SPF, DKIM y DMARC: La guía completa de autenticación de email

Domina la autenticación de correo electrónico con esta guía completa sobre SPF, DKIM y DMARC. Aprende cómo funcionan juntos estos protocolos para proteger la entrega de tus emails.

15 de diciembre de 2025
14 min de lectura
Share:
SPF, DKIM y DMARC: La guía completa de autenticación de email

Introducción

La autenticación de email no es una sola tecnología: es un sistema de seguridad de tres capas. SPF, DKIM y DMARC trabajan juntos como cerraduras en una puerta, cada uno añadiendo un tipo de protección diferente.

Esta guía completa explica los tres protocolos, cómo se complementan entre sí y cómo implementarlos correctamente. Al terminar, entenderás el stack completo de autenticación de email y por qué cada pieza es importante.

El problema de confianza del email

El correo electrónico se diseñó en los años 70 sin seguridad incorporada. El protocolo original (SMTP) no tiene forma de verificar que un email realmente proviene del dominio que dice ser.

Esto genera problemas serios:

  • Phishing: Los estafadores suplantan bancos, compañeros de trabajo o marcas de confianza
  • Spoofing: Cualquiera puede enviar emails diciendo ser de tu dominio
  • Spam: Los spammers falsifican direcciones de remitente para evadir filtros
  • Fraude: Los ataques de Business Email Compromise (BEC) cuestan miles de millones a las empresas cada año

SPF, DKIM y DMARC se desarrollaron para resolver estos problemas. Cada uno aborda un aspecto diferente de la autenticación de email.

SPF: Sender Policy Framework

Qué hace SPF

SPF responde a la pregunta: "¿Está este servidor autorizado para enviar email desde este dominio?"

Piensa en SPF como una lista de invitados para un evento privado. Publicas una lista de direcciones IP y servidores autorizados para enviar email desde tu dominio. Cuando llega un correo, el servidor receptor comprueba si la IP del remitente está en tu lista.

Cómo funciona SPF

  1. Publicas un registro SPF en el DNS de tu dominio:

    v=spf1 ip4:192.0.2.1 include:_spf.google.com ~all

  2. Se envía un email desde tu dominio

  3. El servidor receptor comprueba si la IP del remitente coincide con tu registro SPF

  4. Resultado: Pass, Fail o SoftFail

Desglose de un registro SPF

Vamos a decodificar un registro SPF típico:

v=spf1 ip4:192.0.2.1 include:_spf.google.com include:mailgun.org ~all
  • v=spf1: Este es un registro SPF versión 1
  • ip4:192.0.2.1: Autoriza esta dirección IP específica
  • include:_spf.google.com: Incluye los servidores autorizados de Google Workspace
  • include:mailgun.org: Incluye los servidores autorizados de Mailgun
  • ~all: SoftFail para todo lo demás (tratar como sospechoso pero no rechazar)

Mecanismos SPF explicados

Autorización directa por IP:

  • ip4:192.0.2.1 - Dirección IPv4 específica
  • ip6:2001:db8::1 - Dirección IPv6 específica
  • ip4:192.0.2.0/24 - Rango de IPs

Autorización basada en dominio:

  • a - Servidores listados en el registro A del dominio
  • mx - Servidores listados en el registro MX del dominio
  • include:domain.com - Usar el registro SPF de otro dominio

Cualificador final (all):

  • +all - Permitir todo (peligroso, no usar)
  • ~all - SoftFail (recomendado para la mayoría)
  • -all - HardFail (estricto, rechazar no autorizados)
  • ?all - Neutral (sin preferencia)

Errores comunes con SPF

1. Demasiadas consultas DNS

SPF tiene un límite de 10 consultas DNS. Cada mecanismo include, a o mx cuenta como una consulta.

