SPF, DKIM, DMARC: qué son y por qué son importantes

SPF, DKIM y DMARC son tres protocolos de autenticación de correo electrónico que funcionan conjuntamente para verificar que tus correos electrónicos son legítimos, proteger tu marca contra la suplantación de identidad y controlar lo que ocurre cuando un mensaje no supera la verificación.

Hoy en día, esto es más importante que nunca. Google, Yahoo, Apple y ahora Microsoft exigen SPF, DKIM y DMARC a los remitentes de gran volumen. Desde el 5 de mayo de 2025, Microsoft ha estado rechazando los correos electrónicos que no cumplen con los requisitos de los dominios que envían más de 5000 mensajes al día a Outlook. La autenticación de correo electrónico ya no es opcional.

Esta guía explica cómo funcionan SPF, DKIM y DMARC, por qué se necesitan los tres y cómo implementarlos correctamente.

¿Qué son SPF, DKIM y DMARC?

SPF (Marco de directivas del remitente)

SPF (Sender Policy Framework) es un protocolo de validación de correo electrónico que permite a los propietarios de dominios definir una lista de servidores de correo electrónico autorizados para enviar correos electrónicos en nombre de su dominio.

Piénsalo como una lista de invitados para tu dominio. Si un servidor no está en la lista, el servidor de correo receptor sabe que algo no está bien. Esto ayuda a mitigar la suplantación de identidad en el correo electrónico y garantiza que solo los servidores autorizados puedan enviar correos electrónicos utilizando un dominio específico.

Sin embargo, el SPF por sí solo tiene limitaciones. No verifica el contenido del correo electrónico y no indica al servidor receptor qué hacer cuando falla una comprobación.

Ahí es donde entran en juego DKIM y DMARC.

Lectura recomendada: DMARC frente a DKIM | ¿Cuál es mejor para usted y por qué?

DKIM

DKIM (DomainKeys Identified Mail) es un método de autenticación de correo electrónico que añade una firma digital a los correos electrónicos salientes para garantizar la autenticidad e integridad del mensaje.

Mientras que SPF confirma quién está autorizado a enviar, DKIM confirma que el mensaje no ha sido alterado después de salir del servidor del remitente.

DKIM proporciona una capa esencial de confianza, ya que evita la suplantación de identidad en el correo electrónico y garantiza la integridad de los mensajes. Pero, al igual que SPF, los registros DKIM por sí solos no indican al servidor receptor qué medidas debe tomar cuando falla la verificación. Para ello, se necesita DMARC.

DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) permite a los propietarios de dominios indicar a los destinatarios de correo electrónico cómo gestionar los mensajes no autenticados enviados desde su dominio.

Combina las capacidades de SPF y DKIM y añade dos características fundamentales que ninguno de los dos protocolos ofrece por sí solo: la aplicación de políticas y la generación de informes.

Es el único protocolo que indica a las bandejas de entrada qué hacer con los mensajes de correo electrónico fallidos y le ofrece visibilidad a través de informes.

SPF frente a DKIM frente a DMARC: diferencias clave

Los tres protocolos desempeñan un papel en la autenticación del correo electrónico, pero cada uno de ellos se encarga de una parte diferente del rompecabezas. A continuación se muestra una comparación entre ellos.

Vea este vídeo para obtener más información:

Explicación de los protocolos SPF, DKIM y DMARC

Cómo funcionan conjuntamente SPF, DKIM y DMARC

SPF, DKIM y DMARC tienen cada uno una finalidad diferente, y se necesitan los tres para proteger completamente su dominio contra la suplantación de identidad, el phishing y la falsificación. Así es como funciona el flujo de autenticación cuando un correo electrónico llega a la bandeja de entrada de alguien:

1. Comprobación SPF: El servidor receptor examina la IP del remitente y la compara con los remitentes autorizados que figuran en el registro SPF del dominio. Si la IP está en la lista, el SPF se aprueba.
2. Comprobación DKIM: El servidor receptor comprueba el encabezado DKIM-Signature del correo electrónico y recupera la clave pública del DNS del remitente. Si la firma es válida y el mensaje no ha sido modificado, DKIM pasa la comprobación.
3. Evaluación DMARC: A continuación, DMARC comprueba si al menos uno de estos protocolos (SPF o DKIM) ha superado la comprobación y si el dominio utilizado en dicha comprobación coincide con el dominio de la dirección del remitente. Si la coincidencia es correcta, el correo electrónico se entrega con normalidad. Si no es así, DMARC aplica la política establecida por el propietario del dominio (ninguna, cuarentena o rechazo).
4. Informes: Independientemente del resultado, DMARC envía informes al propietario del dominio con detalles sobre los resultados de la autenticación, las fuentes de envío y cualquier intento de suplantación de identidad.

Sin DMARC, un correo electrónico falsificado podría pasar el SPF (si el atacante utiliza un dominio Return-Path diferente) o eludir el DKIM (si el mensaje no está firmado). DMARC cierra estas brechas al exigir la alineación entre los resultados de la autenticación y la dirección visible del remitente.

Lectura recomendada: ¿Por qué falla DMARC? Causas comunes y soluciones

Cómo configurar SPF, DKIM y DMARC

Configurar los tres protocolos puede parecer técnico, pero el proceso es sencillo una vez que sabes qué va en cada sitio. Para implementar SPF, DKIM y DMARC, necesitas acceder a la configuración del proveedor de DNS de tu dominio.

Paso 1: Configurar SPF

Un registro SPF se publica como un registro TXT en el DNS de su dominio. Su registro SPF indica a los servidores receptores qué direcciones IP y servidores de correo están autorizados para enviar correos electrónicos en nombre de su dominio.

Para crear tu registro SPF:

1. Identifique todos los servidores y servicios que envían correos electrónicos para su dominio (su servidor de correo, plataformas de marketing, herramientas CRM, etc.).
2. Cree un registro TXT en su DNS con las fuentes de envío autorizadas.
3. Publica el registro y pruébalo para confirmar que supera las comprobaciones SPF.

Un registro SPF tiene un aspecto similar al siguiente:

v=spf1 include:_spf.google.com include:sendgrid.net -all

Este ejemplo autoriza a Google y SendGrid a enviar correos electrónicos para el dominio e indica a los destinatarios que rechacen todas las demás fuentes.

Paso 2: Configurar DKIM

DKIM requiere que se publique una clave pública en el DNS del remitente para verificar la firma digital en los correos electrónicos salientes.

Para configurar DKIM:

1. Genere un par de claves DKIM (clave pública y privada) a través de su proveedor de servicios de correo electrónico o servidor de correo.
2. Añade la clave pública como un registro TXT en el DNS de tu dominio.
3. Configure su servidor o proveedor de correo electrónico para firmar los mensajes salientes con la clave privada.
4. Prueba enviando un correo electrónico y comprobando los encabezados para confirmar que la firma DKIM está presente y es válida.

Paso 3: Configurar DMARC

Los registros DMARC iss también se almacenan como registros TXT en el DNS de su dominio. Para configurar DMARC, debe definir una política que indique a los servidores receptores cómo gestionar los correos electrónicos que no superan las comprobaciones SPF y DKIM.

Para crear su registro DMARC:

1. Comience con una política de p=none para supervisar su tráfico de correo electrónico sin afectar a la capacidad de entrega.
2. Añade una dirección de informes para poder recibir informes agregados sobre los resultados de la autenticación.
3. Publique el registro DMARC en su DNS.
4. Revise sus informes con regularidad y, una vez que esté seguro de que sus correos electrónicos legítimos están pasando, pase a p=cuarentena y, finalmente, a p=reject.

Un registro DMARC básico tiene el siguiente aspecto:

v=DMARC1; p=none; rua=mailto:[email protected];

Paso 4: Verifica tu configuración

Puede comprobar si un correo electrónico ha superado las comprobaciones SPF, DKIM y DMARC mirando los encabezados del correo electrónico. Envíe un correo electrónico de prueba e inspeccione el encabezado Authentication-Results para confirmar que los tres protocolos han sido superados.

