 emails diarios a direcciones Outlook/Hotmail deben cumplir:
Microsoft también evalúa la reputación del remitente a través de su Smart Network Data Services (SNDS) y rechaza activamente emails de dominios con autenticación deficiente.
Herramientas para verificar tu configuración
MXToolbox
mxtoolbox.com es la herramienta de referencia:
mail-tester.com
Envía un email de prueba a la dirección que te proporcionan y recibes una puntuación del 1 al 10 con un desglose detallado de qué funciona y qué falla: SPF, DKIM, DMARC, contenido del email, listas negras, etc. Es la forma más rápida y visual de diagnosticar problemas.
Google Postmaster Tools
Para remitentes que envían volumen a Gmail, postmaster.tools.google.com muestra:
Herramientas CLI para diagnóstico
# Verificar registro SPF
dig TXT tudominio.com +short | grep spf
# Verificar registro DKIM (sustituir 'google' por tu selector)
dig TXT google._domainkey.tudominio.com +short
# Verificar registro DMARC
dig TXT _dmarc.tudominio.com +short
# Verificar registro BIMI
dig TXT default._bimi.tudominio.com +short
# Enviar email de prueba y ver cabeceras completas
swaks --to [email protected] --from [email protected] \
--server smtp.tudominio.com --tlsErrores frecuentes y cómo solucionarlos
Error 1: SPF con demasiados includes
Síntoma: SPF devuelve permerror o temperror.
Causa: más de 10 lookups DNS.
Solución: reemplazar include: por ip4: cuando conozcas las IPs fijas, o usar un servicio de SPF flattening como autospf.com o dmarcly.com.
Error 2: DKIM con clave de 1024 bits
Síntoma: algunos proveedores rechazan la firma DKIM.
Causa: claves de 1024 bits se consideran insuficientes en 2026.
Solución: regenerar con 2048 bits y publicar la nueva clave pública.
Error 3: DMARC sin informes configurados
Síntoma: no sabes si tu autenticación funciona.
Causa: falta el parámetro rua= en el registro DMARC.
Solución: añadir rua=mailto:[email protected] y usar una herramienta de análisis.
Error 4: subdominios sin protección
Síntoma: alguien envía phishing desde facturacion.tudominio.com.
Causa: DMARC del dominio principal no protege subdominios por defecto.
Solución: añadir sp=reject al registro DMARC del dominio principal, o crear registros DMARC individuales para subdominios.
Error 5: servicios de terceros no autenticados
Síntoma: los emails de tu CRM, newsletter o sistema de facturación llegan a spam.
Causa: el servicio envía con tu dominio pero no está en tu SPF ni tiene DKIM.
Solución: consultar la documentación del proveedor, añadir su include: al SPF y configurar DKIM con su selector.
Ejemplo completo: configuración DNS para tudominio.com
Así quedaría una configuración completa para una empresa que usa Google Workspace para email corporativo, Brevo para newsletters y tiene su web en un VPS propio:
; SPF - Autoriza Google, Brevo y el VPS
tudominio.com. IN TXT "v=spf1 include:_spf.google.com include:sendinblue.com ip4:203.0.113.50 ~all"
; DKIM - Google Workspace
google._domainkey.tudominio.com. IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqh..."
; DKIM - Brevo
brevo._domainkey.tudominio.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqG..."
; DMARC - Política reject con informes
_dmarc.tudominio.com. IN TXT "v=DMARC1; p=reject; sp=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; adkim=r; aspf=r; fo=1"
; BIMI - Logo verificado
default._bimi.tudominio.com. IN TXT "v=BIMI1; l=https://tudominio.com/brand/logo-bimi.svg; a=https://tudominio.com/brand/vmc.pem"
; PTR (reverse DNS) - Configurar en el proveedor del VPS
50.113.0.203.in-addr.arpa. IN PTR mail.tudominio.com.Para empresas que alojan su infraestructura en nuestro servicio de VPS administrado, configuramos todos estos registros como parte del despliegue inicial, garantizando la máxima entregabilidad desde el primer día.
