Cómo configurar la autenticación de correo electrónico para un dominio recién registrado

En el momento en que se registra un dominio, este se convierte en un objetivo de suplantación de identidad, incluso antes de que se envíe un solo correo electrónico. Sin SPF, DKIM o DMARC, cualquiera puede enviar correos electrónicos que parezcan proceder de tu dominio, y los servidores receptores no disponen de medios técnicos para detectarlos. Esta guía explica cómo configurar la autenticación del correo electrónico en el orden correcto, con ejemplos reales de registros DNS, pasos de verificación y qué hay que supervisar una vez que todo esté en funcionamiento.

Por qué los dominios nuevos son especialmente vulnerables

Un dominio nuevo no solo carece de registros de autenticación, sino que carece de todo: no tiene historial de envíos, ni reputación, ni una configuración previa sobre la que basarse. Esa combinación genera riesgos específicos y requiere un enfoque de configuración diferente al de la configuración de la autenticación en un dominio ya establecido.

1. Aún no hay reputación del remitente

Los proveedores de buzones de entrada utilizan el historial de envíos para decidir cómo tratar el correo entrante. Un dominio que nunca ha enviado nada carece de historial, lo que significa que los servidores receptores no pueden distinguir entre un remitente nuevo legítimo y uno suplantado basándose únicamente en la reputación.

La autenticación del correo electrónico cubre esa carencia. SPF, DKIM y DMARC proporcionan a los proveedores de buzones de correo una señal técnica de que controlas el dominio y lo has configurado para autorizar a los remitentes legítimos, incluso antes de que se haya acumulado reputación alguna. Es posible que el correo correctamente autenticado procedente de un dominio nuevo siga acabando en la carpeta de spam al principio, pero sin autenticación habrás eliminado la última señal de credibilidad que los proveedores pueden utilizar a tu favor.

2. Los nuevos dominios son un objetivo prioritario para el suplantación de identidad

Los atacantes se centran específicamente en los dominios nuevos y de reciente creación, ya que estos casi nunca cuentan con registros de autenticación. Sin SPF, DKIM y DMARC, cualquier servidor puede hacer creer que envía mensajes desde tu dominio y lograrlo.

Esta vulnerabilidad abarca varios tipos de amenazas. Los ataques de suplantación de marca utilizan tu dominio para ponerse en contacto con clientes o socios antes de que hayas establecido ninguna relación con ellos. Las campañas de phishing se aprovechan de que un dominio nuevo parte de cero: al no tener reputación negativa, se activan menos filtros antispam. El compromiso del correo electrónico empresarial (BEC) puede dirigirse a sus proveedores o a su equipo interno utilizando una versión falsificada de su dirección. Cualquier empresa que envíe actualizaciones de proyectos, facturas o correos electrónicos a clientes, como una empresa de desarrollo de software a medida en Austin, está expuesta hasta que se implemente la autenticación.

3. No hay registros heredados que haya que sortear

Aquí es donde los dominios nuevos tienen una ventaja real sobre los ya consolidados. Los dominios más antiguos acumulan problemas de DNS con el paso del tiempo: un registro SPF duplicado de una plataforma sustituida hace años, un selector DKIM vinculado a un proveedor de correo que ya no envía mensajes en su nombre, una política DMARC estancada en p=none que nunca se revisó.

Empezar desde cero significa configurar todo correctamente desde el principio. No hay que revisar registros antiguos, no hay riesgo de interrumpir un flujo de correo electrónico ya existente y no hay que resolver problemas de configuración heredados. La configuración es más clara, más rápida y más fácil de verificar.

4. Consideraciones sobre el arranque en frío

La autenticación y el «warm-up» del dominio son procesos relacionados, pero distintos. Los registros de autenticación indican a los servidores receptores que tu correo electrónico está autorizado. El «warm-up» es el proceso de crear un historial de envío positivo, comenzando con un volumen reducido y aumentándolo gradualmente con el tiempo.

La autenticación es lo primero: no se puede «calentar» un dominio que no supere las comprobaciones de autenticación. Una vez que SPF, DKIM y DMARC estén activos y verificados, empieza con volúmenes de envío controlados y deja que se acumulen los informes de DMARC antes de endurecer la política o ampliar el volumen de correo saliente.

¿Cómo autenticar su correo electrónico?

Lo que necesitas antes de empezar

• Acceso al panel de DNS de tu dominio

Los registros SPF, DKIM y DMARC se publican como registros TXT en el DNS. Es posible que tu panel de DNS se encuentre en el sitio web de tu registrador de dominios (Namecheap, GoDaddy, Cloudflare, etc.) o en el de tu proveedor de alojamiento web. Necesitas acceso de escritura para añadir nuevos registros; el acceso de solo lectura no es suficiente.

