Cómo configurar DMARC, SPF y DKIM en Constant Contact

Introducción

Constant Contact es una de las plataformas de email marketing más utilizadas, empleada por pequeñas empresas y organizaciones sin ánimo de lucro para enviar newsletters, promociones e invitaciones a eventos. Pero enviar correo a través de una plataforma de terceros plantea una pregunta clave: ¿esos correos están correctamente autenticados para proteger tu dominio?

Sin una autenticación correcta, tus campañas de Constant Contact pueden acabar en spam, fallar las comprobaciones DMARC y dejar tu dominio expuesto a la suplantación. Desde que Google y Yahoo endurecieron sus requisitos para remitentes en 2024, tener DKIM y DMARC configurados ya no es opcional para quienes envían correo masivo: es obligatorio.

Lo que vas a configurar:

• Cómo Constant Contact gestiona el correo en tu nombre (y por qué importa)
• Por qué la alineación SPF no funciona con Constant Contact, y por qué eso no es un problema
• Auto-autenticación DKIM mediante registros CNAME (el método recomendado)
• Un registro DMARC que lo conecta todo

Tiempo estimado: 30-45 minutos

Cómo envía Constant Contact correo en tu nombre

Entender la arquitectura de envío de Constant Contact es fundamental antes de tocar ningún registro DNS.

Cuando envías una campaña desde Constant Contact, el correo viaja así:

1. Compones la campaña en el panel de Constant Contact con una dirección From como hola@tudominio.com.
2. Los servidores de correo de Constant Contact entregan ese correo a los destinatarios.
3. El envelope from (también llamado Return-Path o MAIL FROM) se establece a una dirección controlada por Constant Contact en un dominio como ccsend.com, no en tu dominio.

Este diseño es habitual en los proveedores de correo. El envelope from es lo que SPF verifica, por lo que SPF nunca se alineará con tu dominio cuando Constant Contact envíe tu correo. No es un error: así funciona la infraestructura de envío compartido.

La buena noticia: DMARC solo requiere que el correo pase la autenticación vía SPF o DKIM, no ambos. Si configuras DKIM a través de la función de auto-autenticación de Constant Contact, tus correos pasarán DMARC mediante la alineación DKIM, y la alineación SPF es irrelevante.

Paso 1: Por qué SPF solo no funciona

Quizás hayas visto el consejo de añadir include:spf.constantcontact.com a tu registro SPF. Aunque esto incluye las IPs de Constant Contact en el SPF, no consigue alineación SPF a efectos de DMARC.

El motivo: la alineación SPF de DMARC requiere que el dominio del envelope from coincida con el dominio de la cabecera From. Como Constant Contact controla el envelope from (y usa su propio dominio), añadir su include a tu registro SPF no aporta nada para DMARC. Añade una consulta DNS innecesaria sin beneficio de alineación.

En resumen: No añadas un include de SPF de Constant Contact para DMARC. Céntrate exclusivamente en DKIM.

Verifica tu registro SPF actual →

Paso 2: Configurar DKIM mediante auto-autenticación (método CNAME)

La función de auto-autenticación de Constant Contact te permite publicar registros CNAME en tu DNS que delegan la firma DKIM en la infraestructura de Constant Contact. A partir de ahí, Constant Contact gestiona la rotación de claves automáticamente; tú no necesitas administrar las claves.

2.1: Acceder a la auto-autenticación en Constant Contact

1. Inicia sesión en tu cuenta de Constant Contact.
2. Haz clic en tu icono de perfil en la esquina superior derecha.
3. Ve a Account Settings.
4. Selecciona Advanced Settings.
5. Haz clic en Self-Authentication (DKIM).
6. Selecciona Self-authenticate using DKIM CNAME records.
7. Haz clic en Continue.
8. En el desplegable, selecciona el dominio que usas como dirección From (ej: tudominio.com).
9. Constant Contact mostrará dos registros CNAME. Cópialos con cuidado.

2.2: Añadir los registros CNAME a tu DNS

Los dos registros que proporciona Constant Contact siguen este formato:

Record type: CNAME
Host: ctct1._domainkey.tudominio.com
Value: 100._domainkey.dkim1.ccsend.com

Record type: CNAME
Host: ctct2._domainkey.tudominio.com
Value: 200._domainkey.dkim2.ccsend.com

Los valores exactos en tu cuenta pueden variar ligeramente; usa siempre los registros específicos que Constant Contact genera para tu cuenta, no ejemplos genéricos.