Mal (15 consultas, fallará):

v=spf1 include:spf1.com include:spf2.com include:spf3.com
include:spf4.com include:spf5.com include:spf6.com
include:spf7.com include:spf8.com include:spf9.com
include:spf10.com include:spf11.com -all

Mejor (usa SPF flattening o elimina servicios no utilizados):

v=spf1 include:_spf.google.com include:spf.protection.outlook.com
ip4:192.0.2.0/24 -all

2. Múltiples registros SPF

Solo puedes tener UN registro SPF por dominio. Tener varios registros hará que todos fallen.

3. Olvidar remitentes de terceros

Si utilizas servicios como Mailchimp, SendGrid o sistemas de soporte que envían email desde tu dominio, debes incluirlos en tu registro SPF.

Comprobar tu registro SPF

Verifica tu configuración SPF:

DKIM: DomainKeys Identified Mail

Qué hace DKIM

DKIM responde a la pregunta: "¿Se ha manipulado este email desde que se envió?"

Piensa en DKIM como un sello de lacre en una carta. Demuestra que el mensaje proviene de ti y que no ha sido alterado en tránsito.

Cómo funciona DKIM

  1. Tu servidor de correo añade una firma digital a cada email saliente usando una clave privada

  2. Publicas la clave pública en tus registros DNS

  3. Los servidores receptores verifican la firma usando tu clave pública

  4. Si la firma es válida, el email no ha sido manipulado

Flujo técnico de DKIM

Envío:

Email creado → Se añade firma DKIM → Email enviado
                 (usando clave privada)

Recepción:

Email llega → Se extrae firma DKIM → Se busca clave pública en DNS
             → Se verifica la firma → Pass o Fail

Ejemplo de registro DKIM

Registro DNS (en selector._domainkey.tudominio.com):

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC...
  • v=DKIM1: DKIM versión 1
  • k=rsa: Usa cifrado RSA
  • p=...: La clave pública (truncada aquí)

Selectores DKIM

El "selector" es un nombre que eliges para identificar diferentes claves DKIM. Esto permite la rotación de claves y tener múltiples claves para distintos propósitos.

Selectores comunes:

  • google (Google Workspace)
  • selector1, selector2 (Microsoft 365)
  • default (muchos proveedores)
  • Personalizados: mail, k1, dkim

Para comprobar un registro DKIM:

dig selector._domainkey.tudominio.com TXT

Buenas prácticas de DKIM

1. Usa claves de 2048 bits

Las claves más largas son más seguras. Muchos proveedores recomiendan actualmente claves de 2048 bits en lugar de 1024 bits.

2. Rota las claves periódicamente

Cambia tus claves DKIM cada 6-12 meses. Usa selectores para gestionar la rotación:

  • Publica la nueva clave con un nuevo selector
  • Actualiza el servidor de correo para firmar con la nueva clave
  • Elimina la clave antigua tras la propagación

3. Firma todos los emails salientes

Configura tu servidor de correo para firmar todos los mensajes, no solo algunos.

4. Monitoriza los fallos de DKIM

Usa los informes DMARC para identificar cuándo las firmas DKIM están fallando.

Problemas comunes con DKIM

Problema: Firma DKIM inválida

  • Causa: El email fue modificado en tránsito (frecuente con listas de correo)
  • Solución: Consulta con tu proveedor de email, verifica que el registro DNS sea correcto

Problema: Registro DKIM no encontrado

  • Causa: Selector incorrecto, DNS no propagado o no configurado
  • Solución: Verifica el nombre del selector y el registro DNS

Problema: Longitud de clave demasiado corta

  • Causa: Uso de claves de 1024 bits
  • Solución: Actualiza a claves de 2048 bits

DMARC: Domain-based Message Authentication

Qué hace DMARC

DMARC responde a la pregunta: "¿Qué debería hacer si SPF o DKIM fallan?"

DMARC une SPF y DKIM y le dice a los servidores receptores qué hacer con los emails que no superan la autenticación.

Piensa en DMARC como el supervisor que aplica tus políticas de seguridad y te envía informes diarios.

