SPF, DKIM, DMARC: Guía Práctica para PYMEs (2026)

SPF, DKIM, DMARC: Guía Práctica para PYMEs (2026)

Si tus emails terminan en spam a pesar de tener contenidos perfectos y subject lines optimizados, el problema podría ser técnico. SPF, DKIM y DMARC son los tres protocolos de autenticación de email que determinan si los proveedores (Gmail, Outlook, Yahoo) consideran tus emails legítimos o potencialmente fraudulentos.

En esta guía práctica descubrirás cómo configurar correctamente estos tres protocolos, incluso sin conocimientos técnicos avanzados. Te mostraré paso a paso qué hacer, qué errores evitar y cómo verificar que todo funcione correctamente.

Por Qué SPF, DKIM y DMARC Son Fundamentales

Imagina recibir un email que dice provenir de tu banco, pero en realidad es un intento de phishing. ¿Cómo hace Gmail para saber si ese email es realmente de tu banco o de un estafador?

La respuesta son SPF, DKIM y DMARC: tres protocolos que permiten a los proveedores de email verificar la identidad del remitente.

Los Números Hablan Claro

Según un estudio de Validity (2025), los emails con autenticación completa (SPF + DKIM + DMARC) tienen:

• 22% más de deliverability comparado con emails sin autenticación
• 45% menos probabilidad de terminar en spam
• 67% más confianza por parte de los proveedores de email

Para las PYMEs españolas e italianas, esto se traduce en:

• Más emails que llegan a destino (menos dinero desperdiciado)
• Mayor reputación del dominio (efecto compuesto en el tiempo)
• Protección de la marca (nadie puede hacerse pasar por tu empresa)

Qué Son SPF, DKIM y DMARC (Explicación Simple)

SPF (Sender Policy Framework)

En palabras simples: SPF es una lista de servidores autorizados para enviar emails en nombre de tu dominio.

Ejemplo práctico:

Imagina que tienes un restaurante y das permiso solo a 3 repartidores específicos para entregar pizzas con tu logo. Si un repartidor desconocido se presenta con una pizza que dice "Restaurante Da Paolo", el cliente sabe que algo no está bien.

SPF funciona de la misma manera: le dices a Gmail, Outlook y otros proveedores "solo estos servidores pueden enviar emails desde midominio.es".

Técnicamente:

SPF es un registro DNS (Domain Name System) que lista las direcciones IP autorizadas para enviar emails por tu dominio.

Ejemplo de registro SPF:

v=spf1 include:_spf.google.com include:sendgrid.net ~all

Esto dice: "Los emails desde midominio.es pueden provenir de los servidores de Google (Gmail) y SendGrid. Todos los demás son sospechosos."

DKIM (DomainKeys Identified Mail)

En palabras simples: DKIM es una firma digital que prueba que el email no ha sido modificado durante el viaje desde tu servidor al destinatario.

Ejemplo práctico:

Imagina enviar una carta importante con un sello de lacre. Si el sello está intacto, el destinatario sabe que nadie ha abierto la carta durante el transporte.

DKIM funciona de la misma manera: cada email se "sella" con una firma criptográfica que solo tu dominio puede crear.

Técnicamente:

DKIM añade un encabezado oculto al email conteniendo una firma criptográfica. El proveedor destinatario verifica esta firma comparándola con una clave pública publicada en tu DNS.

Ejemplo de encabezado DKIM:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=midominio.es; s=default;
  h=from:to:subject:date;
  bh=abc123...;
  b=xyz789...

DMARC (Domain-based Message Authentication, Reporting and Conformance)

En palabras simples: DMARC es la política que dice a los proveedores de email qué hacer si SPF o DKIM fallan.

Ejemplo práctico:

Imagina tener un portero en tu local. SPF y DKIM son los documentos de identidad que los clientes deben mostrar. DMARC es la instrucción que das al portero: "Si los documentos no son válidos, ¿qué haces? ¿Los dejas entrar igual? ¿Los echas? ¿Llamas a la policía?"

