Tutorial 10 min de lectura Actualizado abril de 2026

DKIM, SPF y DMARC: guía completa de configuración para entregabilidad de email

La autenticación de email es la base de la entregabilidad. Sin DKIM, SPF y DMARC, tus emails serán rechazados o marcados como spam por los principales proveedores de buzón. Esta guía te lleva a través de la configuración completa.

Por qué importa la autenticación

Gmail y Yahoo ahora requieren DMARC para remitentes masivos (requisito 2024). Sin autenticación correcta, tus emails serán rechazados o marcados como spam. La autenticación también protege tu dominio de ser usado en ataques de phishing.

SPF: configuración y ejemplos

SPF (Sender Policy Framework) es un registro TXT en tu DNS que lista las direcciones IP autorizadas a enviar email para tu dominio.

Registro SPF básico

v=spf1 include:emitlo.com ~all

Este registro autoriza los servidores de Emitlo a enviar email para tu dominio. El ~all (softfail) significa que los emails de IPs no autorizadas se marcan como sospechosos pero no se rechazan. Usa -all (hardfail) una vez que estés seguro de que todos los remitentes legítimos están incluidos.

SPF con múltiples remitentes

v=spf1 include:emitlo.com include:_spf.google.com ~all

⚠️ Límite de lookups SPF

Los registros SPF tienen un máximo de 10 lookups DNS. Cada include: cuenta como un lookup. Si superas 10, SPF fallará. Usa herramientas de aplanamiento SPF si es necesario.

DKIM: configuración y ejemplos

DKIM (DomainKeys Identified Mail) añade una firma criptográfica a tus emails. Publicas una clave pública en DNS; el servidor de envío firma los emails con la clave privada correspondiente.

Formato de registro DNS DKIM

selector._domainkey.tudominio.com  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA..."

El selector es una etiqueta que identifica qué clave usar (ej: emitlo1). El valor p= es tu clave pública (clave RSA codificada en base64).

Doble firma DKIM

Emitlo firma cada email con dos claves DKIM: tu clave de dominio y la clave de plataforma de Emitlo. Esto significa que dos firmas DKIM aparecen en las cabeceras del email, proporcionando una capa adicional de autenticación. Solo necesitas publicar el registro DKIM de tu dominio — Emitlo gestiona automáticamente la clave de plataforma.

Emitlo genera automáticamente tus claves DKIM, valida tu registro SPF y verifica tu política DMARC al configurar el dominio — sin depuración manual de DNS. Empezar gratis →

DMARC: configuración y progresión de políticas

DMARC (Domain-based Message Authentication, Reporting & Conformance) le dice a los servidores receptores qué hacer cuando un email falla la autenticación SPF o DKIM.

Paso 1: Empezar con monitoreo (p=none)

_dmarc.tudominio.com  TXT  "v=DMARC1; p=none; rua=mailto:[email protected]"

Monitorea durante 2-4 semanas. Revisa los informes DMARC para identificar todas las fuentes de email legítimas.

Paso 2: Cuarentena (p=quarantine)

_dmarc.tudominio.com  TXT  "v=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected]"

Empieza con pct=25 (aplicar al 25% de emails fallidos). Aumenta gradualmente al 100%.

Paso 3: Rechazo (p=reject)

_dmarc.tudominio.com  TXT  "v=DMARC1; p=reject; rua=mailto:[email protected]"

La política más estricta. Los emails no autenticados son rechazados completamente. Solo pasa aquí cuando estés seguro de que todos los remitentes legítimos están autenticados.

Probar tu configuración

M

MXToolbox

Verifica registros SPF, DKIM y DMARC. Identifica errores de configuración.

M

Mail-Tester

Envía un email de prueba y obtén una puntuación de spam con resultados de autenticación detallados.

D

DMARC Analyzer

Analiza y visualiza informes DMARC.

G

Google Postmaster Tools

Monitorea la reputación de tu dominio y las tasas de autenticación con Gmail.

Errores comunes

✗ Múltiples registros SPF

Solución: Solo puedes tener un registro SPF por dominio. Combina todos los includes en un solo registro.

✗ Superar el límite de lookups SPF (10)

Solución: Usa el aplanamiento SPF para reducir el número de lookups DNS.

✗ Clave DKIM demasiado corta

Solución: Usa claves RSA de 2048 bits como mínimo. Las claves de 1024 bits se consideran inseguras.

✗ DMARC sin alineación SPF/DKIM

Solución: DMARC requiere que el dominio en SPF/DKIM coincida con el dominio en la cabecera From. Verifica la alineación en tus informes DMARC.

✗ Saltar directamente a p=reject

Solución: Siempre empieza con p=none, revisa los informes, luego progresa a quarantine, luego a reject.

Configuración automática con Emitlo

Emitlo automatiza todo el proceso de configuración de autenticación:

  • Genera claves DKIM RSA de 2048 bits para tu dominio
  • Publica registros DNS DKIM automáticamente
  • Valida tu registro SPF y sugiere correcciones
  • Verifica tu política DMARC y proporciona recomendaciones
  • Firma cada email con doble DKIM (clave de dominio + clave de plataforma)
  • Monitorea las tasas de autenticación en tiempo real

La configuración tarda menos de 10 minutos. Sin depuración manual de DNS requerida.

Configuración automática de DKIM, SPF y DMARC en 10 minutos

12.000 emails/mes gratis (400/día) · Doble DKIM · Sin tarjeta de crédito

Empezar gratis → See all comparisons

Preguntas frecuentes

¿Necesito los tres: DKIM, SPF y DMARC?
Sí. SPF y DKIM son necesarios para la autenticación básica. DMARC se basa en ambos y es cada vez más requerido por los principales proveedores de buzón. Gmail y Yahoo ahora requieren DMARC para remitentes masivos. Configurar los tres es el mínimo para una entregabilidad fiable.
¿Cuánto tiempo tarda la propagación de cambios DNS?
La propagación DNS típicamente tarda 5-60 minutos para la mayoría de proveedores, pero puede tardar hasta 48 horas en casos raros. La mayoría de proveedores DNS modernos propagan cambios en minutos. Emitlo verifica automáticamente tus registros DNS y te notifica cuando la propagación está completa.
¿Qué política DMARC debería usar al principio?
Empieza con p=none (solo monitorear). Esto te permite recopilar informes DMARC sin afectar la entrega de emails. Después de revisar los informes durante 2-4 semanas y confirmar que todas las fuentes de email legítimas están autenticadas, pasa a p=quarantine, luego a p=reject.
¿Qué es un informe DMARC?
Los informes DMARC son archivos XML enviados por los proveedores de buzón a la dirección de email especificada en tu registro DMARC. Muestran qué emails pasaron o fallaron la autenticación, desde qué IPs, y qué acción se tomó. Usa un analizador de informes DMARC (como dmarcian o DMARC Digests de Postmark) para analizarlos.
¿Qué es la doble firma DKIM?
La doble firma DKIM significa que un email está firmado con dos claves DKIM: tu propia clave de dominio y la clave de la plataforma de envío. Emitlo firma cada email con ambas. Esto proporciona una capa adicional de autenticación que mejora la colocación en la bandeja de entrada con receptores estrictos como Gmail y Outlook.

Guías relacionadas:

Guía de entregabilidad

Guía completa
Guía de calentamiento de IP

Calentamiento paso a paso
Mejores prácticas email transaccional

12 reglas para la bandeja de entrada
Emitlo vs Amazon SES

Configuración auto vs manual
Mejores servicios SMTP

Comparación completa