Cómo configurar SPF, DKIM y DMARC en DreamHost

Tu dominio está alojado en DreamHost, los correos electrónicos se envían correctamente, pero las respuestas de los clientes van a parar a la carpeta de spam, los envíos del formulario de contacto de WordPress desaparecen y los correos electrónicos de Google Workspace se devuelven con errores de autenticación.

La causa principal suele ser casi siempre la autenticación del correo electrónico; concretamente, un registro SPF que falta, está incompleto o mal configurado tras añadir un servicio de correo electrónico de terceros.

DreamHost gestiona el SPF mejor que la mayoría de los proveedores de alojamiento. Genera automáticamente un registro SPF válido para cada dominio

Sin embargo, en el momento en que personalices el registro para añadir Google Workspace, Mailchimp o cualquier otro servicio de envío, DreamHost elimina automáticamente su registro predeterminado. Si no incluyes los mecanismos propios de DreamHost en la sustitución, tu correo electrónico alojado en DreamHost dejará de autenticarse de forma repentina. 

Esta guía explica cómo gestiona DreamHost los protocolos SPF, DKIM y DMARC de forma predeterminada, cómo configurar cada uno de ellos para configuraciones con un solo remitente y con varios remitentes, los comportamientos específicos de DreamHost que pueden provocar fallos silenciosos en el correo electrónico, y cómo verificar y supervisar todo de forma continua.

¿Cuál es el registro SPF predeterminado de DreamHost?

El SPF (Sender Policy Framework) es un registro TXT del DNS que especifica qué servidores de correo tienen permiso para enviar mensajes de correo electrónico desde tu dominio. Los servidores receptores comprueban este registro para determinar si el correo electrónico recibido es legítimo o si podría tratarse de un mensaje falsificado.

DreamHost añade automáticamente el siguiente registro SPF a todos los dominios que utilizan el correo electrónico de DreamHost:

v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net -all

Esto es lo que hace cada parte del registro SPF:

Si solo envías correos electrónicos a través de DreamHost y no utilizas ningún servicio de correo electrónico de terceros, este registro predeterminado es suficiente. No es necesario que cambies nada.

Utiliza el verificador SPF de PowerDMARC para comprobar que tu registro predeterminado de DreamHost está activo. Introduce tu dominio y, en cuestión de segundos, te mostrará el registro, la validación sintáctica, el recuento de consultas DNS y todos los mecanismos enumerados.

Lo que debes saber sobre el funcionamiento de DreamHost antes de realizar cualquier cambio:

Al añadir un registro SPF personalizado en DreamHost, se elimina automáticamente el registro predeterminado. Esta es una de las causas más comunes de los errores de autenticación de correo electrónico en DreamHost. Si añades un registro personalizado que contenga únicamente «include:_spf.google.com -all», habrás desautorizado los propios servidores de correo de DreamHost, y todos los correos electrónicos enviados a través de DreamHost fallarán la verificación SPF a partir de ese momento.

Si eliminas tu registro SPF personalizado, DreamHost restablecerá el predeterminado automáticamente. Esto resulta útil como solución alternativa en caso de que algo falle.

Cómo añadir o editar un registro SPF en DreamHost

Solo es necesario modificar el registro SPF si envías correos electrónicos a través de servicios distintos de DreamHost, Google Workspace, Mailchimp, SendGrid, HubSpot o cualquier otro proveedor externo.

Paso 1: Identifica todas tus fuentes de envío

Enumera todos los sistemas que envían correos electrónicos utilizando tu dominio. Fuentes habituales para los usuarios de DreamHost:

• Correo electrónico de DreamHost → include:netblocks.dreamhost.com include:relay.mailchannels.net
• Google Workspace → incluir:_spf.google.com
• Mailchimp → include:servers.mcsv.net
• SendGrid → include:sendgrid.net
• HubSpot → incluir:_spf.hubspot.com
• Zoho Mail → incluir:zoho.com
• Otros proveedores → consulta la documentación sobre SPF del proveedor para conocer su valor «include:»

¿No sabes qué servicios envían correos electrónicos con tu dominio? 