Las herramientas gratuitas de PowerDMARC lo hacen aún más fácil. Puede utilizar el generador DMARC, generador SPFy el generador DKIM para crear sus registros con un solo clic, y el panel de informes de la plataforma le ofrece una visibilidad completa de su estado de autenticación.

¿Qué ocurre si no implementas SPF, DKIM y DMARC?

Omitir la autenticación del correo electrónico puede parecer inofensivo hasta que las consecuencias comienzan a acumularse. Esto es lo que está en juego cuando dejas tu dominio desprotegido.

Reputación del remitente dañada

No implementar la autenticación de correo electrónico puede dañar la reputación de la marca debido a una mayor susceptibilidad a los ataques de phishing.

Si los atacantes suplantan su dominio y envían correos electrónicos fraudulentos a sus clientes, socios o empleados, la confianza que ha construido con su público se erosiona rápidamente. Aunque usted no sea responsable del ataque, los destinatarios asociarán el intento de phishing con su marca.

Menor capacidad de entrega de correos electrónicos

Sin la autenticación del correo electrónico, los correos electrónicos legítimos pueden marcarse como spam, lo que da lugar a menores tasas de entrega del correo electrónico.

Muchos proveedores de servicios de correo electrónico ahora exigen que se configuren DKIM y DMARC para que los correos electrónicos se entreguen correctamente. Si tus correos electrónicos terminan constantemente en las carpetas de spam, tus tasas de apertura disminuyen, tus esfuerzos de marketing se ven afectados y es posible que los correos electrónicos transaccionales importantes nunca lleguen a sus destinatarios.

Pérdidas financieras y problemas de confianza de los clientes

Si no se implementa la autenticación del correo electrónico, los atacantes pueden suplantar la identidad de su dominio, lo que puede provocar pérdidas económicas y problemas de confianza por parte de los clientes.

Los ataques de compromiso del correo electrónico empresarial (BEC), en los que un atacante se hace pasar por un ejecutivo o un proveedor, pueden dar lugar a transferencias bancarias fraudulentas, robo de credenciales y responsabilidad legal.

Pérdida de visibilidad

No utilizar la autenticación de correo electrónico puede provocar una pérdida de visibilidad del rendimiento y la seguridad del correo electrónico, lo que dificulta la identificación del uso no autorizado de su dominio.

Sin los informes DMARC, no hay forma de saber quién está enviando correos electrónicos en su nombre, si sus los correos electrónicos legítimos se autentican correctamente o si los atacantes están suplantando activamente su dominio.

Mejores prácticas de SPF, DKIM y DMARC

Publicar tus registros es solo el principio. Para sacar el máximo partido a SPF, DKIM y DMARC, sigue estas prácticas recomendadas para mantener una autenticación de correo electrónico sólida a lo largo del tiempo.

Comience con DMARC en p=none y avance gradualmente.

Cuando implemente DMARC por primera vez, comience con una política de p=none para poder supervisar su tráfico de correo electrónico e identificar todas las fuentes de envío legítimas.

Una vez que esté seguro de que todo está correctamente autenticado, pase a p=quarantine y luego p=reject para obtener una protección completa.

Mantenga actualizado su registro de SPF.

Cada vez que añadas o elimines un servicio de correo electrónico (una nueva plataforma de marketing, CRM, herramienta de asistencia técnica, etc.), actualiza tu registro SPF para reflejar el cambio.

Un registro SPF obsoleto puede provocar que los correos electrónicos legítimos no superen la autenticación.

Rote sus claves DKIM periódicamente.

La rotación periódica de las claves DKIM reduce el riesgo de que estas se vean comprometidas. La mayoría de los expertos en seguridad recomiendan rotar las claves al menos una o dos veces al año.

Utiliza una plataforma para simplificar la gestión.

La gestión de SPF, DKIM y DMARC en múltiples dominios y fuentes de envío puede volverse compleja rápidamente.

Una plataforma como PowerDMARC consolida todo en un único panel de control con gestión de registros alojados, informes legibles por humanos y alertas en tiempo real para que puedas mantenerte al tanto de tu postura de autenticación sin necesidad de editar manualmente el DNS.