Monitorización continua de la deliverability
Configurar SPF, DKIM y DMARC no es un «configúralo y olvídate». Es necesaria una monitorización continua:
En LaudeMMedia, nuestro servicio de administración de sistemas 24×7 incluye monitorización de la deliverability del email como parte de la gestión integral de la infraestructura.
Preguntas frecuentes sobre SPF, DKIM, DMARC y BIMI
¿Es obligatorio tener SPF, DKIM y DMARC?
Técnicamente no es «obligatorio», pero en la práctica sí. Desde 2024-2025, Google y Microsoft rechazan o envían a spam los emails de dominios sin autenticación. En 2026, no tener SPF, DKIM y DMARC equivale a que tus emails no lleguen.
¿Puedo configurar DMARC sin DKIM?
DMARC requiere que al menos uno de los dos (SPF o DKIM) pase la autenticación y esté alineado con el dominio del From. Se recomienda encarecidamente tener ambos configurados para máxima fiabilidad.
¿Cuánto tarda en propagarse un cambio de SPF/DKIM/DMARC?
Los registros DNS tienen un TTL (Time To Live). Con un TTL estándar de 3600 segundos (1 hora), los cambios se propagan en 1-4 horas en la mayoría de los casos. Algunos resolvers DNS pueden tardar hasta 24-48 horas.
¿Qué pasa si configuro DMARC en reject y algo falla?
Los emails que no pasen la autenticación serán rechazados por el servidor receptor. El remitente recibirá un bounce (mensaje de error). Por eso es crucial seguir la ruta gradual: none > quarantine > reject.
¿BIMI funciona en todos los clientes de email?
No. En 2026, BIMI es soportado por Gmail (con VMC), Apple Mail, Yahoo/AOL y Fastmail. Microsoft Outlook ha anunciado soporte pero la implementación aún es parcial. La cobertura combinada ya supera el 70 % de los usuarios de email.
¿Necesito BIMI si soy una PYME?
BIMI es más impactante para empresas con alto volumen de envío de emails comerciales o newsletters. Para PYMES con envío bajo, la prioridad debe ser tener SPF, DKIM y DMARC correctamente configurados. BIMI puede implementarse después como mejora.
¿SPF, DKIM y DMARC protegen contra todo el phishing?
Protegen contra la suplantación de tu dominio (alguien enviando emails desde tu dominio sin autorización). No protegen contra phishing de otros dominios que imitan al tuyo (por ejemplo, tudomimio.com o tudominio-soporte.com). Para eso se necesitan otras medidas como alertas de dominios similares.
¿Cuánto cuesta implementar todo esto?
La configuración de SPF, DKIM y DMARC no tiene coste de licencia; son estándares abiertos. El coste es el tiempo de un profesional que lo configure correctamente. El VMC para BIMI cuesta entre 1.200 y 1.500 USD/año. En LaudeMMedia incluimos la configuración completa de autenticación de email en nuestros servicios de VPS administrado y VPS WordPress.
Conclusión: la autenticación de email no es opcional
En 2026, configurar SPF, DKIM, DMARC y BIMI no es una mejora técnica opcional: es un requisito fundamental para que los emails de tu empresa lleguen a su destino. Los proveedores de email han cerrado la puerta al correo no autenticado, y las empresas que no se adapten verán cómo sus comunicaciones desaparecen en carpetas de spam o son rechazadas directamente.
La buena noticia es que, una vez configurados correctamente, estos protocolos funcionan de forma transparente y mejoran no solo la entregabilidad sino también la seguridad de tu dominio contra suplantación e intentos de phishing.
En LaudeMMedia llevamos más de 25 años gestionando infraestructuras de email para empresas. Desde servidores de correo propios hasta la configuración de autenticación en Google Workspace, Microsoft 365 o cualquier plataforma de envío. Si tus emails no llegan o quieres asegurarte de que tu dominio está correctamente protegido, contacta con nosotros.
Tu dominio es tu identidad digital. Protégelo.
