DMARC, DKIM y SPF: protege tu dominio y evita que tus correos lleguen a spam

El correo electrónico es clave para ventas, soporte y operación. Pero el spam y el phishing han obligado a los proveedores (Gmail, Outlook, etc.) a exigir autenticación real. Si tu dominio no tiene bien configurados SPF, DKIM y DMARC, es más probable que tus emails caigan en spam o que terceros suplanten tu marca.

Quiero configurar DMARC, DKIM y SPF con BigStudio
Ver BigStudio

Qué son DMARC, DKIM y SPF (explicado simple)

  • SPF: dice qué servidores están autorizados a enviar correos desde tu dominio.
  • DKIM: firma digitalmente el correo para demostrar que no fue modificado y que salió desde tu dominio.
  • DMARC: define qué hacer si falla SPF/DKIM y entrega reportes para ver intentos de suplantación.
Idea rápida: SPF valida “desde dónde” se envía, DKIM valida “la firma”, y DMARC decide “qué hacer” con los correos que no cumplen.

¿Qué es DMARC?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) es un protocolo que permite publicar una política para tu dominio, indicando cómo deben tratarse los correos que no pasan las validaciones de SPF y/o DKIM.

Beneficios de DMARC

  • Protección contra phishing: reduce la posibilidad de que suplanten tu dominio.
  • Mejora entregabilidad: fortalece la reputación del dominio si está bien implementado.
  • Visibilidad: entrega reportes de quién intenta enviar correos “en tu nombre”.

Implementación de DMARC (ejemplo)

Se publica un registro TXT en DNS. Un ejemplo inicial (modo monitoreo) podría verse así:

_dmarc.tudominio.com. IN TXT "v=DMARC1; p=none; rua=mailto:reportes@tudominio.com"
Recomendación: parte con p=none (monitoreo), revisa reportes, corrige fuentes de envío y luego escala a quarantine o reject.

¿Qué es DKIM?

DKIM (DomainKeys Identified Mail) agrega una firma digital al correo. El servidor receptor valida esa firma con una clave pública publicada en tu DNS, asegurando que el email no fue alterado y que pertenece al dominio emisor.

Beneficios de DKIM

  • Integridad del mensaje: confirma que el contenido no se modificó en el camino.
  • Autenticidad: demuestra que el email realmente “sale” asociado a tu dominio.

Implementación de DKIM (pasos generales)

  1. Generar un par de claves (privada/pública) o usar el generador del proveedor (Google Workspace, Microsoft 365, Klaviyo, etc.).
  2. Configurar el servicio para firmar con la clave privada.
  3. Publicar la clave pública como registro DNS (selector DKIM).

Ejemplo de registro DKIM (formato genérico):

default._domainkey.tudominio.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCv7L7o+oiYdRI="

¿Qué es SPF?

SPF (Sender Policy Framework) permite declarar qué servidores están autorizados a enviar correos en nombre de tu dominio. Así reduces el spoofing (cuando alguien intenta enviar emails falsos usando tu dominio).

Beneficios de SPF

  • Prevención de spoofing: limita remitentes no autorizados.
  • Mejor reputación: menos probabilidad de que tus correos sean marcados como spam.

Implementación de SPF (ejemplo)

Se agrega un TXT en DNS indicando los servicios autorizados. Ejemplo:

tudominio.com. IN TXT "v=spf1 include:spf.proveedor.com ~all"
Tip: evita tener múltiples registros SPF. Debe existir uno solo y contener todos los includes necesarios (Google, Microsoft, Mailgun, Klaviyo, etc.).

Cómo trabajan juntos DMARC, DKIM y SPF (protección óptima)

Cuando están bien configurados, estos protocolos se complementan para mejorar seguridad y entregabilidad:

  1. SPF valida si el servidor que envía está autorizado.
  2. DKIM valida la firma del contenido del email.
  3. DMARC decide la acción si SPF/DKIM fallan y genera reportes.

Pasos recomendados para configurarlos sin romper tu entregabilidad

  1. Inventaria tus fuentes de envío: Gmail/Workspace, Outlook, plataforma de emailing, CRM, formularios web, etc.
  2. Configura SPF integrando todos los proveedores autorizados en un solo registro.
  3. Activa DKIM en cada proveedor que envíe correos con tu dominio.
  4. Publica DMARC en modo monitoreo (p=none) y revisa reportes.
  5. Escala política a quarantine/reject cuando estés seguro de que todo lo legítimo pasa autenticación.
Importante: configurar mal DMARC con una política estricta sin revisar fuentes puede bloquear correos legítimos (por ejemplo: cotizaciones, correos transaccionales o newsletters).

Preguntas frecuentes

1) ¿Con SPF basta para que no caiga en spam?

No. SPF ayuda, pero hoy se recomienda (y en muchos casos se exige) tener SPF + DKIM y una política DMARC al menos en monitoreo.

2) ¿Qué política DMARC debo usar?

Lo correcto es partir con p=none, corregir fuentes y luego avanzar a quarantine o reject según tu tolerancia al riesgo.

3) ¿Puedo tener varios DKIM?

Sí. Normalmente cada proveedor usa su propio selector DKIM. Eso es normal. Lo importante es que cada fuente firme correctamente.

4) ¿BigStudio puede configurarlo por mí?

Sí. Podemos revisar tu dominio, proveedores de correo y plataformas (emailing/CRM), y dejar SPF, DKIM y DMARC funcionando sin afectar tu operación.

Conclusión

Implementar DMARC, DKIM y SPF es esencial para proteger tu dominio, evitar suplantaciones y mejorar la entregabilidad. Si tu marca envía cotizaciones, correos transaccionales o campañas, esto ya no es “opcional”: es parte de la base técnica para que tus mensajes lleguen.

Quiero asegurar mi dominio y mejorar entregabilidad
Ver BigStudio
CEO de Big Studio

Agencia de Marketing Digital, Somos Shopify Partners

Actualizado en
Ultimos artículos

Shopify

Actualizaciones completas de Shopify y automatizaciones