Blog de Spaceship

¿Qué son SPF, DKIM y DMARC?

Actualizado el
10 min de lectura

Cuando se trata del correo electrónico, la confianza lo es todo. Pero antes de que tu mensaje siquiera llegue a la bandeja de entrada de alguien, tiene que pasar algunas verificaciones de seguridad silenciosas. SPF, DKIM y DMARC deciden si tus correos se ven legítimos o terminan en spam.

Saber cómo funcionan estos registros, y cómo configurarlos correctamente, puede proteger tu dominio y asegurar que tus mensajes siempre lleguen a donde deben llegar.

¿Qué son SPF, DKIM y DMARC en el correo electrónico?

Entre presionar enviar y que tu correo llegue, comienza una cadena silenciosa de verificaciones. Cada una hace la misma pregunta: ¿realmente viene de ti?

SPF, DKIM y DMARC forman un ciclo de retroalimentación entre remitente y receptor, verificando tu identidad ya sea antes de que tu mensaje salga de tu dominio, cuando llega, o ambas cosas. Juntos, son lo que se interpone entre tu mensaje y la carpeta de spam.

SPF, DKIM y DMARC explicados brevemente:

  • SPF – verifica si el servidor que envía tu mensaje está en la lista autorizada de tu dominio. Si lo está, el correo pasa. Si no, se marca. Piensa en ello como la lista de invitados de tu dominio.

  • DKIM – agrega un sello digital a tu mensaje antes de que salga de tu bandeja de salida. Una vez que llega al otro lado, el servidor receptor abre el sello para asegurarse de que nada haya sido alterado durante el tránsito.

  • DMARC – decide qué pasa si cualquiera de esas verificaciones falla. Le dice al servidor receptor qué hacer, ya sea entregar el mensaje, enviarlo a spam o bloquearlo por completo.

Estos tres trabajan juntos: uno verifica al remitente, uno protege el mensaje y uno hace cumplir las reglas.

¿Por qué son importantes SPF, DKIM y DMARC para la seguridad del correo electrónico?

SPF, DKIM y DMARC protegen contra dos de las mayores amenazas del correo electrónico hoy en día: el spam y la suplantación. Los atacantes suelen enviar mensajes fingiendo ser alguien que no son. Imagina recibir un correo de Support@yourbank.com, pidiéndote que confirmes los datos de tu cuenta. Estas tres verificaciones se aseguran de que tu “banco” realmente sea tu banco:

En un ataque de phishing, los hackers usan correos falsos para engañar a las personas y hacer que compartan contraseñas, números de tarjeta de crédito o den clic en enlaces maliciosos. Sin estas protecciones, tu dominio podría ser suplantado y los clientes podrían recibir mensajes convincentes que parecen venir de ti. Con SPF, DKIM y DMARC implementados, esos mensajes falsos normalmente se detienen antes de que siquiera lleguen a una bandeja de entrada.

  • SPF verificaría si el correo fue enviado desde un servidor autorizado.

  • DKIM se aseguraría de que el correo no hubiera sido alterado durante el tránsito.

  • Si cualquiera de estas verificaciones fallara, entonces DMARC se aseguraría de que el correo fuera descartado antes de que llegara a tu bandeja de entrada

De manera similar, durante un ataque de phishing, los hackers envían correos falsos para engañar a las personas y hacer que entreguen contraseñas o den clic en enlaces peligrosos. Si el dominio de tu empresa no está protegido, podrían hacerse pasar por un empleado y enviar correos a tus clientes pidiéndoles sus datos. Si SPF, DKIM y DMARC están implementados, la mayoría de estos mensajes falsos nunca llegarían a las bandejas de entrada de los clientes, porque los servidores receptores pueden saber que en realidad no vienen de ti.

Por qué también importan para la entregabilidad (no solo para la seguridad)

Si envías boletines, facturas o campañas de marketing, probablemente tu objetivo no sea solo enviar, sino que te vean. Pero como el spam global se ha disparado, proveedores importantes como Gmail y Yahoo han introducido nuevas reglas para mantener limpias las bandejas de entrada.