Técnicamente:

DMARC es un registro DNS que especifica:

1. Policy: Qué hacer con emails que fallan SPF/DKIM (none, quarantine, reject)
2. Reporting: Dónde enviar reportes sobre emails que fallan la autenticación
3. Alignment: Cómo verificar que SPF/DKIM correspondan al dominio del remitente

Ejemplo de registro DMARC:

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100; adkim=r; aspf=r

Esto dice: "Si SPF o DKIM fallan, pon el email en cuarentena (spam). Envíame reportes semanales sobre lo que sucede."

Cómo Configurar SPF: Guía Paso a Paso

Paso 1: Identifica los Servicios que Envían Emails por Ti

Antes de configurar SPF, debes saber qué servicios envían emails en nombre de tu dominio.

Ejemplos comunes para PYMEs:

• Google Workspace / Gmail (si usas Gmail con dominio personalizado)
• Microsoft 365 / Outlook (si usas Outlook con dominio personalizado)
• SendFlow AI (si usas nuestra plataforma para email marketing)
• Mailchimp, Brevo, ActiveCampaign (si usas otras herramientas de email marketing)
• Shopify, WooCommerce (si tienes un ecommerce que envía confirmaciones de pedido)
• Zendesk, Intercom (si usas herramientas de atención al cliente)

Cómo encontrarlos:

1. Haz una lista de todos los servicios que envían emails con tu dominio
2. Busca en la documentación de cada servicio "SPF record" o "SPF include"
3. Anota la instrucción SPF de cada servicio

Ejemplo:

• Google Workspace: include:_spf.google.com
• SendFlow AI: include:spf.sendflowai.ai
• Shopify: include:shops.shopify.com

Paso 2: Crea el Registro SPF

Un registro SPF tiene esta estructura:

v=spf1 [mecanismos] [calificador]

Componentes:

• v=spf1 = versión SPF (siempre igual)
• mecanismos = lista de servidores autorizados
• calificador = qué hacer con emails de servidores no autorizados

Mecanismos comunes:

• include:dominio.com = autoriza los servidores de ese dominio
• ip4:192.0.2.1 = autoriza una dirección IP específica
• a = autoriza la dirección IP del registro A del dominio
• mx = autoriza los servidores mail del dominio

Calificadores:

• ~all = soft fail (emails sospechosos van a spam)
• -all = hard fail (emails sospechosos son rechazados)
• ?all = neutral (sin política, desaconsejado)
• +all = pass (acepta todo, PELIGROSO, nunca usar)

Ejemplo de registro SPF completo para un restaurante que usa Gmail y SendFlow AI:

v=spf1 include:_spf.google.com include:spf.sendflowai.ai ~all

Paso 3: Publica el Registro SPF en el DNS

Ahora debes añadir este registro al DNS de tu dominio.

¿Dónde gestionas el DNS?

Depende de dónde hayas registrado el dominio:

• 1&1 IONOS (España)
• Arsys (España)
• GoDaddy (Internacional)
• Cloudflare (Internacional)
• Google Domains (Internacional)

Procedimiento general (válido para todos los proveedores):

1. Accede al panel de control de tu proveedor DNS

2. Busca la sección "Gestión DNS" o "DNS Records"

3. Añade un nuevo registro con estos parámetros:

   • Tipo: TXT
   • Nombre/Host: @ (o deja vacío, o escribe tu dominio)
   • Valor: v=spf1 include:_spf.google.com include:spf.sendflowai.ai ~all
   • TTL: 3600 (1 hora) o deja el valor predeterminado

4. Guarda el registro

⚠️ ATENCIÓN:

• Puedes tener UN SOLO registro SPF por dominio
• Si ya existe un registro SPF, NO crees un segundo, sino modifica el existente añadiendo los nuevos include:
• Los cambios DNS pueden tardar hasta 48 horas en propagarse (normalmente 1-2 horas)

Paso 4: Verifica que SPF Funcione

Después de publicar el registro SPF, verifica que esté configurado correctamente.