Cómo añadir los registros en los proveedores DNS más habituales:

Cloudflare:

• Dashboard → tu dominio → DNS → Add record
• Type: CNAME, Name: ctct1._domainkey, Target: valor de Constant Contact
• Establece el proxy status a DNS only (nube gris)
• Repite para el segundo registro

GoDaddy:

• My Products → DNS → Add
• Type: CNAME, Host: ctct1._domainkey, Points to: valor de Constant Contact
• Repite para el segundo registro

Route 53 (AWS):

• Hosted zones → tu dominio → Create record
• Record type: CNAME, Record name: ctct1._domainkey, Value: valor de Constant Contact
• Repite para el segundo registro

Importante para usuarios de Cloudflare: Los registros CNAME deben estar en modo DNS only (sin proxy). Proxear registros CNAME usados para DKIM romperá la autenticación.

2.3: Activar DKIM en Constant Contact

Después de añadir los registros DNS:

1. Espera 24 a 48 horas para la propagación DNS.
2. Vuelve a Account Settings → Advanced Settings → Self-Authentication (DKIM).
3. Haz clic en Check status o Manage.
4. Si los registros se han propagado correctamente, Constant Contact activará la firma DKIM para tu dominio.

2.4: Verificar que DKIM funciona

Una vez activado, envía una campaña de prueba o usa una herramienta de testing para confirmar que DKIM está firmando correctamente.

Comprueba DKIM para tu dominio →

Prueba los selectores ctct1 y ctct2 contra tu dominio. Ambos deberían devolver claves públicas DKIM válidas.

Paso 3: Crear tu registro DMARC

Con DKIM configurado y activo, estás listo para añadir un registro DMARC. DMARC indica a los servidores de correo receptores qué hacer con los mensajes de tu dominio que fallen la autenticación, y dónde enviar los informes.

3.1: Empezar con una política de monitorización

Comienza con p=none para observar el tráfico sin afectar a la entrega. Esto te permite recopilar datos antes de aplicar enforcement.

Añade un registro TXT a tu DNS:

Record type: TXT
Host: _dmarc
Value: v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com; adkim=r; aspf=r

Sustituye dmarc@tudominio.com por un buzón real que controles. Esta dirección recibirá los informes agregados DMARC (archivos XML, normalmente diarios).

Explicación de las etiquetas:

• p=none — solo monitorización, sin enforcement
• rua= — dirección para los informes agregados
• adkim=r — alineación DKIM relajada (necesaria para Constant Contact)
• aspf=r — alineación SPF relajada

3.2: Monitorizar informes durante 2-4 semanas

Los informes agregados DMARC revelan cada fuente que envía correo en nombre de tu dominio: Constant Contact, tu proveedor de correo corporativo, herramientas transaccionales y cualquier remitente no autorizado que intente suplantar tu dominio.

Revisa estos informes para confirmar que los correos de Constant Contact pasan DMARC vía DKIM antes de endurecer la política.

Comprueba tu registro DMARC →

3.3: Enforcement progresivo

Una vez que tengas confianza en que todos los remitentes legítimos están autenticados, pasa al enforcement:

Cuarentena (segundo paso):

v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@tudominio.com; adkim=r; aspf=r

Los mensajes no autenticados van a la carpeta de spam. Monitoriza durante 2-4 semanas.

Rechazo (protección total):

v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@tudominio.com; adkim=r; aspf=r

Los mensajes no autenticados se rechazan directamente. Este es el estado objetivo.

Paso 4: Ejecutar una auditoría completa del dominio

Después de configurar DKIM y DMARC, verifica la postura de seguridad completa de tu correo.

Ejecuta una puntuación de seguridad del dominio →

Esto comprueba la configuración SPF, los registros DKIM, la fortaleza de la política DMARC y la postura de seguridad general del correo de tu dominio.

Resolución de problemas habituales

Los registros DKIM no se propagan

Síntoma: Constant Contact muestra DKIM como no verificado después de 48 horas.

Causas y soluciones:

• Formato del registro incorrecto: Algunos proveedores DNS requieren que introduzcas solo la parte del subdominio como host (ej: ctct1._domainkey) mientras que otros requieren el hostname completo (ej: ctct1._domainkey.tudominio.com). Consulta la documentación de tu proveedor.
• Proxy de Cloudflare activado: Los registros CNAME para DKIM deben estar en modo DNS only (icono de nube gris). Los registros con proxy no se resolverán correctamente.
• Conflicto con DKIM existente: Si previamente configuraste DKIM basado en TXT para Constant Contact, elimínalo antes de añadir los registros CNAME. Tener ambos puede causar conflictos.
• Retardo por caché: El TTL del DNS puede ralentizar la propagación. Usa una herramienta como dig ctct1._domainkey.tudominio.com CNAME para comprobar el estado de la propagación directamente.