Los informes agregados DMARC de PowerDMARC de PowerDMARC revelan todas las fuentes de envío, tanto las legítimas como las no autorizadas, en un plazo de 72 horas tras la implementación. Este es el método de detección más fiable, especialmente para dominios con remitentes de TI en la sombra que los equipos de marketing o ventas han adoptado sin avisar a nadie.

Paso 2: Crear un registro SPF combinado

Combina todas las fuentes de envío en un único registro SPF. Solo puedes tener un registro TXT SPF por dominio, ya que la existencia de varios registros provoca PermError y bloquean la autenticación de todos los remitentes.

Controla el número de consultas. Cada mecanismo «include:» activa una o más consultas DNS (incluidas las inclusiones anidadas), pero el SPF tiene un límite de 10 consultas totales según el RFC 7208. Los mecanismos predeterminados de DreamHost ya consumen entre 3 y 4 consultas. Si añades Google (2-3), Mailchimp (1-2) y SendGrid (1-2), llegas a un total de 8-11, lo que podría superar el límite.

Utiliza el Generador SPF de PowerDMARC para crear el registro combinado correctamente. Valida la sintaxis, cuenta las consultas, incluidas las inclusiones anidadas, y te avisa antes de que alcances el límite de 10 consultas. Si ya has superado las 10, PowerSPF aplana automáticamente las cadenas de inclusiones en entradas ip4: y mantiene el registro actualizado cuando los proveedores cambian las IP, sin necesidad de ediciones manuales del DNS.

Paso 3: Añadir el registro en el panel de DreamHost

Estos pasos dan por hecho que tus servidores de nombres apuntan a DreamHost. Si apuntan a Cloudflare u otro proveedor, añade el registro TXT allí, ya que el panel de DNS de DreamHost no se tiene en cuenta cuando los servidores de nombres apuntan a otra parte.

• Ve a «Gestionar sitios web».
• Haz clic en el botón con los tres puntos verticales situado debajo de tu dominio → selecciona «Configuración de DNS».
• Haz clic en «Añadir registro» → pasa el cursor por «Registro TXT» → haz clic en «AÑADIR».
• Servidor: déjelo en blanco para el dominio raíz (o introduzca un subdominio si es necesario).
• Valor TXT: pega tu cadena SPF combinada.
• Haz clic en «Añadir registro» para guardar.

Esta acción elimina el registro SPF predeterminado de DreamHost. Tu registro combinado DEBE incluir los mecanismos de DreamHost (netblocks.dreamhost.com y relay.mailchannels.net) si sigues enviando correos electrónicos a través de DreamHost. Compruébalo bien antes de guardar.

Paso 4: Verificar el registro

• Espera entre 15 minutos y 6 horas a que se complete la propagación del DNS de DreamHost (según la base de conocimientos de DreamHost, puede tardar hasta 6 horas).
• Vuelve a ejecutar el comprobador SPF de PowerDMARC para confirmar que el registro se resuelve correctamente y que el recuento de consultas es inferior a 10.
• Envía un correo electrónico de prueba a una cuenta personal de Gmail. Abre el mensaje → haz clic en «Mostrar original» → busca «spf=pass» en el encabezado «Authentication-Results».

Caso extremo de Google Workspace

El panel de DreamHost impide modificar el campo SPF cuando Google Workspace se configura a través de la integración de DreamHost. Sin embargo, puedes utilizar la ruta de registro DNS personalizada de DreamHost (Añadir registro → TXT) en lugar del campo configurado automáticamente. Si tus servidores de nombres están en Cloudflare, añade el registro TXT directamente en el panel de control de DNS de Cloudflare para que se eluda por completo la restricción de DreamHost.

Cómo verificar y configurar DKIM en DreamHost

DKIM (DomainKeys Identified Mail) añade una firma criptográfica a los correos electrónicos salientes, lo que permite a los servidores receptores verificar que el mensaje no ha sido alterado durante el tránsito.