Método 1: Herramientas Online Gratuitas

• MXToolbox SPF Checker: https://mxtoolbox.com/spf.aspx
• DMARC Analyzer: https://www.dmarcanalyzer.com/spf/checker/
• Google Admin Toolbox: https://toolbox.googleapps.com/apps/checkmx/

Introduce tu dominio y verifica que:

• ✅ El registro SPF existe
• ✅ No hay errores de sintaxis
• ✅ Todos los servicios que usas están incluidos

Método 2: Envía Email de Prueba

1. Envía un email desde tu dominio a una dirección Gmail personal
2. Abre el email en Gmail
3. Haz clic en los tres puntos arriba a la derecha → "Mostrar original"
4. Busca la línea Received-SPF:

Deberías ver:

Received-SPF: pass (google.com: domain of [email protected] designates 209.85.220.41 as permitted sender)

Si ves pass, ¡SPF funciona correctamente! ✅

Si ves fail, softfail o neutral, hay un problema que resolver.

Errores Comunes SPF (y Cómo Resolverlos)

Error 1: "Too many DNS lookups"

SPF tiene un límite de 10 lookups DNS. Si superas este límite, SPF falla.

Solución:

• Elimina include: innecesarios
• Usa direcciones IP directas en lugar de include: cuando sea posible
• Considera usar un servicio de SPF flattening

Error 2: "Multiple SPF records"

Tienes más de un registro SPF para el mismo dominio.

Solución:

• Elimina todos los registros SPF excepto uno
• Combina todos los include: en un único registro

Error 3: "SPF record not found"

El registro SPF no existe o no está publicado correctamente.

Solución:

• Verifica haber publicado el registro como tipo TXT (no SPF)
• Espera 1-2 horas para la propagación DNS
• Comprueba haber introducido el nombre host correcto (normalmente @)

Cómo Configurar DKIM: Guía Paso a Paso

DKIM es ligeramente más complejo que SPF porque requiere la generación de un par de claves criptográficas (pública y privada).

Paso 1: Genera las Claves DKIM

Opción A: Tu Proveedor de Email Genera las Claves por Ti (RECOMENDADO)

La mayoría de los servicios de email (Gmail, SendFlow AI, Mailchimp) generan automáticamente las claves DKIM por ti.

Google Workspace:

1. Ve a Admin Console → Apps → Google Workspace → Gmail
2. Haz clic en "Authenticate email"
3. Haz clic en "Generate new record"
4. Copia el registro DKIM generado

SendFlow AI:

1. Ve a Configuración → Dominios
2. Haz clic en "Configurar DKIM"
3. Copia el registro DKIM generado

Opción B: Genera las Claves Manualmente (AVANZADO)

Si tu proveedor no genera claves DKIM, puedes usar herramientas online como:

• DKIM Core: https://dkimcore.org/tools/
• EasyDMARC DKIM Generator: https://easydmarc.com/tools/dkim-record-generator

Paso 2: Publica el Registro DKIM en el DNS

El registro DKIM es un registro TXT con un nombre host específico.

Formato:

[selector]._domainkey.tudominio.es

Ejemplo:

Si tu selector es default, el nombre host será:

default._domainkey.midominio.es

Procedimiento:

1. Accede al panel DNS de tu proveedor

2. Añade un nuevo registro TXT con:

   • Nombre/Host: default._domainkey (o el selector proporcionado por tu proveedor)
   • Valor: La clave pública DKIM (empieza con v=DKIM1; k=rsa; p=...)
   • TTL: 3600

3. Guarda el registro

Ejemplo de registro DKIM:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC...