Desde 2024, estos proveedores han exigido a los remitentes autenticar sus dominios con SPF, DKIM y DMARC. Sin ellos, tus correos podrían ser rechazados antes de que siquiera salgan de tu bandeja de salida.Pasar estas verificaciones de forma constante mejora tu reputación como remitente y evita que tus correos terminen en spam. Cuanto mejor sea tu reputación, más rápida será tu entrega, menos marcas de spam tendrás y más sólida será tu credibilidad.

SPF vs DKIM vs DMARC — ¿Cuál es la diferencia?

Cada vez que abordas un avión, pasas por un proceso casi idéntico a cómo funcionan SPF, DKIM y DMARC. Puede sonar extraño, pero estos tres términos no son precisamente fáciles de recordar, y ayuda tener una forma más sencilla de memorizarlos. Además, sin estos tres configurados, es probable que tu correo termine igual que tú cuando pierdes el check-in de un vuelo. Afuera, en el frío.

SPF – El primer punto de control de seguridad de tu correo

Cuando llegas al mostrador, listo para abordar, el agente revisa tu boleto contra el registro del vuelo. Si tu nombre está ahí, tienes autorización para volar. Si no, no hay pase de abordar, no hay vuelo.

SPF funciona de la misma manera. Cada dominio, como example.com, mantiene una “lista de pasajeros” o un registro de qué servidores de correo están autorizados para enviar correos en su nombre. Cuando envías un correo, el servidor receptor verifica si tu servidor de envío está en esa lista. Al configurar tu registro SPF, básicamente estás agregando tu nombre al manifiesto para que tus mensajes puedan pasar seguridad sin demora.

DKIM – La verificación de identidad para tu bandeja de entrada

Una vez que tu boleto es válido, es momento de probar tu identidad. La foto de tu pasaporte confirma que realmente eres tú, una firma física que no se puede falsificar fácilmente. DKIM hace lo mismo, pero para el correo electrónico.

DomainKeys Identified Mail (DKIM) agrega una firma digital a cada mensaje saliente. Esta firma demuestra que el correo no ha sido cambiado ni alterado durante el tránsito y evita que tu correo sea rastreado. Cuando presionas enviar, tu servidor firma el correo con una clave privada. Cuando llega, el servidor receptor verifica esa firma, confirmando que el mensaje es genuino y no ha sido alterado.

DMARC – Qué pasa cuando las cosas salen mal

Si llegas al aeropuerto sin boleto o pasaporte, la aerolínea tiene una política clara sobre lo que sucede después. DMARC funciona de la misma manera cuando fallan las verificaciones de SPF o DKIM.

DMARC le dice al servidor receptor qué hacer con el correo si falla la verificación de SPF o DKIM.Puede:

  • No hacer nada

  • Poner el mensaje en cuarentena (enviarlo a spam)

  • Rechazar el mensaje por completo

Como remitente, tú decides qué regla se aplica. La configuras en tu DNS, definiendo qué sucede cuando tus mensajes no pasan la inspección.

Cómo configurar SPF, DKIM y DMARC para tu dominio

Para configurar SPF, DKIM y DMARC, necesitarás acceso a tu DNS. Aquí es donde apuntan los nameservers de tu dominio, así que será con el registrador o el host de DNS.

Como mencionamos arriba, SPF funciona como una lista de pasajeros, que les dice a los servidores receptores qué hosts pueden enviar correo para tu dominio. Así que, para configurar SPF, necesitas poner tu correo en esa lista de pasajeros. Para hacerlo, hay algunos pasos.

1. Verifica si ya tienes SPF

Comienza usando una herramienta gratuita de búsqueda DNS para verificar si tu dominio ya tiene un registro SPF.Si la herramienta en la pestaña TXT muestra un registro que comienza con v=spf1, significa que SPF ya está configurado para tu dominio.

Si no aparece ese registro, tendrás que crear un nuevo registro SPF desde cero.

2. Agrega un nuevo registro SPF en DNS

Para agregar un nuevo registro SPF, ve a la configuración DNS del host de tu dominio. Esto podría ser Spaceship, Google, Outlook, etc., dependiendo de quién sea tu proveedor. Busca la lista de registros existentes y selecciona Add Record, luego elige TXT en el menú de tipo.

