Cómo configurar SPF, DKIM y DMARC en Beehiiv [2026]

por

Última actualización:
Tiempo de lectura: 9 minutos
Cómo configurar SPF, DKIM y DMARC en Beehiiv [2026]

¿Has conectado un dominio personalizado a Beehiiv o has recibido una advertencia crítica indicando que es necesaria la autenticación DMARC? Para garantizar que la capacidad de entrega de tu boletín informativo siga siendo óptima, es necesario configurar correctamente tus protocolos de autenticación de correo electrónico.

Beehiiv gestiona SPF y DKIM de forma exclusiva mediante registros CNAME generados automáticamente, pero la implementación de DMARC sigue siendo un paso obligatorio que debe realizarse manualmente para todos los dominios personalizados. Esta guía explica los pasos exactos de configuración, las particularidades específicas de cada plataforma y cómo comprobar que tu configuración funciona correctamente.

Puntos clave

  • Generación automática de SPF y DKIM: Beehiiv genera automáticamente los registros SPF y DKIM como registros CNAME durante la configuración del dominio personalizado. Solo tienes que copiarlos en tu proveedor de DNS, en lugar de tener que redactar líneas TXT sin formato.
  • Retraso por «No encontrado» en DKIM: Es totalmente normal que aparezca el estado «No encontrado» justo después de la configuración. La verificación DKIM de Beehiiv requiere que el tráfico de correo saliente active la detección.
  • Aviso sobre el proxy de Cloudflare: si tu DNS se gestiona a través de Cloudflare, asegúrate de que tus registros de autenticación estén configurados en «Solo DNS». Beehiiv no puede detectar ni verificar los registros «proxificados».
  • Período de espera de 72 horas: la propagación del dominio puede tardar hasta 72 horas. Evita eliminar y volver a añadir tus registros durante este periodo para evitar que el proveedor de SSL de Beehiiv te limite el número de operaciones.

Lo que Beehiiv configura automáticamente (y lo que aún tienes que hacer)

Al utilizar la infraestructura de subdominios predeterminada de Beehiiv, los protocolos de autenticación de correo electrónico están totalmente preconfigurados. Sin embargo, en el momento en que conectes un dominio personalizado, la autenticación de la titularidad del dominio pasará a ser tu responsabilidad.

Para proteger tu marca y mejorar tu posicionamiento:

Aunque Beehiiv gestiona la configuración de tu dominio personalizado mediante entradas de seguimiento dinámicas, debes configurar DMARC por separado y de forma manual en tu registrador de dominios.

Cómo añadir un dominio personalizado y configurar los registros SPF/DKIM

Paso 1: Iniciar la configuración del dominio personalizado

1. Inicia sesión en tu panel de control de Beehiiv.

1. Panel de control de Beehiiv

2. Ve a la esquina inferior izquierda y haz clic en «Configuración».

3. Selecciona la pestaña «Dominios » y, a continuación, busca y haz clic en el botón «Configurar dominio personalizado ».

4. Introduce tu dominio raíz o el subdominio que hayas elegido, configura tus preferencias de redireccionamiento (se recomienda encarecidamente habilitar el redireccionamiento «www» para que tu publicación se resuelva de forma coherente) e introduce el dominio de envío que hayas designado.

4. Introduce tu dominio raíz

Paso 2: Revisar y generar registros DNS

1. Ve a la pantalla «Revisar y configurar» y comprueba que los datos de tu dominio sean totalmente correctos.

5. Revisar y generar

2. Haz clic en «Finalizar la configuración».

6. Finalizar la configuración

3. Beehiiv te proporcionará al instante tu mapa DNS exclusivo. El sistema genera un conjunto completo de registros web, de enrutamiento y de enlace, de los cuales tres registros CNAME específicos se dedican exclusivamente a la configuración de tu infraestructura SPF y DKIM.

Paso 3: Elige la configuración de Entri (automática) o la configuración manual

Beehiiv ofrece dos formas de escribir registros en tu proveedor de DNS:

  • Entri (automatizado): Si tu proveedor de dominios es compatible con el socio automatizado de Beehiiv, puedes autorizar a Entri para que inicie sesión de forma segura en tu registrador y introduzca automáticamente los registros generados. Esta opción reduce al mínimo los errores manuales de copiar y pegar.

7 entradas (automatizadas)

  • Configuración manual: En el caso de los registradores no compatibles o de los administradores que prefieran restringir el acceso automático al panel de control, puedes copiar manualmente cada host y cada valor «point-to» por separado.