• Tu plataforma de envío de correos electrónicos

Las claves DKIM las genera tu plataforma de envío de correo electrónico; no se escriben a mano. Antes de poder publicar un registro DKIM, debes seguir el proceso de configuración de DKIM dentro de tu plataforma (Google Workspace, Microsoft 365, un servicio SMTP personalizado o similar). La plataforma genera el par de claves y te proporciona el nombre y el valor exactos del registro que debes publicar en el DNS. No es posible crear un registro DKIM válido independientemente de la plataforma de envío.

Si hay más de una plataforma que envía correos electrónicos desde tu dominio, identifícalas todas ahora mismo. Cada una de ellas deberá figurar en tu registro SPF y es posible que cada una requiera su propio selector DKIM.

• Una dirección de correo electrónico de An Rua para los informes DMARC

Los informes agregados de DMARC se envían a la dirección que definas en la etiqueta «rua» de tu registro DMARC. Puede tratarse de cualquier bandeja de entrada supervisada: una dirección específica como [email protected], una bandeja de entrada compartida del equipo o una dirección proporcionada por una plataforma de informes DMARC. Solo es necesario que exista y se revise de forma activa. Sin una dirección «rua» operativa, la fase de supervisión de tu configuración DMARC no genera ningún resultado útil.

Paso 1: configura tu registro SPF

El SPF (Sender Policy Framework) indica a los servidores de correo receptores qué direcciones IP están autorizadas a enviar correos electrónicos en nombre de tu dominio. Configura primero el SPF: es la base sobre la que se asientan DKIM y DMARC.

El SPF funciona mediante un único registro TXT de DNS que enumera las fuentes de envío autorizadas. Cuando un servidor receptor recibe un mensaje procedente de tu dominio, compara la IP de envío con tu registro SPF. Las IP que figuran en la lista pasan la comprobación; las que no figuran, no la superan.

v=spf1 include:_spf.google.com ~all

v=spf1 → indica que se trata de un registro SPF

incluyen:… → autoriza todas las direcciones IP de la infraestructura de correo de Google

~all → rechaza de forma no rigurosa a cualquier remitente que no figure explícitamente en la lista

Cómo añadir tu registro SPF

1. Inicia sesión en tu proveedor de DNS
2. Crear un nuevo registro TXT
3. Establece el campo «Host / Nombre » en @ (que representa tu dominio raíz)
4. Pega el valor SPF que te proporciona tu plataforma de correo electrónico
5. Guardar el registro

Si envías mensajes desde más de una plataforma, agrupa todos los remitentes en un único registro SPF. Publicar dos registros SPF TXT en el dominio raíz impide la validación del SPF: solo se evalúa uno, y el resultado es impredecible.

v=spf1 include:_spf.google.com include:sendgrid.net ~all

Errores habituales con el SPF en dominios nuevos

• Dos registros SPF: solo es válido un registro SPF TXT por dominio. Si se publican dos, ambos quedarán invalidados. Combina todas las fuentes de envío en un único registro.
• Si utilizas -all demasiado pronto, el filtro de rechazo absoluto rechazará inmediatamente los correos procedentes de cualquier remitente que no figure en la lista. Utiliza primero ~all (rechazo no definitivo) hasta que se haya confirmado tu lista completa de remitentes.
• Falta una plataforma de envío: cualquier plataforma que envíe mensajes desde tu dominio y no figure en el registro SPF no superará la autenticación. Asegúrate de incluir todos los remitentes antes de guardar el registro.

Paso 2: Genera y publica tu registro DKIM

DKIM (DomainKeys Identified Mail) añade una firma criptográfica a los correos electrónicos salientes. Los servidores receptores utilizan una clave pública de tu DNS para verificar que el mensaje procede de tu dominio y que no ha sido alterado durante el tránsito.

Las claves DKIM se generan dentro de tu plataforma de envío de correo electrónico; no es necesario que las escribas a mano. Ve a la sección de DKIM, autenticación de dominio o configuración de correo electrónico de tu plataforma y sigue los pasos indicados. La plataforma genera un par de claves: una clave privada (que se utiliza para firmar el correo saliente) y una clave pública (que se publica en el DNS para que los servidores receptores puedan verificar las firmas).

Cada plataforma asigna un selector, es decir, una etiqueta en el nombre del registro que permite que coexistan varias claves DKIM en el mismo dominio. Si utilizas dos plataformas de envío, cada una tendrá su propio selector y su propio registro DNS. Ejemplo de nombre de registro con el selector «google»:

google._domainkey.tudominio.com

Cómo publicar tu registro DKIM

1. Abre la sección «DKIM» en tu plataforma de correo electrónico
2. Copia el nombre del registro TXT (por ejemplo, google._domainkey)
3. Copia el valor del registro TXT (la cadena de la clave pública)
4. Abre tu panel de DNS y crea un nuevo registro TXT
5. Pega el nombre y el valor tal y como se indican
6. Guarda y vuelve a tu plataforma para iniciar la verificación

Algunas plataformas pueden publicar el registro DKIM automáticamente si también gestionan tu DNS; consulta la guía de configuración de tu plataforma antes de añadirlo manualmente.