Después, llena los campos como se muestra a continuación para crear tu entrada SPF.

Para Spacemail se vería así:Tipo: Registro TXT | Host: @ | Valor: v=spf1 include:spf.spacemail.com ~all | TTL: Automático

Guarda y espera unos minutos para la propagación.

3. Verifica el registro

En este punto, puedes ejecutar otra verificación en tu herramienta de búsqueda DNS. Si muestra tu valor, todo está bien. También es importante recordar que el registro del host puede tardar hasta 24 horas en actualizarse, así que no entres en pánico si no aparece de inmediato.

Paso 2. Actualiza tu configuración de DKIM

DKIM agrega una firma digital a cada correo que envía tu dominio, demostrando que no ha sido alterado.

1: Genera tu registro DKIM

Comienza en la configuración de tu proveedor de correo electrónico.

  1. Ve a la sección de autenticación de dominio o seguridad del correo electrónico.

  2. Busca una opción llamada DKIM, DomainKeys o algo similar.

  3. Selecciona el botón para generar nuevas claves DKIM.

Tu proveedor te dará dos datos clave:

  • Un selector (por ejemplo, selector1._domainkey)

  • El registro DKIM en sí — una larga cadena de texto cifrado

Es buena idea copiar ambos en un lugar seguro, ya que los necesitarás en el siguiente paso.

2: Agrega el registro DKIM a tu DNS

Después, inicia sesión en tu proveedor de DNS.

  1. Abre tus registros DNS y crea una nueva entrada.

  2. Elige CNAME si el registro es corto, o TXT si es una clave más larga.

  3. En el campo Host o Name, ingresa el selector DKIM (por ejemplo, selector1._domainkey).

  4. En el campo Value, pega el registro DKIM de tu proveedor de correo electrónico.

  5. Guarda tus cambios.

Dale unos minutos, ya que los cambios de DNS pueden tardar un poco en actualizarse.

Para el correo empresarial Spacemail, puedes configurar un registro DKIM con esta guía.

Paso 3. Agrega la configuración de DMARC

Una vez que SPF y DKIM estén configurados, el paso final es DMARC. Solo estás agregando un registro TXT más al DNS de tu dominio. Este registro les dice a los servidores de correo receptores qué hacer si un correo de tu dominio falla la autenticación, y te da visibilidad sobre quién está enviando correo en tu nombre.

Un registro DMARC tiene algunas partes clave que necesitarás entender antes de agregarlo:

  • v=DMARC1 – esto les dice a los servidores de correo que estás usando DMARC. Siempre va primero.

  • p= – Esto establece tu política sobre cómo manejar mensajes no autenticados:

  • rua=mailto: – Esto les dice a los servidores de correo a dónde enviar tus reportes diarios de DMARC. Puedes usar una dirección como security@yourdomain.com o dmarc@yourdomain.com. Estos reportes muestran qué IPs están enviando en nombre de tu dominio, ayudándote a detectar cualquier cosa inusual.

1: Genera un registro DMARC para tu dominio

Abre la herramienta generadora de registros DMARC (puedes usar cualquier herramienta generadora de DMARC que prefieras) y escribe tu nombre de dominio en la barra de búsqueda. Una vez hecho esto, haz clic en el botón Check DMARC Record. Personaliza la configuración de DMARC según tus necesidades y obtén tu registro generado.

2: Agrega tu registro DMARC a la configuración DNS

Ve a tu proveedor de DNS. Crea un nuevo registro seleccionando TXT como el tipo de registro del host. DMARC usa un formato de registro TXT, igual que SPF.

Usa host: _dmarcAdd value, el que generaste anteriormente

Una vez que lo hayas agregado, guarda tus cambios y espera unos minutos a que se propague. Puedes usar herramientas como MX Lookup Tool u otras herramientas gratuitas para verificar que tu registro DMARC esté configurado correctamente.

Puedes usar esta guía para configurar un registro DMARC para tu dominio con Spacemail.

