SPF, DKIM y DMARC: qué son y por qué necesitas los tres
E-mail
3

El problema que resuelven

Antes del año 2000 cualquiera podía enviar un correo haciéndose pasar por otra persona o dominio. El protocolo SMTP no verificaba nada — si tu servidor decía "soy banco@miempresa.com", el destinatario lo creía. Eso dio origen al spam masivo y al phishing. SPF, DKIM y DMARC son las tres capas modernas que resuelven ese problema y permiten a Gmail, Outlook y otros decidir si un correo es legítimo.

SPF — Sender Policy Framework

Es el registro más antiguo y simple. Define en el DNS qué servidores tienen permiso para enviar correo en nombre de tu dominio. Si alguien envía desde un servidor que no está en tu SPF, el destinatario sabe que es un impostor.

Ejemplo de registro SPF

tudominio.com  TXT  "v=spf1 +a +mx include:_spf.google.com ~all"

Qué significa cada parte:

  • v=spf1 — versión del protocolo.
  • +a — permite a los servidores que tienen registro A en el dominio.
  • +mx — permite a los servidores listados como MX.
  • include:_spf.google.com — incluye los servidores de Google Workspace.
  • ~all — todo lo demás debe marcarse como "softfail" (sospechoso pero no rechazado).

Variantes del all

  • -all (hard fail) — rechazar cualquier otra fuente. Estricto pero puede romper reenvíos.
  • ~all (soft fail) — marcar como sospechoso. Recomendado al empezar.
  • ?all (neutral) — no opinar. Equivale a no tener SPF. No lo uses.

DKIM — DomainKeys Identified Mail

SPF valida la IP de origen. DKIM va más allá: firma criptográficamente cada correo con una llave privada guardada en tu servidor. La llave pública está en tu DNS. Cuando el destinatario recibe el correo, verifica la firma — si es válida, sabe que el contenido no se alteró y que realmente vino de tu dominio.

Cómo se ve un registro DKIM

default._domainkey  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4..."

El valor p= es tu llave pública — una cadena larga en base64.

La parte default._domainkey es el "selector". Te permite tener múltiples llaves DKIM para distintos servicios. El selector por defecto de cPanel es default; Google Workspace usa google; Mailchimp genera uno propio.

Activar DKIM en cPanel

En cPanel abre Email Deliverability. Para cada dominio verás el estado de SPF y DKIM. Haz clic en Manage del dominio — cPanel te muestra los registros que deberías tener y te ofrece instalarlos automáticamente si tu DNS es local. Si usas DNS externo (Cloudflare, etc.), te da los valores para copiarlos manualmente.

DMARC — Domain-based Message Authentication

DMARC no reemplaza a SPF o DKIM; los combina y añade dos cosas importantes:

  • Política de rechazo: le dices a los servidores destinatarios qué hacer si un correo falla en SPF o DKIM — entregarlo, marcarlo como spam, o rechazarlo por completo.
  • Reportes: recibes informes diarios con detalles de quién está enviando correo "en nombre" de tu dominio. Así detectas abusos y configuraciones incorrectas.

Registro DMARC básico

_dmarc  TXT  "v=DMARC1; p=none; rua=mailto:postmaster@tudominio.com"

Este es el más suave: p=none significa "no hagas nada aún, solo envíame reportes". Empieza siempre así para ver qué está pasando sin bloquear nada.

Niveles de política

  • p=none — monitoreo, sin acciones. Siempre empezar aquí.
  • p=quarantine — mandar a spam los que fallan. Activa después de 2-4 semanas de monitoreo.
  • p=reject — rechazar directamente los que fallan. El objetivo final, solo cuando estás seguro de que todo lo legítimo pasa las pruebas.

Orden recomendado para implementarlos

  1. SPF primero. Es el más simple y ninguna configuración rompe si lo agregas bien.
  2. DKIM segundo. En cPanel es un clic si la zona DNS está local.
  3. DMARC con p=none. Agrega el registro y espera 2-4 semanas recibiendo reportes.
  4. Analiza los reportes. Identifica si hay servicios legítimos (Mailchimp, WHMCS, ZenDesk) que no estén autenticando. Corrige sus configuraciones.
  5. Sube a p=quarantine. Observa que nada importante se va a spam.
  6. Sube a p=reject cuando todo esté limpio.

Cómo verificar que están bien configurados

  • mxtoolbox.com/spf.aspx — valida tu SPF y muestra errores.
  • mxtoolbox.com/dkim.aspx — valida DKIM conociendo tu selector.
  • mxtoolbox.com/dmarc.aspx — valida DMARC.
  • dmarcian.com — parsea los reportes XML de DMARC en dashboard legible.

Impacto real en tus correos

Sin SPF/DKIM/DMARC bien configurados, Gmail y Outlook están marcando cada vez más agresivamente los correos de dominios "desconocidos" como spam. Desde febrero de 2024, Gmail exige autenticación a cualquier remitente que mande más de 5000 correos al día a sus usuarios — y gradualmente está bajando ese umbral. Si tu negocio depende del correo (facturación, confirmaciones, newsletter) esto no es opcional.