¿Tus correos van a spam aunque DMARC esté en None? Esto es lo que pasa

Tu política DMARC está configurada como p=none, lo que significa que le estás diciendo a los proveedores de email que no tomen ninguna acción sobre los mensajes que fallen las comprobaciones DMARC. Entonces, ¿por qué tus correos siguen cayendo en spam? La respuesta es que DMARC es solo uno de los muchos factores que determinan si un email llega a la bandeja de entrada. Una política p=none no protege tus correos de ser filtrados — simplemente significa que DMARC en sí no los bloqueará.

Por qué DMARC "None" no evita el filtrado de spam

Un error habitual es pensar que p=none es una configuración "segura" o "permisiva" que garantiza la entrega. En realidad, p=none solo afecta a lo que ocurre cuando un email falla la evaluación DMARC:

Política	Qué ocurre con los correos que fallan
p=none	Se entregan normalmente (pero se reportan)
p=quarantine	Se envían a la carpeta de spam/correo no deseado
p=reject	Se bloquean por completo

Sin embargo, proveedores de email como Gmail, Outlook y Yahoo usan docenas de señales adicionales más allá de DMARC para decidir la ubicación en la bandeja de entrada:

• Resultado de SPF (pasa/falla)
• Validez de la firma DKIM
• Reputación de la IP del remitente
• Contenido y formato del email
• Patrones y volumen de envío
• Engagement del usuario (aperturas, clics, reportes de spam)
• Antigüedad y reputación del dominio

Aunque tengas p=none, si alguna de estas señales es negativa, tus correos serán filtrados a spam.

Causas habituales y cómo diagnosticarlas

Causa 1: Fallos de SPF

SPF (Sender Policy Framework) indica a los servidores receptores qué IPs están autorizadas a enviar correo en nombre de tu dominio. Si tus correos se envían desde una IP que no está en tu registro SPF, fallan SPF — y eso es una señal fuerte de spam independientemente de tu política DMARC.

Cómo comprobarlo:

1. Abre el verificador de SPF e introduce tu dominio
2. Busca errores como "IP not authorized" o "too many DNS lookups"
3. Si tu registro SPF no existe, usa el generador de SPF

Problemas habituales de SPF:

• Servicios de terceros (CRM, newsletter, email transaccional) no incluidos en SPF
• Superar el límite de 10 consultas DNS (cómo solucionarlo)
• Usar -all (hard fail) en lugar de ~all (soft fail) mientras aún estás configurando

Causa 2: DKIM ausente o roto

DKIM (DomainKeys Identified Mail) firma criptográficamente tus correos, demostrando que no han sido manipulados. Sin DKIM — o con una configuración DKIM rota — los servidores receptores tienen menos motivos para confiar en tus correos.

Cómo comprobarlo:

1. Abre el verificador de DKIM e introduce tu dominio
2. La herramienta buscará selectores comunes y mostrará su estado
3. Si DKIM no está configurado, sigue la guía de configuración DKIM

Problemas habituales de DKIM:

• DKIM no habilitado en los ajustes del proveedor de email
• Registro DNS no publicado (ver selector DKIM no encontrado)
• Firma invalidada por reenvío de email o modificación en listas de correo

Causa 3: Mala reputación de IP

Cada dirección IP de envío tiene una puntuación de reputación mantenida por los proveedores de email y operadores de listas de bloqueo. Si tus correos se envían desde una IP con mala reputación (por spam previo, hosting compartido o cuentas comprometidas), serán filtrados independientemente de tu configuración de autenticación.

Cómo comprobarlo:

• Busca tu IP de envío en verificadores de listas de bloqueo como MXToolbox o Spamhaus
• Revisa el panel de reputación de envío de tu proveedor de email
• Consulta tus informes DMARC en busca de IPs desconocidas enviando desde tu dominio

Problemas habituales de reputación de IP:

• Usar direcciones IP compartidas (habitual en servicios de email económicos)
• Enviar desde una IP previamente utilizada para spam
• Picos de volumen repentinos que activan limitaciones de tasa
• Estar en listas de bloqueo basadas en DNS (DNSBLs)

Causa 4: Problemas con el contenido del email

Los filtros antispam analizan el contenido de tus correos en busca de patrones asociados habitualmente con spam. Aunque la autenticación sea perfecta, las malas prácticas de contenido te llevarán a la carpeta de spam.

Señales de alerta en el contenido:

• Uso excesivo de lenguaje comercial ("GRATIS!", "Compra ahora!", "Tiempo limitado!")
• Ratio alto de imagen frente a texto
• Acortadores de URL en los enlaces
• Falta de enlace de cancelación de suscripción (obligatorio por ley para emails de marketing)
• Emails solo HTML sin alternativa en texto plano
• Adjuntos grandes o tipos de archivo sospechosos

Causa 5: Fallos de alineamiento DMARC

Aunque SPF y DKIM pasen individualmente, DMARC requiere alineamiento — el dominio en la cabecera From: debe coincidir con el dominio usado en las comprobaciones SPF o DKIM. Si no se alinean, DMARC falla.