Configurar correctamente tu correo electrónico

Si tus mensajes siguen llegando a spam o desaparecen a mitad del camino, podría deberse a una autenticación faltante. SPF, DKIM y DMARC les dan a tus correos las credenciales que necesitan para llegar de forma segura a la bandeja de entrada.

Cuando escuchas la explicación de SPF, DKIM y DMARC, puede sonar complicado, pero lo mejor es que no requieren herramientas costosas ni configuraciones complejas, solo unos cuantos registros DNS y un poco de paciencia. Son algunos de los protocolos de correo electrónico más sencillos que puedes agregar a tu sistema de correo y que dan resultados cada vez que tu mensaje llega exactamente a donde debe.

Preguntas frecuentes

SPF verifica que tu correo se envíe desde un servidor autorizado. La seguridad de correo DKIM funciona firmando cada mensaje con una clave digital para que el receptor sepa que el mensaje no fue alterado. DMARC los une, diciéndole al servidor qué hacer si algo parece sospechoso. Juntos, mantienen tus correos confiables, verificados y seguros.

Al comparar DMARC vs SPF y DKIM, funcionan mejor como equipo. La autenticación de correo SPF y DKIM hace las verificaciones, mientras que DMARC decide qué pasa si esas verificaciones fallan. Sin DMARC, tus correos podrían seguir pasando, pero no tendrás control sobre lo que sucede cuando no lo hagan. Configura los tres una sola vez y cubrirás todos los frentes tanto de seguridad como de entregabilidad.

La suplantación ocurre cuando alguien envía un correo fingiendo ser tú. SPF verifica de dónde vino el mensaje, DKIM confirma que no ha sido alterado y DMARC bloquea cualquier cosa sospechosa.

Sin DMARC, no hay una regla clara sobre cómo los servidores de correo manejan los mensajes sospechosos. Eso significa que los correos falsos podrían colarse, o que los reales podrían marcarse como spam. DMARC es la parte que hace cumplir las reglas y, sin él, tu dominio queda desprotegido.

En realidad no, solo hacen trabajos diferentes. SPF verifica quién está enviando el correo; DKIM verifica si fue modificado. Ninguno funciona perfectamente por sí solo, pero juntos crean una sólida primera línea de defensa.

Foto de perfil de Josh Horritt
Escrito por

Josh Horritt

Josh es redactor publicitario y UX writer de Manchester, Reino Unido. Comenzó su carrera como periodista en la BBC y ahora trabaja en los productos de correo electrónico de Spaceship, escribiendo blogs y textos enfocados en el usuario. Fuera del trabajo, normalmente está en las montañas o haciendo música con amigos.
Más artículos de Josh Horritt

Califica este artículo

5/55 Reseñas
Compartir este artículo

Artículos sugeridos

¿Qué protocolo de correo electrónico es adecuado para ti?
Conoce las diferencias entre los protocolos de correo electrónico y elige la configuración adecuada para tu correo.
Josh H.
9 min de lectura
¿Estás pensando en crear un alias de correo electrónico? Esto es lo que necesitas saber
Agiliza la comunicación y mantente organizado con alias de correo electrónico — una forma más inteligente de administrar tu bandeja de entrada.
Olha N.
8 min de lectura
¿Qué son CC y BCC en el correo electrónico? Una guía con ejemplos
CC mantiene las cosas transparentes, BCC mantiene las cosas privadas — domina ambos para usar el correo de forma más inteligente y proteger la privacidad de tus destinatarios.
Olha N.
6 min de lectura
Cómo Spacemail te protege del rastreo
Es probable que la actividad de tu correo electrónico esté siendo rastreada sin que lo sepas. Aprende cómo eliminar enlaces de rastreo sin perder ninguna funcionalidad.
Jamie L.
4 min de lectura

Comparte tus pensamientos

Se requieren más de 10 caracteres.
Tu identidad para mostrar al público.
Proporcionar su dirección de correo electrónico es opcional. No se compartirá con terceros.

Ayúdanos a mejorar nuestro blog

Comparte tus pensamientos en una encuesta rápida de dos minutos.

Se requiere un correo electrónico válido