Cómo comprobar si DKIM está activo

La propagación del DNS suele completarse en unas pocas horas, pero puede tardar hasta 48 horas. Si la verificación falla tras ese plazo, comprueba si hay espacios de más en el valor, un nombre de host incorrecto o una clave truncada.

Paso 3: Crea tu registro DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) es la capa de políticas. Mientras que SPF y DKIM se encargan de las comprobaciones de autenticación, DMARC indica a los servidores receptores qué hacer con los mensajes que no superan dichas comprobaciones, y proporciona informes agregados para que puedas ver exactamente quién envía correos electrónicos utilizando tu dominio.

La política DMARC adecuada para un nuevo dominio

Empieza siempre con p=none.

Una política de solo supervisión implica que los mensajes fallidos se siguen entregando; no se bloquea nada. Este es el punto de partida adecuado para un nuevo dominio, ya que aún no se ha comprobado que todas las fuentes de envío legítimas estén correctamente autenticadas. Pasar directamente a la opción «p=reject» antes de revisar los informes puede bloquear de forma silenciosa el correo legítimo de un remitente que se haya olvidado incluir.

Avanza por estos niveles basándote en lo que indiquen tus informes, no en un calendario fijo.

Cómo crear y publicar tu registro DMARC

Publica el registro como un registro TXT en _dmarc.tudominio.com.

Récord mínimo de inicio:

v=DMARC1; p=ninguno; rua=mailto:[email protected]

v=DMARC1 → indica que se trata de un registro DMARC

p=none → modo de supervisión (no se bloquean mensajes)

rua=mailto: → dirección a la que se envían los informes agregados

Qué hace la etiqueta «rua»

La etiqueta «rua» es donde se envían los informes agregados de DMARC. Estos informes —enviados a diario por los servidores de correo receptores— indican qué direcciones IP han enviado correos electrónicos utilizando tu dominio, si esos mensajes han superado las verificaciones SPF y DKIM, y si hay alguna fuente que no reconozcas que esté enviando mensajes en tu nombre. Sin la etiqueta «rua», tu registro DMARC aplica una política, pero no genera datos. Cuando se establece «p=none», los informes son el único resultado; omitir la etiqueta hace que toda la fase de supervisión carezca de sentido.

Paso 4: comprueba que tus registros estén activos

Una vez publicados los tres registros, espera a que se complete la propagación del DNS antes de realizar la verificación. La mayoría de los registros se propagan en unas pocas horas; espera hasta 48 horas antes de considerar que una comprobación fallida es un problema real y no un retraso en la propagación.

Herramientas para verificar SPF, DKIM y DMARC

• Verificador SPF de PowerDMARC: comprueba que tu registro SPF existe, que su sintaxis es válida y que incluye los remitentes correctos
• Comprobador DKIM de PowerDMARC: comprueba que el registro DKIM esté activo en el selector y el dominio correctos
• Comprobador DMARC de PowerDMARC: confirma que tu registro DMARC se encuentra en _dmarc y que tiene etiquetas de política válidas
• Comprobador de propagación de DNS de PowerDMARC: muestra si tus registros se han propagado por los servidores DNS de todo el mundo; resulta útil cuando un comprobador devuelve el mensaje «no encontrado» poco después de la publicación
• PowerDMARC Domain Analyzer: realiza un análisis completo del dominio que abarca SPF, DKIM, DMARC, BIMI, MTA-STS y TLS-RPT en una sola vista, para que puedas ver el estado general de la autenticación de tu correo electrónico antes de ponerlo en marcha

Qué hacer si un registro no supera la verificación

Empieza por lo básico. Comprueba que el tipo de registro sea TXT, y no A, CNAME o MX. Verifica que el nombre de host coincida con lo que espera la herramienta: @ para SPF, _dmarc para DMARC y selector._domainkey para DKIM. Busca errores habituales al copiar y pegar: espacios de más, puntos y comas que faltan, comillas que se hayan copiado desde la interfaz del panel de DNS o un punto al final del nombre del registro.

Si todo parece correcto en el DNS, utiliza la herramienta de comprobación de propagación del DNS para confirmar si el registro se ha propagado por completo antes de dar por hecho que hay un error de configuración.

Paso 5: Supervisa tus informes y el avance hacia la aplicación de la normativa

La publicación de registros de autenticación es el inicio del proceso, no el final. La fase «p=none» sirve para la supervisión activa: te proporciona los datos necesarios para confirmar que tu correo legítimo supera la autenticación antes de aplicar cualquier medida de control.