10. Configuración manual

Paso 4: Añadir los registros CNAME para SPF/DKIM

1. Inicia sesión directamente en tu registrador de dominios o en el gestor de tu servidor DNS externo.

2. Crea una nueva entrada de registro para cada una de las tres cadenas de autenticación de Beehiiv generadas automáticamente:

  • Tipo: CNAME
  • Host/Nombre: Pega la clave de host exacta generada por Beehiiv (por ejemplo, bh._domainkey). Nota: Algunos paneles de gestión de DNS solo requieren el prefijo del subdominio; comprueba las normas de formato de tu proveedor de alojamiento.
  • Destino/Valor: Pega la cadena de destino proporcionada por el panel.
  • TTL: Déjalo en «Auto» o en «1 hora».

3. Nota de Cloudflare: Si tu DNS pasa por Cloudflare, cambia el estado del proxy de estos registros de «Proxied» (nube naranja) a «DNS Only» (nube gris). Beehiiv no puede leer los registros ocultos por un escudo de proxy.

4. Guarda cada registro de forma segura.

Paso 5: Comprueba los cambios

1. Vuelve al panel de control de Beehiiv y haz clic en «Verificar configuración».

2. Un dominio cuya autenticación se haya completado con éxito mostrará una marca de verificación junto a un banner de estado que indique «Correo electrónico» en la sección correspondiente al dominio.

3. Si la validación no se confirma de inmediato, espera a que se actualice el almacenamiento en caché global. La propagación puede tardar hasta 72 horas. No modifiques, elimines ni renueves los registros durante este periodo de validación, ya que esto provoca bloqueos por límite de frecuencia en la emisión de certificados por parte del servicio de emisión de SSL de Beehiiv.

Paso 6: Añadir el registro DMARC de Beehiiv

Para generar un registro DMARC adecuado y completo, puedes utilizar el generador gratuito de registros DMARC de PowerDMARC.

1. Accede a la herramienta «DMARC Record Generator»:

11 Generador de registros DMARC

A continuación se explica el significado de las nuevas etiquetas:

np (Política de subdominios inexistentes)

La etiqueta «np» se aplica a los subdominios que devuelven una respuesta NXDOMAIN del DNS (es decir, que no existen).

t (Modo de prueba)

La etiqueta «t» ha sustituido a la etiqueta «pct» (porcentaje) y te facilita la comprobación de políticas estrictas. Y lo más importante: «t=y» no desactiva tu política DMARC.

psd (dominio de sufijo público)

El formato PSD se utiliza para el dominio organizativo durante la evaluación de DMARC, principalmente para dominios de sufijo público y jerarquías de dominios personalizadas.

2. Selecciona la política «p=none» (es decir, solo supervisión), para que puedas revisar tu tráfico de correo electrónico antes de pasar a «p=quarantine» (aplicación flexible) o «p=reject» (aplicación estricta).

Nota

No pases directamente a «p=reject», ya que esto podría bloquear tus propios correos electrónicos comerciales legítimos. Empieza siempre con «p=none ». Solo después de haber comprobado y asegurarte de que todos los remitentes legítimos estén correctamente configurados podrás pasar a políticas más estrictas.

3. Introduce tu dirección de correo electrónico en el campo «Reporting», donde deseas recibir tus informes agregados de DMARC RUA.

4. Copia el registro TXT de DNS para pegarlo después en tu consola de gestión de DNS.

5. Accede a tu consola de gestión de DNS. Añade el registro que has copiado:

  • Tipo: TXT
  • Servidor/Nombre: _dmarc (o _dmarc.tudominio.com)
  • Valor: [Pega el valor TXT de DMARC generado]

6. Guarda el registro.

Nota de Cloudflare: Si tu DNS pasa por Cloudflare, cambia el estado del proxy de estos registros de «Proxied» (nube naranja) a «DNS Only» (nube gris). Beehiiv no puede leer los registros ocultos por un escudo de proxy.

Paso 7: Comprobar la propagación

Una vez guardado, puedes utilizar el verificador DMARC de PowerDMARC para comprobar que tu nuevo registro se resuelve correctamente en todo el mundo.

Comprobar la propagación

La implantación gradual de DMARC

No te lances directamente a una política de ejecución restrictiva. Una estrategia DMARC adecuada sigue una progresión deliberada y por fases para evitar el bloqueo de flujos de correo legítimos.