DreamHost genera automáticamente DKIM

Si utilizas el correo electrónico alojado en DreamHost, DKIM ya está configurado:

• DreamHost crea automáticamente registros DNS DKIM para todos los dominios y subdominios que utilizan el correo electrónico de DreamHost.
• Los registros se pueden ver en la configuración de DNS; se reconocen por la cadena «_domainkey» en el nombre del registro (tipo: TXT).
• DreamHost admite claves DKIM de 2048 bits.
• Todos los correos electrónicos enviados a través del protocolo SMTP mediante el servidor de correo de DreamHost se firman automáticamente.

Utiliza el verificador DKIM de PowerDMARC para comprobar que la clave está publicada y es válida. Introduce tu dominio y selector (normalmente tudominio.com._domainkey para el correo electrónico alojado en DreamHost) para confirmarlo.

Cuando NO se aplica DKIM (brecha crítica)

Los correos electrónicos enviados a través de Sendmail o PHP Mail NO están firmados con DKIM. Esto incluye los formularios de contacto de WordPress que utilizan la función mail() de PHP, que es la predeterminada en la mayoría de los plugins de formularios de WordPress. Estos correos eluden por completo el servidor SMTP de DreamHost, por lo que la clave privada DKIM nunca se aplica al mensaje.

Esta es la razón más habitual por la que los propietarios de sitios de WordPress alojados en DreamHost ven cómo los correos electrónicos de sus formularios de contacto acaban en la carpeta de spam. El formulario funciona y envía el correo electrónico, pero sin DKIM (y a menudo sin una correcta SPF), los servidores receptores lo marcan como sospechoso.

Solución: Instala el plugin WP Mail SMTP (o similar). Configúralo para que envíe todos los correos electrónicos generados por el sitio a través del servidor SMTP de DreamHost (mail.tudominio.com, puerto 465 con SSL o puerto 587 con TLS). Esto redirige el correo electrónico a través del servidor de correo, que aplica la firma DKIM automáticamente.

Si tus servidores de nombres NO están en DreamHost

Si utilizas Cloudflare, Route 53 u otro proveedor de DNS, pero DreamHost gestiona tu correo electrónico, debes copiar los registros DNS de DKIM del panel de DreamHost y añadirlos manualmente en tu proveedor de DNS.

Copia la clave DKIM con cuidado, sin dejar ningún espacio en la cadena de caracteres. El panel de DreamHost aceptará registros con espacios, pero los correos electrónicos no superarán la verificación DKIM si la clave publicada contiene algún espacio en blanco. 

Si utilizas un proveedor de correo electrónico externo

Si tu correo electrónico lo gestiona Google Workspace, Zoho u otro servicio (y no DreamHost), ese proveedor se encarga de la firma DKIM. Obtén su clave pública DKIM y su selector, y luego añade el registro TXT correspondiente en la configuración de DNS de DreamHost (o en tu proveedor de DNS externo). Sigue la documentación del proveedor para conocer el formato exacto del selector y el valor de la clave.

Cómo configurar un registro DMARC en DreamHost

DMARC (Domain-based Message Authentication, Reporting and Conformance) integra SPF y DKIM. Comprueba que al menos uno de ellos supere la validación Y coincida con el dominio visible en el campo «De:», y luego indica a los servidores receptores qué deben hacer cuando falla la autenticación. Sin DMARC, SPF y DKIM existen, pero nadie se encarga de hacerlas cumplir.

Utiliza el Generador DMARC de PowerDMARC para crear tu registro. Selecciona el nivel de tu política, añade las direcciones de correo electrónico para los informes y copia el valor TXT generado. 

Paso a paso en el panel de DreamHost

Antes de añadir DMARC, asegúrate de que SPF y DKIM ya estén configurados y funcionando. El propio blog de DreamHost recomienda esperar 48 horas tras la configuración de SPF y DKIM antes de publicar el registro DMARC.

• Ve a «Gestionar sitios web» → «Configuración de DNS» → haz clic en «Añadir registro» → «TXT».
• Anfitrión: _dmarc
• Valor TXT:

v=DMARC1; p=none; rua=mailto:[email protected];ruf=mailto:[email protected]; pct=100

• Haz clic en «Añadir registro» para guardar.