Paso 3: Verifica que DKIM Funcione

Método 1: Herramientas Online

• MXToolbox DKIM Checker: https://mxtoolbox.com/dkim.aspx
• DMARC Analyzer: https://www.dmarcanalyzer.com/dkim/dkim-check/

Introduce:

• Dominio: midominio.es
• Selector: default (o el selector que hayas usado)

Deberías ver: ✅ DKIM record found

Método 2: Envía Email de Prueba

1. Envía un email desde tu dominio a Gmail
2. Abre el email → "Mostrar original"
3. Busca la línea DKIM-Signature:

Deberías ver:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=midominio.es; s=default;

Y más abajo:

dkim=pass header.d=midominio.es

Si ves pass, ¡DKIM funciona! ✅

Errores Comunes DKIM

Error 1: "DKIM record not found"

El registro DKIM no está publicado o el selector es incorrecto.

Solución:

• Verifica el nombre host (debe incluir ._domainkey.)
• Comprueba el selector (ej. default, google, k1)
• Espera 1-2 horas para la propagación DNS

Error 2: "DKIM signature verification failed"

La firma DKIM no corresponde a la clave pública.

Solución:

• Verifica que la clave pública en el DNS sea idéntica a la generada
• Asegúrate de que el servicio de email use la clave privada correcta
• Regenera las claves si es necesario

Cómo Configurar DMARC: Guía Paso a Paso

DMARC es el protocolo que une SPF y DKIM y dice a los proveedores de email qué hacer si la autenticación falla.

Paso 1: Decide la Política DMARC

DMARC tiene tres niveles de política:

1. p=none (Monitoreo)

• Qué hace: No bloquea ningún email, pero envía reportes
• Cuándo usarla: Al principio, para entender si SPF/DKIM funcionan correctamente
• Duración recomendada: 2-4 semanas

2. p=quarantine (Cuarentena)

• Qué hace: Emails que fallan SPF/DKIM van a spam
• Cuándo usarla: Después de verificar que SPF/DKIM funcionan
• Duración recomendada: Permanente para la mayoría de las PYMEs

3. p=reject (Rechazo)

• Qué hace: Emails que fallan SPF/DKIM son rechazados (no entregados)
• Cuándo usarla: Solo si estás 100% seguro de la configuración
• Duración recomendada: Solo para empresas con equipo IT dedicado

Recomendación para PYMEs:

Empieza con p=none durante 2-4 semanas, luego pasa a p=quarantine.

Paso 2: Crea el Registro DMARC

Un registro DMARC básico tiene esta estructura:

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100; adkim=r; aspf=r

Componentes:

• v=DMARC1 = versión DMARC (siempre igual)
• p=quarantine = política (none, quarantine, reject)
• rua=mailto:[email protected] = email donde recibir reportes agregados
• pct=100 = porcentaje de emails a los que aplicar la política (100 = todos)
• adkim=r = alignment DKIM relaxed (r = permisivo, s = strict)
• aspf=r = alignment SPF relaxed

Ejemplo para empezar (monitoreo):

v=DMARC1; p=none; rua=mailto:[email protected]; pct=100

Ejemplo después de 2-4 semanas (cuarentena):

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100; adkim=r; aspf=r

Paso 3: Publica el Registro DMARC en el DNS

1. Accede al panel DNS de tu proveedor

2. Añade un nuevo registro TXT con:

   • Nombre/Host: _dmarc
   • Valor: v=DMARC1; p=none; rua=mailto:[email protected]; pct=100
   • TTL: 3600

3. Guarda el registro

⚠️ NOTA:

El email rua= debe existir. Crea un buzón [email protected] o usa un email existente.

Paso 4: Verifica que DMARC Funcione

Método 1: Herramientas Online

• MXToolbox DMARC Checker: https://mxtoolbox.com/dmarc.aspx
• DMARC Analyzer: https://www.dmarcanalyzer.com/

Introduce tu dominio y verifica que:

• ✅ El registro DMARC existe
• ✅ No hay errores de sintaxis
• ✅ La política es correcta

Método 2: Envía Email de Prueba

1. Envía un email desde tu dominio a Gmail
2. Abre el email → "Mostrar original"
3. Busca la línea dmarc=

Deberías ver:

dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=midominio.es

Si ves pass, ¡DMARC funciona! ✅

Paso 5: Analiza los Reportes DMARC

Después de algunos días, empezarás a recibir reportes DMARC al email especificado en rua=.

