---
title: "SPF, DKIM y DMARC: qué son y cómo afectan"
url: https://easymailing.com/blog/spf-dkim-dmarc-entregabilidad
type: blog-article
summary: "Explicación clara de SPF, DKIM y DMARC: qué valida cada registro y cómo influyen en spam, reputación y autenticación de dominio."
published: 2026-05-01
---

# SPF, DKIM y DMARC: qué son y cómo afectan

**SPF, DKIM y DMARC** son tres mecanismos de autenticación que ayudan a los proveedores de correo a comprobar si un email enviado desde tu dominio es legítimo. No garantizan llegar siempre a la bandeja de entrada, pero sin ellos tus campañas tienen más riesgo de caer en spam, ser rechazadas o parecer sospechosas.

Si envías campañas con `tuempresa.com`, Gmail, Yahoo, Outlook y otros buzones necesitan señales para saber si ese envío está autorizado o intenta suplantar tu dominio.

## ¿Qué valida cada registro: SPF, DKIM y DMARC?

SPF valida qué servidores pueden enviar emails en nombre de tu dominio. DKIM añade una firma criptográfica al mensaje para comprobar que no se ha alterado. DMARC comprueba si SPF o DKIM pasan de forma alineada con el dominio visible y define qué política aplicar si esa evaluación falla.

La especificación técnica está documentada en tres RFC: [RFC 7208 para SPF](https://datatracker.ietf.org/doc/html/rfc7208), [RFC 6376 para DKIM](https://datatracker.ietf.org/doc/html/rfc6376) y [RFC 7489 para DMARC](https://datatracker.ietf.org/doc/html/rfc7489).

## ¿Qué es SPF?

SPF, Sender Policy Framework, es un registro DNS que indica qué servidores están autorizados a enviar emails usando tu dominio. Si envías desde una plataforma de email marketing, esa plataforma necesita estar autorizada para que el servidor receptor no vea el envío como algo extraño.

[Google Workspace explica](https://support.google.com/a/answer/81126?hl=es) que SPF ayuda a evitar que spammers envíen mensajes no autorizados desde tu dominio. En la práctica, SPF responde a una pregunta concreta: “¿este servidor puede enviar por este dominio?”.

El error común es pensar que SPF “arregla” la entregabilidad por sí solo. No lo hace. SPF es una señal técnica necesaria, pero sigue importando la calidad de la lista, la reputación, el contenido, las bajas y la interacción de los contactos.

## ¿Qué es DKIM?

DKIM, DomainKeys Identified Mail, firma el mensaje con una clave asociada a tu dominio. El buzón receptor comprueba esa firma para saber si el email conserva integridad y si el dominio puede responsabilizarse del envío.

Dicho de forma simple: SPF mira quién envía; DKIM mira si el mensaje llega con una firma válida. Por eso suelen configurarse juntos. Una campaña puede pasar SPF y fallar DKIM, o al revés, según cómo esté montado el envío.

DKIM también puede ayudar cuando los emails pasan por reenvíos, siempre que el mensaje no se modifique de forma que rompa la firma. Si un sistema intermedio cambia partes firmadas del contenido o de las cabeceras, DKIM puede fallar; aun así, añade una prueba técnica más fuerte que un remitente visible sin autenticar.

## ¿Qué es DMARC?

DMARC, Domain-based Message Authentication, Reporting and Conformance, usa SPF y DKIM para evaluar si el mensaje está autenticado y alineado con el dominio visible. Cuando esa evaluación falla, permite recibir informes y aplicar políticas: none, quarantine o reject.

La parte más importante de DMARC es la alineación. No basta con que exista una autenticación técnica cualquiera; el dominio autenticado debe encajar con el dominio que ve el destinatario. Esa alineación reduce el margen para suplantar marcas con correos que parecen legítimos.

[Yahoo recomienda](https://senders.yahooinc.com/best-practices/) a remitentes seguir buenas prácticas de autenticación y mantener políticas alineadas con los requisitos actuales de los buzones. Desde 2024, Google y Yahoo han endurecido los requisitos para remitentes masivos, especialmente en autenticación, bajas y control de quejas; en Easymailing ya explicamos [qué cambió con las nuevas reglas de Google y Yahoo](/blog/cambios-en-la-autenticacion-de-google-y-yahoo-en-que-te-afectan).

## ¿Qué pasa si falta SPF, DKIM o DMARC?

Si falta SPF, DKIM o DMARC, el email puede seguir saliendo, pero llega con menos señales de confianza. Los buzones pueden marcarlo como sospechoso, enviarlo a spam, rechazarlo o limitar su rendimiento si el dominio acumula señales negativas.

En ese contexto, la documentación pública de Easymailing indica que no se permiten envíos a más de 1.000 contactos si el dominio del remitente no está autenticado.

Para envíos menores, Easymailing puede usar temporalmente un dominio autenticado `mailbyem.com`, pero la recomendación publicada es autenticar el dominio propio cuanto antes para enviar con el remitente original, mejorar reputación y evitar limitaciones de volumen.

## ¿Cómo se relaciona con spam y reputación de dominio?

La autenticación no decide sola si un correo va a spam. Es una base técnica. Después entran otras señales: reputación del dominio, historial de envíos, quejas, rebotes, engagement, listas antiguas, contenido y coherencia entre lo que prometiste y lo que envías.

La guía de Easymailing sobre [spam y entregabilidad en email marketing](/blog/spam-y-entregabilidad-email-marketing) lo resume bien: muchas veces el problema no es una sola causa, sino una suma de señales pequeñas. Un dominio sin autenticación bien resuelta es una de ellas.

También conviene revisar errores operativos básicos. Importar contactos fríos, enviar sin segmentar o esconder la baja puede dañar la reputación aunque SPF, DKIM y DMARC estén bien. La guía de [errores habituales en email marketing](/blog/errores-habituales-en-email-marketing-y-como-evitarlos) ayuda a detectar esa parte menos técnica.

## Checklist rápido antes de enviar campañas

Antes de enviar a una lista grande, revisa lo mínimo: dominio autenticado, remitente coherente, baja visible, lista con consentimiento, rebotes controlados y segmentación básica. La autenticación reduce riesgo técnico, pero no compensa una mala captación, una lista abandonada o un problema de reputación como los que explicamos en el caso de [Spamhaus y email marketing](/blog/spamhaus-email-marketing).

Una revisión útil sería:

1. SPF publicado y validado.
2. DKIM activo para el dominio de envío.
3. DMARC creado con una política adecuada al momento.
4. Dominio visible alineado con la autenticación.
5. Baja fácil de encontrar.
6. Lista captada con permiso.
7. Primer envío a segmento activo, no a toda la base fría.

Las [herramientas de entregabilidad de Easymailing](/plataforma/entregabilidad) guían la autenticación y protegen la reputación de envío. Si SPF, DKIM o DMARC te suenan demasiado técnicos, no improvises: revisa las instrucciones de tu proveedor o pide ayuda antes de tocar DNS.

---

[Ver página completa](https://easymailing.com/blog/spf-dkim-dmarc-entregabilidad)