:quality(35))
:quality(35))
SPF, DKIM y DMARC son tres mecanismos de autenticación que ayudan a los proveedores de correo a comprobar si un email enviado desde tu dominio es legítimo. No garantizan llegar siempre a la bandeja de entrada, pero sin ellos tus campañas tienen más riesgo de caer en spam, ser rechazadas o parecer sospechosas.
Si envías campañas con tuempresa.com, Gmail, Yahoo, Outlook y otros buzones necesitan señales para saber si ese envío está autorizado o intenta suplantar tu dominio.
¿Qué valida cada registro: SPF, DKIM y DMARC?
SPF valida qué servidores pueden enviar emails en nombre de tu dominio. DKIM añade una firma criptográfica al mensaje para comprobar que no se ha alterado. DMARC comprueba si SPF o DKIM pasan de forma alineada con el dominio visible y define qué política aplicar si esa evaluación falla.
Mecanismo | Qué comprueba | Ejemplo de riesgo si falta |
|---|---|---|
SPF | Si el servidor que envía está autorizado por el dominio | Un proveedor puede sospechar del envío |
DKIM | Si el mensaje conserva una firma válida del dominio | El email puede parecer alterado o poco fiable |
DMARC | Si SPF o DKIM pasan alineados y qué política aplicar si no lo hacen | El dominio queda más expuesto a suplantación |
La especificación técnica está documentada en tres RFC: RFC 7208 para SPF, RFC 6376 para DKIM y RFC 7489 para DMARC.
¿Qué es SPF?
SPF, Sender Policy Framework, es un registro DNS que indica qué servidores están autorizados a enviar emails usando tu dominio. Si envías desde una plataforma de email marketing, esa plataforma necesita estar autorizada para que el servidor receptor no vea el envío como algo extraño.
Google Workspace explica que SPF ayuda a evitar que spammers envíen mensajes no autorizados desde tu dominio. En la práctica, SPF responde a una pregunta concreta: “¿este servidor puede enviar por este dominio?”.
El error común es pensar que SPF “arregla” la entregabilidad por sí solo. No lo hace. SPF es una señal técnica necesaria, pero sigue importando la calidad de la lista, la reputación, el contenido, las bajas y la interacción de los contactos.
¿Qué es DKIM?
DKIM, DomainKeys Identified Mail, firma el mensaje con una clave asociada a tu dominio. El buzón receptor comprueba esa firma para saber si el email conserva integridad y si el dominio puede responsabilizarse del envío.
Dicho de forma simple: SPF mira quién envía; DKIM mira si el mensaje llega con una firma válida. Por eso suelen configurarse juntos. Una campaña puede pasar SPF y fallar DKIM, o al revés, según cómo esté montado el envío.
DKIM también puede ayudar cuando los emails pasan por reenvíos, siempre que el mensaje no se modifique de forma que rompa la firma. Si un sistema intermedio cambia partes firmadas del contenido o de las cabeceras, DKIM puede fallar; aun así, añade una prueba técnica más fuerte que un remitente visible sin autenticar.
No copies registros DNS de otro dominio ni inventes valores SPF, DKIM o DMARC. Cada proveedor genera instrucciones concretas. Un registro mal pegado puede romper la autenticación o dejar fuera sistemas que sí envían correos legítimos.
¿Qué es DMARC?
DMARC, Domain-based Message Authentication, Reporting and Conformance, usa SPF y DKIM para evaluar si el mensaje está autenticado y alineado con el dominio visible. Cuando esa evaluación falla, permite recibir informes y aplicar políticas: none, quarantine o reject.
La parte más importante de DMARC es la alineación. No basta con que exista una autenticación técnica cualquiera; el dominio autenticado debe encajar con el dominio que ve el destinatario. Esa alineación reduce el margen para suplantar marcas con correos que parecen legítimos.
Yahoo recomienda a remitentes seguir buenas prácticas de autenticación y mantener políticas alineadas con los requisitos actuales de los buzones. Desde 2024, Google y Yahoo han endurecido los requisitos para remitentes masivos, especialmente en autenticación, bajas y control de quejas; en Easymailing ya explicamos qué cambió con las nuevas reglas de Google y Yahoo.
¿Qué pasa si falta SPF, DKIM o DMARC?
Si falta SPF, DKIM o DMARC, el email puede seguir saliendo, pero llega con menos señales de confianza. Los buzones pueden marcarlo como sospechoso, enviarlo a spam, rechazarlo o limitar su rendimiento si el dominio acumula señales negativas.
En ese contexto, la documentación pública de Easymailing indica que no se permiten envíos a más de 1.000 contactos si el dominio del remitente no está autenticado.
Para envíos menores, Easymailing puede usar temporalmente un dominio autenticado mailbyem.com, pero la recomendación publicada es autenticar el dominio propio cuanto antes para enviar con el remitente original, mejorar reputación y evitar limitaciones de volumen.
¿Cómo se relaciona con spam y reputación de dominio?
La autenticación no decide sola si un correo va a spam. Es una base técnica. Después entran otras señales: reputación del dominio, historial de envíos, quejas, rebotes, engagement, listas antiguas, contenido y coherencia entre lo que prometiste y lo que envías.
La guía de Easymailing sobre spam y entregabilidad en email marketing lo resume bien: muchas veces el problema no es una sola causa, sino una suma de señales pequeñas. Un dominio sin autenticación bien resuelta es una de ellas.
También conviene revisar errores operativos básicos. Importar contactos fríos, enviar sin segmentar o esconder la baja puede dañar la reputación aunque SPF, DKIM y DMARC estén bien. La guía de errores habituales en email marketing ayuda a detectar esa parte menos técnica.
Tu plataforma avisa de dominio no autenticado.
Gmail o Yahoo rechazan campañas o las mandan a spam.
Has cambiado DNS, hosting o proveedor de email recientemente.
Usas varios sistemas que envían desde el mismo dominio.
No sabes si el SPF incluye todos los proveedores legítimos.
Tienes DMARC en reject sin haber revisado informes antes.
Checklist rápido antes de enviar campañas
Antes de enviar a una lista grande, revisa lo mínimo: dominio autenticado, remitente coherente, baja visible, lista con consentimiento, rebotes controlados y segmentación básica. La autenticación reduce riesgo técnico, pero no compensa una mala captación, una lista abandonada o un problema de reputación como los que explicamos en el caso de Spamhaus y email marketing.
Una revisión útil sería:
SPF publicado y validado.
DKIM activo para el dominio de envío.
DMARC creado con una política adecuada al momento.
Dominio visible alineado con la autenticación.
Baja fácil de encontrar.
Lista captada con permiso.
Primer envío a segmento activo, no a toda la base fría.
Las herramientas de entregabilidad de Easymailing guían la autenticación y protegen la reputación de envío. Si SPF, DKIM o DMARC te suenan demasiado técnicos, no improvises: revisa las instrucciones de tu proveedor o pide ayuda antes de tocar DNS.
¿Qué son SPF, DKIM y DMARC?
SPF, DKIM y DMARC son mecanismos de autenticación de email. SPF autoriza servidores de envío, DKIM firma el mensaje y DMARC define cómo tratar emails que no pasan SPF ni DKIM de forma alineada. Juntos ayudan a demostrar que un envío desde tu dominio es legítimo.