Cómo funciona DMARC

  1. Publicas una política DMARC en DNS
  2. Se envía un email desde tu dominio
  3. El servidor receptor verifica SPF y DKIM
  4. DMARC comprueba la alineación (¿coincide el dominio del "From"?)
  5. El servidor aplica tu política (none, quarantine o reject)
  6. Se te envían informes diariamente

Ejemplo de registro DMARC

v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@tudominio.com;
ruf=mailto:forensic@tudominio.com; fo=1; adkim=r; aspf=r

Decodifiquemos cada etiqueta:

  • v=DMARC1: DMARC versión 1
  • p=reject: Política: rechazar emails que fallan
  • pct=100: Aplicar la política al 100% de los emails que fallan
  • rua=mailto:...: Enviar informes agregados a esta dirección
  • ruf=mailto:...: Enviar informes forenses (de fallo) aquí
  • fo=1: Opciones de informes forenses
  • adkim=r: Modo de alineación DKIM (relajado)
  • aspf=r: Modo de alineación SPF (relajado)

Políticas DMARC explicadas

p=none (Modo monitorización)

v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com
  • Efecto: Sin aplicación, solo envía informes
  • Caso de uso: Configuración inicial, monitorización
  • Duración: Mínimo 2-4 semanas

p=quarantine (Aplicación parcial)

v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@tudominio.com
  • Efecto: Envía los emails que fallan a spam/no deseado
  • Caso de uso: Despliegue gradual
  • Duración: 2-4 semanas antes de pasar a reject

p=reject (Aplicación total)

v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@tudominio.com
  • Efecto: Bloquea los emails que fallan por completo
  • Caso de uso: Máxima protección
  • Requisito: Todos los remitentes legítimos deben estar autenticados

Alineación DMARC: La pieza clave

DMARC no solo comprueba si SPF/DKIM pasan, sino que verifica la alineación.

Alineación significa que el dominio en la cabecera "From" coincide con el dominio que pasó SPF o DKIM.

Ejemplo de falta de alineación:

  • Cabecera "From" del email: usuario@tudominio.com
  • SPF pasa para: mailserver.dominioproveedor.com
  • Resultado: SPF pasa pero DMARC falla (sin alineación)

Dos modos de alineación:

  1. Relajado (r): Los dominios organizacionales pueden diferir

    • mail.tudominio.com se alinea con tudominio.com

  2. Estricto (s): Los dominios deben coincidir exactamente

    • mail.tudominio.com NO se alinea con tudominio.com

La mayoría de las organizaciones usan alineación relajada (adkim=r; aspf=r).

Informes DMARC: Tu sistema de inteligencia

DMARC proporciona dos tipos de informes:

Informes agregados (RUA)

  • Enviados diariamente por los proveedores de email
  • Formato XML (difícil de leer manualmente)
  • Muestran toda la actividad de email de tu dominio
  • Incluyen estadísticas de pass/fail

Informes forenses (RUF)

  • Enviados inmediatamente cuando un email falla DMARC
  • Contienen muestras de emails fallidos
  • Preocupaciones de privacidad: no muy adoptados
  • La mayoría de proveedores no los envían

Qué te dicen los informes:

  • Todos los servicios que envían email desde tu dominio
  • Qué emails están fallando la autenticación
  • IPs de origen de remitentes no autorizados
  • Tu tasa de éxito de autenticación

Cómo trabajan juntos SPF, DKIM y DMARC

El flujo de autenticación

Email enviado desde tudominio.com
         ↓
    [Verificación SPF]
    ¿La IP del remitente está autorizada?
         ↓
    [Verificación DKIM]
    ¿La firma es válida?
         ↓
  [Alineación DMARC]
  ¿Coincide el dominio "From"?
         ↓
  [Política DMARC]
  ¿Qué hacer si falla?
         ↓
  Entregar / Cuarentena / Rechazar

Las tres capas de protección

Capa 1: SPF (Autorización del servidor)

  • Verifica que el servidor remitente está autorizado
  • Previene el spoofing básico de IP
  • Limitaciones: Solo verifica el remitente del sobre, no la cabecera "From"