DreamHost recomienda crear dos direcciones de correo electrónico distintas para los informes DMARC (agregados y forenses), ya que es posible que recibas un gran volumen de mensajes. Como alternativa, configura rua= con la dirección de recepción de PowerDMARC y evita por completo el exceso de correos, de modo que los informes se envíen directamente a un panel de control visual.

El plan de implantación por fases

DMARC no debe configurarse en p=reject desde el primer día. Un enfoque gradual evita que se bloqueen accidentalmente los correos electrónicos legítimos:

Fase	Política	¿Qué pasa?
Semanas 1 a 4	p=nada	Solo supervisión. Recopila informes agregados de DMARC. Identifica a todos los remitentes legítimos y soluciona cualquier fallo de autenticación.
Semanas 5 a 8	p=cuarentena	Los correos electrónicos no autenticados van a la carpeta de spam. Comprueba que ahora todos los remitentes legítimos pasen el filtro. Esté atento a los informes de falsos positivos.
Semana 9+	p=rechazar	Aplicación estricta. Los correos electrónicos no autorizados se rechazan de inmediato. Su dominio ya está protegido contra la suplantación de identidad.

Para actualizar la política, edita el registro TXT _dmarc en el panel de DreamHost (haz clic en el icono del lápiz situado junto al registro) y cambia p=none por p=quarantine, y posteriormente por p=reject.

Los informes XML de DMARC sin procesar son ilegibles sin herramientas específicas. PowerDMARC los importa automáticamente y ofrece análisis visuales de las tasas de aprobación/rechazo por fuente, el estado de alineación de SPF y DKIM, la detección de remitentes no autorizados y las tendencias. 

Problemas habituales con la autenticación del correo electrónico de DreamHost (y sus soluciones)

Todos los casos que se describen a continuación siguen el mismo proceso de diagnóstico: síntoma → causa → solución.

Los correos electrónicos de DreamHost van a la carpeta de spam tras añadir el SPF de Google Workspace

• Síntoma: Los correos electrónicos enviados desde buzones alojados en DreamHost van a parar a la carpeta de spam o se devuelven. Los correos electrónicos de Google Workspace funcionan correctamente.
• Causa: El registro SPF personalizado se añadió incluyendo únicamente el de Google (include:_spf.google.com -all), lo que eliminó automáticamente el registro predeterminado de DreamHost. Los servidores de correo de DreamHost ya no están autorizados.
• Solución: Combinar en un único registro que incluya tanto los mecanismos de DreamHost como los de Google:
• v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net include:_spf.google.com -all

Los correos electrónicos del formulario de contacto de WordPress no superan las verificaciones SPF/DKIM

• Síntoma: Los envíos del formulario de contacto nunca llegan o van a parar a la carpeta de correo no deseado del destinatario. Los correos electrónicos directos desde el mismo dominio funcionan correctamente.
• Causa: WordPress utiliza la función mail() de PHP en lugar de SMTP. El correo de PHP no pasa por el servidor de correo de DreamHost, por lo que la alineación SPF falla y DKIM nunca se aplica.
• Solución: Instala el plugin WP Mail SMTP. Configúralo para enviar a través del servidor SMTP de DreamHost (mail.tudominio.com, puerto 465 SSL o 587 TLS, con tus credenciales de correo electrónico de DreamHost). Esto garantiza que todos los correos electrónicos generados por el sitio web estén autenticados.

SPF PermError: Demasiadas consultas DNS

• Síntoma: El verificador SPF devuelve un PermError. Algunos o todos los correos electrónicos no superan la autenticación.
• Causa: El registro SPF combinado con DreamHost + Google + Mailchimp + SendGrid + otros servicios supera el límite de 10 consultas DNS. Solo los mecanismos predeterminados de DreamHost utilizan entre 3 y 4 consultas, por lo que añadir entre 3 y 4 inclusiones de terceros hace que se supere el límite.
• Solución: Comprueba el recuento de consultas con un verificador SPF que cuente las inclusiones anidadas. Elimina las inclusiones obsoletas de los servicios que ya no utilices. Sustituye «include:» por entradas directas «ip4:» cuando las IP de los proveedores sean estables. Dirige a los remitentes de gran volumen a través de subdominios (cada uno tiene su propio presupuesto de 10 consultas). O utiliza PowerSPF para la simplificación automatizada.