[Fase 1: Supervisión (p = ninguna)] ➔ [Fase 2: Cuarentena (p = cuarentena)] ➔ [Fase 3: Rechazo (p = rechazo)]

FaseEtiqueta de políticaRepercusiones operativas
Semanas 1 a 4p=nadaModo de supervisión: Recopila datos de telemetría de diagnóstico en formato XML. Supervisa tus remitentes agregados, comprueba que Beehiiv funcione correctamente y resuelve cualquier anomalía en el origen sin afectar a la capacidad de entrega.
Semanas 5 a 8p=cuarentenaAplicación flexible: los correos electrónicos que no superen los controles de autenticación se desvían automáticamente de la bandeja de entrada a las carpetas de correo no deseado o spam. Aprovecha este periodo para comprobar que ninguna herramienta legítima haya dejado de funcionar.
Semana 9+p=rechazarAplicación estricta: los intentos de envío de correos electrónicos maliciosos, no autenticados o falsificados que se hacen pasar por tu dominio se rechazan de inmediato en la puerta de entrada del servidor receptor.

Nota: Los datos XML sin procesar de DMARC tienen una estructura compleja y son difíciles de leer manualmente. Al procesar tus fuentes de datos a través de nuestra plataforma DMARC Analyzer, los registros XML sin procesar se convierten en un panel de control intuitivo y fácil de leer, que muestra porcentajes claros de «aprobado» y «rechazado» en todo tu perfil de remitente.

Problemas habituales con la autenticación de correo electrónico en Beehiiv

DKIM muestra «No encontrado» justo después de la configuración

  • Síntoma: Los elementos SPF y DMARC aparecen con marcas de verificación verdes, pero la interfaz de Beehiiv indica que DKIM falta o no está verificado.
  • Motivo: Las claves DNS estáticas se leen al instante, pero la plataforma interna de Beehiiv valida las firmas DKIM de forma dinámica al analizar el sobre del correo firmado durante su tránsito. Si tu nuevo dominio personalizado no tiene ningún historial de mensajes salientes, no hay datos que evaluar.
  • Solución: Envía un correo de prueba en tiempo real o configura una secuencia automática de bienvenida en tu propia cuenta. En cuanto el sistema de correo detecte una transacción activa, el estado de la interfaz se actualizará a «activo».

El dominio no se verifica tras añadir registros en Cloudflare

  • Síntoma: Cada entrada del registro refleja a la perfección los elementos de datos de Beehiiv, pero las comprobaciones de validación agotan repetidamente el tiempo de espera o fallan.
  • Causa: La configuración estándar del proxy de Cloudflare oculta los datos estructurales del DNS tras su propia red de optimización periférica.
  • Solución: Accede a tu consola de DNS de Cloudflare, haz clic en «Editar» en cada uno de los tres registros CNAME que apuntan a Beehiiv y cambia el selector de «Proxied» (nube naranja) a «DNS Only» (nube gris).

La verificación lleva más de 72 horas sin avanzar

  • Síntoma: El estado de procesamiento del dominio permanece bloqueado en el estado de «pendiente» mucho más allá del plazo previsto.
  • Causa: Esto suele ocurrir si se eliminan y se vuelven a añadir registros durante el periodo inicial de propagación, lo que activa los límites de seguridad de frecuencia del proveedor de SSL automatizado del backend de Beehiiv.
  • Solución: No modifiques ninguna de las entradas. Si la validación sigue bloqueada tras 72 horas, utiliza el chatbot integrado en la aplicación de Beehiiv para avisar a su servicio de asistencia técnica.

Conflicto con el correo electrónico privado de Namecheap

  • Síntoma: Los flujos de trabajo de correo principales dejan de funcionar o el aprovisionamiento de dominios provoca bloqueos sistemáticos exclusivamente en los dominios alojados en Namecheap.
  • Causa: La elección de la palabra concreta «mail» como subdominio estructural de envío (por ejemplo, mail.tudominio.com) provoca un conflicto de arquitectura con las reglas de enrutamiento del servidor de correo electrónico privado de Namecheap.
  • Solución: Elige una variante diferente para el prefijo del subdominio de envío de tu boletín (como «news», «letters» o «send»). El sistema de validación de Beehiiv detecta automáticamente este problema concreto durante los pasos iniciales de configuración.

DMARC falla aunque SPF y DKIM superen la comprobación por separado

  • Síntoma: Un análisis detallado de la cabecera del mensaje revela registros individuales de «spf=pass» y «dkim=pass», pero el sistema en su conjunto señala un error «dmarc=fail».
  • Causa: Error de alineación. DMARC exige que el dominio que gestiona la autenticación SPF/DKIM coincida con el dominio raíz que aparece en el campo visible «De:» de la dirección.
  • Solución: Comprueba que la configuración de tu dominio de envío en Beehiiv coincida con la identidad del dominio que aparece en las direcciones «De:» de tus campañas públicas.