Proteja su dominio con confianza con PowerDMARC

Como su socio de confianza en materia de seguridad del correo electrónico, recomendamos que todas las organizaciones implementen SPF, DKIM y DMARC. Estos protocolos son la columna vertebral de la protección moderna del correo electrónico, ya que le ayudan a adelantarse a las amenazas cibernéticas y a mantener la confianza en cada mensaje que envía.

Basándonos en años de experiencia ayudando a las organizaciones a proteger su infraestructura de correo electrónico, nuestro equipo de PowerDMARC recomienda un enfoque por fases para la implementación.

Comience con la supervisión, analice los datos y, a medida que gane confianza en su configuración, aplique gradualmente políticas más estrictas.

Para facilitar la supervisión, la generación de informes y la optimización continua, PowerDMARC reúne la gestión de SPF, DKIM y DMARC en una única plataforma. Con visibilidad en tiempo real, aplicación guiada de políticas e información automatizada, elimina gran parte del esfuerzo manual del proceso, lo que ayuda a los equipos a mantener una configuración de autenticación de correo electrónico segura y fiable.

Comience una prueba gratuita de 15 días para reforzar la protección de su dominio.

Preguntas más frecuentes (FAQ)

1. ¿Cuál es la diferencia entre SPF, DKIM y DMARC?

SPF verifica que los correos electrónicos provengan de direcciones IP autorizadas, DKIM garantiza que el contenido del correo electrónico no haya sido manipulado mediante firmas digitales y DMARC proporciona la aplicación de políticas y la generación de informes basándose tanto en SPF como en DKIM. Piensa en SPF como la comprobación de la dirección del remitente del correo electrónico, en DKIM como la verificación de la integridad del mensaje y en DMARC como la política de seguridad general que decide qué hacer cuando las comprobaciones fallan.

2. ¿Necesito tanto SPF como DKIM para mi dominio?

Aunque se puede implementar SPF o DKIM por separado, el uso conjunto de ambos proporciona una protección mucho más sólida. SPF puede fallar cuando se reenvían los correos electrónicos, y DKIM por sí solo no verifica la infraestructura de envío. Para obtener la máxima seguridad y el cumplimiento de DMARC, implemente tanto SPF como DKIM y, a continuación, añada DMARC para la aplicación de políticas y la generación de informes.

3. ¿Cómo puedo comprobar si mis registros SPF, DKIM y DMARC funcionan correctamente?

Utilice herramientas de búsqueda de DNS para verificar que los registros existen, envíe correos electrónicos de prueba y compruebe los encabezados para obtener los resultados de la autenticación del dominio, analice los informes DMARC en busca de fallos y utilice validadores en línea como las herramientas gratuitas de PowerDMARC. La supervisión periódica a través de los informes DMARC es la forma más completa de garantizar una protección continua.

4. ¿SPF, DKIM o DMARC afectan la forma en que mis correos electrónicos se ven para los destinatarios?

No. Estos protocolos funcionan en segundo plano y no modifican la apariencia, el contenido ni el diseño de tus correos electrónicos. Los destinatarios no verán directamente los resultados de SPF, DKIM o DMARC. Sin embargo, los correos electrónicos autenticados correctamente tienen menos probabilidades de ser marcados como spam, lo que mejora la colocación en la bandeja de entrada y la confianza general.

5. ¿Con qué frecuencia debo revisar o actualizar mis registros SPF, DKIM y DMARC?

Debe revisar sus registros cada vez que añada o elimine servicios de envío de correo electrónico y como parte del mantenimiento periódico. Los registros SPF suelen necesitar actualizaciones cuando se introducen nuevas herramientas o proveedores. Las claves DKIM deben rotarse periódicamente por motivos de seguridad. Los informes DMARC deben revisarse de forma sistemática para detectar problemas de forma temprana y orientar la aplicación de las políticas.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• Seguridad PropTech: Protección de plataformas inmobiliarias - 10 de marzo de 2026
• La guía definitiva sobre la marca de verificación azul: qué significa en Gmail, Google y las redes sociales - 9 de marzo de 2026
• ¿El cifrado de correo electrónico de Outlook cumple con la HIPAA? Guía completa para 2026 - 5 de marzo de 2026