La alineación SPF falla en los informes DMARC: ¿es un problema?

No. Es el comportamiento esperado con Constant Contact. Como Constant Contact controla el dominio del envelope from, SPF nunca se alineará con tu dominio. Mientras DKIM pase y se alinee (que es lo que ocurrirá una vez activa la auto-autenticación), tus correos de Constant Contact pasarán DMARC vía alineación DKIM.

Verás entradas como esta en tus informes DMARC:

spf: fail (alignment: fail)
dkim: pass (alignment: pass)
dmarc: pass

Esto es correcto. DMARC pasa porque la alineación DKIM tiene éxito, independientemente de SPF.

Los informes DMARC muestran remitentes inesperados

Si tus informes DMARC listan fuentes de envío que no reconoces, investiga antes de pasar al enforcement. Los remitentes desconocidos podrían ser:

• Otras herramientas o plataformas internas que olvidaste autenticar
• Servicios de terceros enviando en tu nombre
• Remitentes no autorizados intentando suplantar tu dominio

Corrige la autenticación de todas las fuentes legítimas antes de endurecer tu política DMARC.

Verifica DMARC para tu dominio →

Constant Contact recomienda el método de registro TXT

Constant Contact también admite la autenticación DKIM mediante un registro TXT. Esto es adecuado si tienes múltiples cuentas de Constant Contact usando el mismo dominio. El método CNAME es el preferido para la mayoría de usuarios porque Constant Contact gestiona la rotación de claves automáticamente.

Si usas el método TXT, eres responsable de actualizar la clave pública en el DNS si Constant Contact rota la clave privada.

Buenas prácticas para remitentes con Constant Contact

Usa tu propio dominio como dirección From. Enviar desde tunombre@constantcontact.com evita la necesidad de autenticación personalizada, pero también implica que los destinatarios ven el dominio de Constant Contact, no el tuyo, lo que reduce la confianza y el reconocimiento de marca. Configura siempre una dirección From en tu propio dominio.

Configura DMARC antes de aplicar enforcement. Nunca saltes directamente a p=reject. Empieza con p=none, recopila informes, valida que los correos de Constant Contact pasan DMARC y después progresa.

Mantén la alineación DKIM relajada. Usa adkim=r en tu registro DMARC. La alineación estricta (adkim=s) requeriría una coincidencia exacta del dominio en la firma DKIM, algo que la infraestructura de Constant Contact puede no lograr siempre en todos los subdominios.

Monitoriza regularmente. Incluso después de llegar a p=reject, sigue monitorizando los informes DMARC. Pueden aparecer nuevas fuentes de correo a medida que tu empresa adopta nuevas herramientas.

Cronograma para la configuración completa

Día 1:

• Acceder a los ajustes de auto-autenticación en Constant Contact
• Añadir los dos registros CNAME al DNS
• Publicar el registro DMARC con p=none

Días 2-3:

• Esperar la propagación DNS
• Activar DKIM en Constant Contact
• Verificar DKIM con el DKIM checker →

Semanas 1-4:

• Monitorizar los informes agregados DMARC
• Confirmar que los correos de Constant Contact pasan DMARC vía DKIM
• Identificar y corregir otros remitentes no autenticados

Semanas 5-8:

• Pasar a p=quarantine
• Monitorizar entregabilidad e informes
• Resolver cualquier incidencia

Semana 9 en adelante:

• Pasar a p=reject
• Mantener la monitorización continua

Siguientes pasos

Tus correos de Constant Contact son solo una pieza del puzzle de autenticación de correo de tu dominio. Si también envías correo a través de Google Workspace, Microsoft 365 o un proveedor de correo transaccional, cada uno de ellos también debe pasar DMARC.

Audita tu dominio ahora:

1. Comprobar registro SPF →
2. Verificar DKIM →
3. Probar registro DMARC →
4. Ejecutar puntuación completa del dominio →

¿Necesitas monitorización DMARC automatizada?

Leer informes DMARC en XML crudo manualmente es inviable a escala. DMARC Examiner parsea tus informes automáticamente, muestra los fallos de autenticación por fuente y te alerta cuando aparecen nuevos remitentes o DKIM deja de pasar.

Empieza a monitorizar gratis →

---

Artículos relacionados:

• SPF, DKIM y DMARC: la guía completa
• Autenticación de correo en tiendas Shopify: SPF, DKIM, DMARC
• Requisitos de Gmail y Yahoo 2024 para remitentes