Formato de los reportes:

Los reportes DMARC son archivos XML comprimidos (.gz) que contienen información sobre:

• Cuántos emails se enviaron desde tu dominio
• Cuántos pasaron SPF/DKIM
• Cuántos fallaron
• Desde qué IPs se enviaron

Cómo leer los reportes:

Los reportes XML son difíciles de leer manualmente. Usa herramientas gratuitas como:

• DMARC Analyzer: https://www.dmarcanalyzer.com/
• Postmark DMARC Digests: https://dmarc.postmarkapp.com/
• Dmarcian: https://dmarcian.com/

Estas herramientas convierten los reportes XML en dashboards legibles.

Qué buscar en los reportes:

• ✅ Pass rate alto (>95%): SPF/DKIM funcionan correctamente
• ⚠️ Fail rate alto (>5%): Hay un problema que resolver
• 🔍 IPs desconocidas: Alguien está enviando emails haciéndose pasar por tu dominio (phishing)

Checklist Completa: SPF, DKIM, DMARC

Usa esta checklist para verificar que todo esté configurado correctamente.

SPF

• [ ] He identificado todos los servicios que envían emails por mi dominio
• [ ] He creado un registro SPF con todos los include: necesarios
• [ ] He publicado el registro SPF como tipo TXT en el DNS
• [ ] He verificado el registro SPF con MXToolbox
• [ ] He enviado un email de prueba y verificado Received-SPF: pass
• [ ] No tengo más de 10 lookups DNS en el registro SPF

DKIM

• [ ] He generado las claves DKIM (o mi proveedor las ha generado por mí)
• [ ] He publicado el registro DKIM en el DNS con el selector correcto
• [ ] He verificado el registro DKIM con MXToolbox
• [ ] He enviado un email de prueba y verificado dkim=pass

DMARC

• [ ] He creado un registro DMARC con política p=none (para empezar)
• [ ] He especificado un email válido en rua= para recibir reportes
• [ ] He publicado el registro DMARC en el DNS
• [ ] He verificado el registro DMARC con MXToolbox
• [ ] He enviado un email de prueba y verificado dmarc=pass
• [ ] Después de 2-4 semanas, he analizado los reportes y cambiado la política a p=quarantine

Errores Comunes y Cómo Resolverlos

Error: "SPF PermError - Too many DNS lookups"

Causa: El registro SPF supera el límite de 10 lookups DNS.

Solución:

1. Cuenta cuántos include: tienes en el registro SPF
2. Elimina include: innecesarios
3. Usa direcciones IP directas (ip4:) en lugar de include: cuando sea posible
4. Considera usar un servicio de SPF flattening

Ejemplo:

❌ Antes (12 lookups):

v=spf1 include:_spf.google.com include:sendgrid.net include:spf.protection.outlook.com include:_spf.salesforce.com include:mail.zendesk.com ~all

✅ Después (8 lookups):

v=spf1 include:_spf.google.com include:sendgrid.net ip4:40.92.0.0/15 ~all

Error: "DKIM signature verification failed"

Causa: La firma DKIM no corresponde a la clave pública en el DNS.

Solución:

1. Verifica que la clave pública en el DNS sea idéntica a la generada por el servicio
2. Comprueba que no haya espacios o caracteres ocultos en el registro DNS
3. Asegúrate de que el selector sea correcto
4. Regenera las claves si es necesario

Error: "DMARC policy not applied"

Causa: SPF o DKIM no están alineados con el dominio del remitente.

Solución:

1. Verifica que el dominio en From: corresponda al dominio en SPF/DKIM
2. Usa adkim=r y aspf=r en el registro DMARC para alignment relaxed
3. Comprueba los reportes DMARC para ver qué autenticación falla

Preguntas Frecuentes (FAQ)

1. ¿Debo configurar los tres protocolos?