Los correos electrónicos rebotan en Gmail con el error «No autenticado»

• Síntoma: Gmail rechaza tus correos electrónicos con un mensaje de rebote que indica «mensaje no autenticado». Los registros SPF y DKIM parecen correctos en el panel de DreamHost.
• Causa: Tus servidores de nombres apuntan a Cloudflare (u otro proveedor), pero tus registros SPF y DKIM solo se añadieron en el panel de DreamHost. Cuando los servidores de nombres no apuntan a DreamHost, el DNS de DreamHost es invisible para el resto de Internet.
• Solución: Añade todos los registros DNS de autenticación de correo electrónico (SPF TXT, DKIM TXT, DMARC TXT) en el panel de DNS de Cloudflare, no en el panel de DreamHost. Copia los registros de DreamHost y publícalos donde apunten realmente tus servidores de nombres.

DMARC falla aunque SPF y DKIM superen la comprobación por separado

• Síntoma: Los encabezados de los mensajes muestran spf=pass y dkim=pass, pero dmarc=fail.
• Causa: Fallo de alineación. DMARC requiere que el dominio de la comprobación SPF (remitente del sobre / Return-Path) O la firma DKIM (etiqueta d=) coincida con el dominio visible del encabezado «De:». Si el remitente de tu sobre es [email protected] pero tu encabezado «De:» es [email protected], SPF pasa para dreamhost.com pero no se alinea con yourdomain.com.
• Solución: Asegúrate de que tanto el dominio del remitente del sobre como el dominio de firma DKIM coincidan con el dominio de la dirección «De:». En el caso del correo electrónico alojado en DreamHost, esto suele funcionar automáticamente. Para los remitentes externos, configúralos para que utilicen tu dominio como remitente del sobre (la mayoría de los ESP ofrecen configuración personalizada de la ruta de retorno).

Deja de adivinar qué fuente está fallando y por qué. El panel de informes agregados de PowerDMARC muestra los resultados de autenticación por IP y por fuente en todos los servidores de correo que procesan tu correo. Identifica el fallo exacto, soluciona el problema y confirma la corrección, todo desde una sola pantalla. Empieza tu prueba gratuita de 15 días

Cómo comprobar si la autenticación de tu correo electrónico de DreamHost funciona

Una vez configurados SPF, DKIM y DMARC, revisa esta lista de comprobación para confirmar que todo está activo y funciona correctamente:

• Envía un correo electrónico de prueba a una cuenta personal de Gmail. Abre el correo electrónico → haz clic en «Mostrar original» → comprueba que en el encabezado aparezcan las entradas «SPF: APROBADO», «DKIM: APROBADO» y «DMARC: APROBADO».
• Ejecuta el comprobador SPF de PowerDMARC para comprobar que el registro se resuelve, que la sintaxis es válida y que el recuento de consultas es inferior a 10.
• Ejecuta el comprobador DKIM de PowerDMARC con tu selector (tu dominio.com._domainkey para DreamHost, o cualquier selector que utilice tu proveedor externo), confirma que la clave está publicada y que la longitud de la firma es de 2048 bits.
• Ejecuta el comprobador DMARC de PowerDMARC para confirmar que el registro TXT _dmarc está activo, que la política está configurada correctamente y que las direcciones rua/ruf son válidas.
• Pasadas 72 horas, revisa los informes agregados de DMARC. Estos muestran las tasas reales de aprobación y rechazo en todos los servidores de correo (Gmail, Yahoo, Microsoft, etc.), no solo las de un mensaje de prueba. Aquí es donde podrás ver si alguna fuente de envío está fallando y tu prueba no lo ha detectado.

Utiliza el análisis de dominio gratuito . Comprueba SPF, DKIM, DMARC, BIMI, MTA-STS y el estado general de seguridad del correo electrónico en un solo análisis. Obtén al instante una calificación de A+ a F para tu dominio de DreamHost.

Prácticas recomendadas para la autenticación del correo electrónico en DreamHost

La configuración de SPF, DKIM y DMARC es solo el punto de partida. La capacidad de entrega del correo electrónico a largo plazo en DreamHost depende de mantener unos registros de autenticación limpios, supervisar los cambios en la configuración y adaptar tus prácticas de envío a los requisitos cambiantes de los proveedores de correo electrónico.