Por ejemplo, si la cabecera From: de tu correo dice usuario@tudominio.com pero la comprobación SPF pasa para bounce.serviciomail.com, eso es un fallo de alineamiento SPF. DMARC necesita que al menos SPF o DKIM pasen y estén alineados.

Cómo comprobarlo:

Ejecuta una auditoría completa de cumplimiento con el verificador de cumplimiento de email — comprueba SPF, DKIM y alineamiento DMARC en un solo paso.

Diagnóstico paso a paso

Sigue este checklist para encontrar y corregir el problema de forma sistemática:

1. Comprueba SPF

Ve a Verificador de SPF →

• ¿Existe un registro SPF? Si no, crea uno con el generador de SPF
• ¿Incluye todos tus servicios de envío?
• ¿Está por debajo del límite de 10 consultas DNS?

2. Comprueba DKIM

Ve a Verificador de DKIM →

• ¿Está DKIM habilitado en tu proveedor de email?
• ¿El registro DNS está publicado correctamente?
• ¿Todos tus servicios de envío firman con DKIM?

3. Comprueba el alineamiento DMARC

Ve a Verificador de DMARC →

• ¿El alineamiento está en relajado (adkim=r; aspf=r)? Esto es más permisivo.
• ¿Los dominios de SPF y DKIM coinciden con tu dominio From:?

4. Ejecuta una auditoría completa de cumplimiento

Ve a Verificador de cumplimiento de email →

• Esto comprueba todo junto y te muestra exactamente qué pasa y qué falla
• Sigue las recomendaciones para cada comprobación que falle

5. Comprueba tu Domain Score

Ve a Domain Score →

• Obtén una valoración global de la salud de autenticación de tu email
• Identifica las áreas específicas que necesitan mejora

Soluciones específicas para cada causa

Corregir fallos de SPF

Añade todos tus servicios de envío a tu registro SPF:

v=spf1 include:_spf.google.com include:sendgrid.net include:mailchimp.com ~all

Usa ~all (soft fail) en lugar de -all (hard fail) mientras aún estás consolidando tu configuración.

Corregir DKIM ausente

Habilita DKIM en cada servicio de envío y publica los registros DNS necesarios. La mayoría de proveedores lo resuelven con un solo clic en su consola de administración:

• Google Workspace: Consola de administración → Gmail → Autenticar correo
• Microsoft 365: Centro de administración de Exchange → DKIM
• Remitentes de terceros: Revisa sus ajustes de autenticación/verificación de dominio

Corregir problemas de alineamiento

Asegúrate de que tus servicios de envío están configurados para usar tu dominio (no el suyo) en la cabecera From: y el dominio de firma DKIM. La mayoría de servicios ofrecen funcionalidades de "dominio personalizado" o "autenticación de dominio" para esto.

Corregir problemas de contenido

• Usa una herramienta de testing de email reputada para comprobar tu puntuación de spam antes de enviar
• Mantén un ratio saludable de texto frente a imágenes
• Incluye un enlace de cancelación de suscripción visible
• Envía desde una dirección From: consistente
• Calienta las IPs nuevas gradualmente (empieza con volúmenes pequeños)

Cuándo ir más allá de p=none

La política p=none está pensada como algo temporal — una fase de monitorización mientras identificas todos los remitentes legítimos y corriges los problemas de autenticación. Una vez que tus informes muestren tasas de aprobación altas de forma consistente:

1. Pasa a p=quarantine; pct=25 — Empieza filtrando a spam el 25% de los correos que fallen
2. Sube a p=quarantine; pct=100 — Filtra todos los correos que fallen
3. Pasa a p=reject — Bloquea los correos suplantados por completo

Usa el generador de políticas DMARC para crear el registro en cada etapa.

Pasar a p=reject en realidad mejora la reputación de tu dominio porque les dice a los proveedores de email que te tomas en serio la autenticación y evita que los spammers suplanten tu dominio.

Monitoriza con DMARC Examiner

Diagnosticar problemas de entregabilidad es mucho más fácil cuando tienes visibilidad sobre tus informes DMARC. DMARC Examiner analiza automáticamente tus informes agregados, te muestra qué remitentes fallan la autenticación y te ayuda a identificar exactamente por qué los correos van a spam.

Deja de adivinar y empieza a monitorizar. Empieza gratis →

---

Artículos relacionados:

• ¿Por qué mis correos van a spam?
• Fallos de alineamiento DMARC: diagnóstico y soluciones
• Política DMARC: None, Quarantine y Reject