Cómo comprobar que todo funciona correctamente

Para comprobar que la configuración de la autenticación por correo electrónico es correcta, sigue estos pasos de validación:

  • Prueba el envío de un correo electrónico saliente: envía un mensaje de prueba real desde tu cuenta de Beehiiv a una bandeja de entrada externa (como una dirección personal de Gmail). Abre la vista del encabezado sin formato («Mostrar original» en Gmail) y comprueba que aparezcan claramente las indicaciones «SPF: PASS», «DKIM: PASS» y «DMARC: PASS» dentro del bloque de autenticación.
  • Realiza una consulta de registros SPF: comprueba que tus claves públicas se resuelven correctamente, sin problemas de formato sintáctico.
  • Realiza una consulta de registros DKIM: asegúrate de que las configuraciones de tus claves criptográficas se publiquen correctamente en los servidores de nombres globales.
  • Ejecuta una herramienta de comprobación de registros DMARC: comprueba que las etiquetas estructurales de tu política se ajusten a los parámetros de aplicación previstos.
  • Analiza la puntuación global de tu dominio: pega la dirección web raíz directamente en el analizador integral de dominios de PowerDMARC para obtener una puntuación de diagnóstico completa que abarque el estado general de la seguridad y la autenticación de tu correo electrónico.

Prácticas recomendadas para la autenticación de correo electrónico en Beehiiv

  • Implementación proactiva: Configura siempre tus registros SPF y DKIM antes de programar el envío masivo de tu primera campaña importante para proteger tu reputación inicial como remitente.
  • No te saltes nunca el DMARC: el DMARC es un requisito de cumplimiento obligatorio para todos los dominios personalizados en Beehiiv. Saltárselo puede provocar problemas de entrega o el incumplimiento de los requisitos de la cuenta.
  • Evita la aplicación precipitada: nunca apliques una regla de rechazo desde el primer día. Implementa tus políticas de forma gradual, mediante una puesta en marcha supervisada y por fases, para evitar bloquear accidentalmente tus propios correos electrónicos legítimos.
  • Revisa los futuros cambios en el envío: si más adelante migras plataformas auxiliares o incorporas software transaccional externo a tu dominio, vuelve a comprobar tu configuración de DNS para asegurarte de que estas herramientas no entren en conflicto con tu configuración de Beehiiv.

Preguntas frecuentes

¿Beehiiv configura SPF y DKIM automáticamente?

Sí, pero solo si utilizas el subdominio predeterminado *.beehiiv.com. Si gestionas tu boletín en un dominio personalizado, Beehiiv genera automáticamente registros CNAME personalizados que debes copiar y publicar en el panel de DNS de tu dominio.

¿Es obligatorio utilizar DMARC en Beehiiv?

Sí. Desde febrero de 2024, Beehiiv exige la implementación obligatoria de DMARC para todos los dominios personalizados, con el fin de cumplir con las normas de seguridad de los proveedores de correo electrónico y proteger contra la suplantación de dominios.

¿Por qué mi registro DKIM de Beehiiv aparece como «No encontrado»?

A diferencia de los registros estáticos, Beehiiv verifica DKIM de forma dinámica comprobando los correos electrónicos reales en tránsito. Basta con enviar un breve correo electrónico de prueba o un boletín informativo desde tu cuenta para activar la verificación.

¿Cuánto tiempo tarda la verificación del dominio en Beehiiv?

Por lo general, los cambios globales en el DNS tardan entre unos minutos y 72 horas en propagarse por completo. Evita modificar o volver a añadir tus registros durante este periodo para evitar que el proveedor de seguridad aplique límites de frecuencia.

¿Puedo utilizar Beehiiv con el DNS de Cloudflare?

Por supuesto. Sin embargo, debes cambiar el estado del proxy de tus registros CNAME de autenticación de Beehiiv de «Proxied» (nube naranja) a «DNS Only» (nube gris); de lo contrario, las comprobaciones de validación fallarán.

¿Con qué política DMARC debería empezar en Beehiiv?

Empieza siempre con una política de solo supervisión (p=ninguna). Esto te permite recopilar informes de entregabilidad y corregir cualquier discrepancia de alineación antes de pasar de forma segura a políticas de aplicación más estrictas, como la cuarentena o el rechazo.