• Incluye siempre los mecanismos de DreamHost (netblocks.dreamhost.com y relay.mailchannels.net) al añadir un SPF personalizado. La eliminación automática suele pillar desprevenidos a la mayoría de los usuarios.
• Utiliza SMTP para todos los correos electrónicos generados por el sitio web. Los formularios de contacto de WordPress, las notificaciones de pedidos de WooCommerce y las confirmaciones de suscripción deben enviarse a través de SMTP para garantizar la firma DKIM.
• SPF trata los subdominios por separado. Si blog.tudominio.com o tienda.tudominio.com envían correos electrónicos, cada uno necesita su propio registro SPF. Los registros de los subdominios no heredan los del dominio principal.
• Implementa DMARC por fases: primero con p=none, supervisa los informes a través de PowerDMARC y, después, aplica la política. Pasar directamente a p=reject sin realizar un seguimiento conlleva el riesgo de bloquear correos electrónicos legítimos.
• Revisa tu registro SPF cada tres meses y de inmediato después de añadir cualquier nuevo servicio de envío de correo electrónico. Los proveedores cambian los rangos de IP, los equipos de marketing adoptan nuevas herramientas y los registros pueden desajustarse.
• Si los servidores de nombres están en Cloudflare o en otro proveedor externo, todos los registros DNS de correo electrónico (SPF, DKIM, DMARC) deben añadirse allí, no en el panel de DreamHost. El DNS de DreamHost se ignora cuando los servidores de nombres apuntan a otra parte.

Deja de resolver los problemas de autenticación del correo electrónico de DreamHost a ciegas. PowerDMARC te ayuda a supervisar SPF, DKIM y DMARC en tiempo real, a detectar fallos ocultos antes de que disminuya la capacidad de entrega y a mantener tus registros conformes a la normativa a medida que añades nuevos servicios de envío. 

Empieza tu prueba gratuita de 15 días

Preguntas frecuentes

¿Cuál es el registro SPF predeterminado de DreamHost?

v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net -all. DreamHost añade esto automáticamente para todos los dominios que utilizan el correo electrónico de DreamHost. No es necesaria ninguna configuración manual si DreamHost es tu único remitente de correo electrónico.

¿Cómo puedo combinar el SPF de DreamHost con Google Workspace?

Crea un registro combinado que incluya ambos conjuntos de mecanismos:

v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net include:_spf.google.com -all

Si solo se añade el SPF de Google, se elimina el registro predeterminado de DreamHost, lo que provoca fallos en el correo electrónico de DreamHost. Incluye siempre ambos.

¿DreamHost configura DKIM automáticamente?

Sí, en el caso de los dominios que utilizan el correo electrónico alojado en DreamHost con SMTP. El registro DKIM se crea automáticamente y los correos electrónicos se firman cuando se envían a través del servidor de correo de DreamHost. Sin embargo, los correos electrónicos enviados mediante PHP Mail (formularios de contacto de WordPress sin SMTP) NO están firmados con DKIM. Instala WP Mail SMTP para solucionar esto.

¿Por qué mis correos electrónicos de DreamHost van a parar a la carpeta de spam?

Las causas más comunes incluyen la ausencia o un error en el registro SPF (especialmente tras añadir un remitente externo, lo que elimina el valor predeterminado de DreamHost), la falta de aplicación de DKIM porque el correo electrónico se envía a través de PHP Mail en lugar de SMTP, la ausencia de un registro DMARC publicado o servidores de nombres que apuntan a Cloudflare mientras que los registros DNS solo existen en el panel de DreamHost. Realiza un análisis gratuito con el Analizador de dominios de PowerDMARC para identificar exactamente cuál es el problema.

¿Puedo tener dos registros SPF en DreamHost?

No. La RFC 7208 exige un único registro TXT de SPF por dominio. Si existen dos registros que comienzan por «v=spf1», el SPF devuelve un PermError y falla toda la autenticación. Combina todos los remitentes autorizados en un solo registro.