Sí. SPF, DKIM y DMARC trabajan juntos. Configurar solo uno o dos no es suficiente para maximizar la deliverability.

• SPF verifica que la IP del servidor esté autorizada
• DKIM verifica que el email no haya sido modificado
• DMARC une SPF y DKIM y dice qué hacer si fallan

2. ¿Cuánto tiempo se tarda en configurar SPF, DKIM y DMARC?

Tiempo estimado:

• SPF: 15-30 minutos
• DKIM: 20-40 minutos (depende del proveedor)
• DMARC: 10-15 minutos

Total: 1-2 horas para la configuración inicial.

Propagación DNS: 1-48 horas (normalmente 1-2 horas).

3. ¿Qué pasa si no configuro SPF, DKIM y DMARC?

Tus emails tienen mayor probabilidad de terminar en spam, especialmente si envías volúmenes elevados o si tu dominio es nuevo.

Riesgos:

• Deliverability reducida (-20% a -40%)
• Reputación del dominio dañada (efecto a largo plazo)
• Phishing: Alguien puede hacerse pasar por tu dominio sin que lo sepas

4. ¿Puedo usar el mismo registro SPF para varios subdominios?

No. Cada subdominio debe tener su propio registro SPF.

Ejemplo:

• midominio.es → registro SPF
• marketing.midominio.es → registro SPF separado
• shop.midominio.es → registro SPF separado

5. ¿Qué pasa si cambio de proveedor de email?

Debes actualizar el registro SPF para incluir el nuevo proveedor.

Ejemplo:

Si pasas de Mailchimp a SendFlow AI:

❌ Antes:

v=spf1 include:_spf.google.com include:servers.mcsv.net ~all

✅ Después:

v=spf1 include:_spf.google.com include:spf.sendflowai.ai ~all

6. ¿Los registros SPF, DKIM y DMARC caducan?

No. Una vez configurados, permanecen activos hasta que los modifiques o elimines.

Sin embargo:

• Debes actualizar SPF si cambias de proveedor de email
• Debes regenerar DKIM si la clave privada se ve comprometida
• Debes monitorear los reportes DMARC para identificar problemas

Herramientas Gratuitas Recomendadas

Verificación de Configuración

• MXToolbox: https://mxtoolbox.com/ (SPF, DKIM, DMARC checker)
• Google Admin Toolbox: https://toolbox.googleapps.com/apps/checkmx/
• DMARC Analyzer: https://www.dmarcanalyzer.com/

Análisis de Reportes DMARC

• Postmark DMARC Digests: https://dmarc.postmarkapp.com/ (gratuito)
• Dmarcian: https://dmarcian.com/ (freemium)
• DMARC Analyzer: https://www.dmarcanalyzer.com/ (freemium)

Generación de Claves DKIM

• DKIM Core: https://dkimcore.org/tools/
• EasyDMARC DKIM Generator: https://easydmarc.com/tools/dkim-record-generator

Conclusión

SPF, DKIM y DMARC son los tres pilares de la autenticación de email. Sin ellos, tus emails tienen mayor probabilidad de terminar en spam, independientemente de la calidad de los contenidos.

Resumen:

• SPF verifica que la IP del servidor esté autorizada
• DKIM verifica que el email no haya sido modificado
• DMARC une SPF y DKIM y dice qué hacer si fallan

Próximos pasos:

1. Configura SPF, DKIM y DMARC siguiendo esta guía
2. Verifica la configuración con herramientas online
3. Monitorea los reportes DMARC durante 2-4 semanas
4. Pasa de p=none a p=quarantine en DMARC

Si usas SendFlow AI, la configuración de SPF y DKIM está simplificada: te proporcionamos instrucciones paso a paso personalizadas para tu dominio directamente en el panel Configuración → Dominios.

¿Tienes preguntas? Contáctanos en [email protected] o visita nuestra guía completa sobre deliverability.

Artículo escrito por: Team SendFlow AI
Última revisión: Febrero 2026
Tiempo de lectura: 12 minutos