Capa 2: DKIM (Integridad del contenido)

  • Verifica que el email no ha sido modificado
  • Sobrevive al reenvío de emails (normalmente)
  • Limitaciones: No verifica la autorización del remitente

Capa 3: DMARC (Aplicación de políticas)

  • Requiere alineación de SPF o DKIM
  • Aplica qué hacer con los fallos
  • Proporciona visibilidad a través de informes

Por qué necesitas los tres

Solo SPF:

  • Protege contra spoofing básico
  • Se rompe fácilmente con reenvíos
  • Sin visibilidad de los fallos

SPF + DKIM:

  • Autenticación más robusta
  • Mejor entregabilidad
  • Aún sin aplicación de políticas ni informes

SPF + DKIM + DMARC:

  • Protección completa
  • Aplicación de tu política
  • Informes diarios sobre la actividad de email
  • Cumplimiento de estándares del sector

Hoja de ruta de implementación

Fase 1: SPF (Semana 1)

  1. Audita todos los servicios que envían email desde tu dominio
  2. Crea el registro SPF con todos los remitentes autorizados
  3. Empieza con ~all (soft fail)
  4. Prueba con las cabeceras de email
  5. Monitoriza posibles problemas
  6. Cambia a -all cuando tengas confianza

Fase 2: DKIM (Semana 2)

  1. Activa DKIM en tu proveedor de email
  2. Publica la clave pública DKIM en DNS
  3. Verifica las firmas en los emails salientes
  4. Añade DKIM para todos los remitentes de terceros
  5. Prueba con múltiples destinatarios

Fase 3: Monitorización DMARC (Semanas 3-6)

  1. Crea el registro DMARC con p=none
  2. Configura un email para recibir los informes
  3. Monitoriza los informes durante 2-4 semanas
  4. Identifica todos los remitentes legítimos
  5. Corrige cualquier problema de autenticación

Fase 4: Aplicación DMARC (Semanas 7-10)

  1. Cambia a p=quarantine
  2. Monitoriza durante 2-4 semanas
  3. Resuelve cualquier problema con emails legítimos
  4. Cambia a p=reject
  5. Mantén la monitorización continua

Herramientas y pruebas

Comprobar tus registros

DMARC:

dig _dmarc.tudominio.com TXT

O usa: Herramienta DMARC Checker

SPF:

dig tudominio.com TXT

O usa: Herramienta SPF Checker

DKIM:

dig selector._domainkey.tudominio.com TXT

O usa: Herramienta DKIM Checker

Análisis completo del dominio

Obtén una puntuación de seguridad completa: Herramienta Domain Score

Leer cabeceras de email

Envíate un email de prueba y revisa las cabeceras en busca de resultados de autenticación:

Authentication-Results: mx.google.com;
       dkim=pass header.i=@tudominio.com;
       spf=pass smtp.mailfrom=tudominio.com;
       dmarc=pass (p=REJECT)

Resolución de problemas comunes

Problema: Límite de consultas SPF superado

Síntomas: SPF falla con "too many DNS lookups" Solución: Usa SPF flattening o elimina includes no utilizados Leer más: Guía: SPF Too Many DNS Lookups

Problema: Firma DKIM inválida

Síntomas: DKIM no pasa la validación Solución: Comprueba la longitud de la clave, el selector y la propagación DNS Leer más: Solución de problemas con firma DKIM inválida

Problema: Fallo de alineación DMARC

Síntomas: SPF/DKIM pasan pero DMARC falla Solución: Verifica que el dominio "From" coincida con el dominio autenticado Leer más: Soluciones para fallo de alineación DMARC

Problema: Emails legítimos van a spam

Síntomas: Tras activar DMARC, algunos emails reales se bloquean Solución: Revisa los informes DMARC, corrige la autenticación de los servicios afectados Solución temporal: Baja la política a p=none mientras investigas

Requisitos del sector

Gmail y Yahoo (Requisitos 2024)

Desde febrero de 2024, Gmail y Yahoo requieren:

  • Autenticación SPF y DKIM
  • Política DMARC (como mínimo p=none)
  • Desuscripción con un clic para remitentes masivos
  • Tasa de spam por debajo del 0,3%

Leer detalles completos: Requisitos de Gmail y Yahoo 2024

Estándares de cumplimiento

Muchos marcos de cumplimiento requieren o recomiendan la autenticación de email:

  • PCI-DSS: Controles de seguridad de email
  • HIPAA: Protección de comunicaciones electrónicas
  • CMMC: Autenticación de email requerida
  • GDPR: Seguridad de datos personales en emails

Temas avanzados

Políticas de subdominios

Puedes configurar políticas DMARC diferentes para los subdominios:

v=DMARC1; p=reject; sp=quarantine; rua=mailto:dmarc@tudominio.com
  • p=reject: Política del dominio principal
  • sp=quarantine: Política de subdominios

Despliegue basado en porcentaje

Aplica la política a un porcentaje de los emails que fallan:

v=DMARC1; p=reject; pct=25; rua=mailto:dmarc@tudominio.com

Esto aplica la política de rechazo solo al 25% de los emails que fallan, útil para despliegues cautelosos.

BIMI: Brand Indicators for Message Identification

Una vez que tengas DMARC en p=quarantine o p=reject, puedes implementar BIMI para mostrar tu logotipo en los clientes de email:

  • Requiere DMARC en modo de aplicación
  • Necesita un certificado de marca verificada (VMC)
  • Compatible con Gmail, Yahoo y otros

Conclusión

La autenticación de email ya no es opcional: es un requisito fundamental para la entregabilidad y la seguridad del correo electrónico en 2025.

Ideas clave:

  1. SPF autoriza los servidores para enviar desde tu dominio
  2. DKIM verifica la integridad del email con firmas criptográficas
  3. DMARC aplica políticas y proporciona informes
  4. Los tres trabajan juntos para crear un sistema completo de autenticación
  5. Empieza con monitorización (p=none) antes de aplicar políticas
  6. Los informes DMARC son esenciales para tener visibilidad
  7. Gmail y Yahoo ahora requieren autenticación para remitentes masivos

El proceso de implementación toma entre 6 y 10 semanas, pero protege tu dominio, mejora la entregabilidad y genera confianza con tus destinatarios.

Siguientes pasos

¿Listo para implementar la autenticación completa de email?

  1. Comprueba tu configuración actual: Herramienta Domain Score
  2. Verifica cada protocolo:
  3. Obtén monitorización automatizada: Empieza gratis con análisis de informes DMARC y alertas

¿Necesitas ayuda experta? Nuestra plataforma proporciona guías de implementación paso a paso y análisis automatizado de informes DMARC.

Artículos relacionados:

Tags:spfdkimdmarcemail-authentication

¿Listo para mejorar la entregabilidad de tus emails?

Empieza a monitorizar tus reportes DMARC y obtén información sobre tu configuración de autenticación.

Comenzar Prueba Gratuita

Artículos Relacionados

Cómo configurar DMARC, SPF y DKIM en Constant Contact
platform guides

Cómo configurar DMARC, SPF y DKIM en Constant Contact

Guía completa para configurar SPF, DKIM y DMARC en Constant Contact. Resuelve problemas de autenticación y mejora la entregabilidad de tus correos.

7 de marzo de 2026
11 min de lectura
getting started

Cómo leer informes DMARC en XML (con ejemplos)

Aprende a leer y entender los informes XML agregados de DMARC. Ejemplos anotados con metadatos del informe, política, resultados de autenticación y cómo detectar problemas.

2 de marzo de 2026
7 min de lectura
Políticas DMARC explicadas: None vs Quarantine vs Reject
getting started

Políticas DMARC explicadas: None vs Quarantine vs Reject

Entiende las tres políticas DMARC (p=none, p=quarantine, p=reject) y aprende cuándo usar cada una para conseguir la mejor seguridad y entregabilidad de email.

15 de diciembre de 2025
11 min de lectura