Los informes agregados de DMARC sin procesar se reciben en formato XML, que no está pensado para su lectura manual. PowerDMARC los convierte en paneles de control que te muestran, por fuente de envío:

• ¿Qué direcciones IP han enviado correos electrónicos en nombre de tu dominio?
• Si los mensajes han superado o no la verificación SPF
• Si los mensajes han superado o no la verificación DKIM
• Si hay alguna fuente no reconocida que esté enviando desde tu dominio

Estos datos confirman si tu configuración funciona según lo previsto y ponen de manifiesto cualquier plataforma de envío que se te haya podido pasar por alto al configurar SPF o DKIM.

Cuándo pasar de p=none a p=reject

Deja que tus informes marquen el ritmo. Cuando estos muestren de forma sistemática que todas las fuentes de envío legítimas superan la verificación de SPF o DKIM, cambia a p=quarantine. Mantén la supervisión durante varias semanas. Cuando estés seguro de que ningún correo legítimo falla, cambia a p=reject. No hay un número estándar de días: el momento adecuado para endurecer la aplicación es cuando tus informes indiquen que estás preparado.

Errores habituales al autenticar un nuevo dominio

• Publicar dos registros SPF en lugar de uno solo impide por completo la validación del SPF; agrupa todos los remitentes en un único registro
• Omisión de DKIM: el SPF por sí solo no es suficiente para la alineación con DMARC, y DKIM es la única comprobación que se mantiene tras el reenvío de correos electrónicos
• Configurar DMARC en «p=reject» antes de iniciar la supervisión: se corre el riesgo de bloquear el correo legítimo de un remitente que aún no se ha autenticado
• Si no se incluye la etiqueta «rua=», se elimina toda visibilidad durante la fase de supervisión; no se enviarán informes agregados
• No verificar los registros tras la propagación: un registro que parezca correcto en tu panel de DNS puede contener un error de formato que solo una herramienta de validación detecta

Conclusión

El orden es importante: primero el SPF, luego el DKIM y, por último, el DMARC. En el caso de un dominio nuevo, empezar con p=none te permite comprobar que la configuración funciona correctamente antes de aplicar la aplicación de las reglas, lo que protege la reputación de tu dominio antes de que hayas tenido la oportunidad de construirla.

Para consultar tus registros, realizar un análisis completo del dominio o revisar informes resumidos en un panel de control intuitivo, prueba PowerDMARC gratis y configura la autenticación antes de que tu primer correo electrónico se envíe a gran escala.

Preguntas frecuentes

¿Necesito autenticación de correo electrónico si mi dominio es nuevo?

Sí, configúralo antes de enviar ni un solo correo electrónico. Un dominio nuevo sin registros de autenticación es el blanco más fácil para el spoofing, y los primeros informes DMARC pueden indicar que ya se están produciendo actividades no autorizadas antes incluso de que hayas enviado nada.

¿Cuál es el orden correcto para configurar SPF, DKIM y DMARC?

Primero SPF, luego DKIM y, por último, DMARC. DMARC evalúa los resultados de las comprobaciones de SPF y DKIM, por lo que ambas deben estar funcionando para que la aplicación de DMARC tenga sentido.

¿Cuánto tiempo tarda la propagación del DNS tras añadir los registros de autenticación?

La mayoría de los registros se propagan en unas pocas horas. Espera hasta 48 horas y utiliza la herramienta de comprobación de propagación de DNS para asegurarte de que la propagación se ha completado, en lugar de darlo por hecho.

¿Qué política DMARC debo utilizar para un dominio nuevo?

Empiece con p=none. Revise los informes agregados para confirmar que todos los remitentes legítimos superan la autenticación; a continuación, pase a p=quarantine y, finalmente, a p=reject. La progresión debe basarse en los datos de los informes, no en un calendario fijo.

¿Puedo configurar DMARC antes de empezar a enviar correos electrónicos?

Sí, y merece la pena hacerlo. Los informes DMARC mostrarán cualquier actividad previa al envío en tu dominio, incluido cualquier uso no autorizado que pueda estar produciéndose ya. Utiliza el Analizador de dominios para realizar un análisis completo del estado de autenticación de tu dominio antes de tu primer envío.

¿Necesito autenticación si solo recibo correos electrónicos y no envío ninguno?

SPF y DKIM son especialmente importantes para el correo electrónico saliente, pero se recomienda disponer de un registro DMARC incluso en los dominios destinados exclusivamente a la recepción de correo. Sin él, cualquiera podría suplantar la dirección de tu dominio para enviar correos electrónicos de phishing a tus contactos, clientes o socios.

• Acerca de
• Últimas publicaciones

Milena Baghdasaryan

Especialista en contenidos de PowerDMARC

Milena es una hábil escritora y creadora de contenidos con más de 7 años de experiencia en la elaboración de contenidos atractivos sobre TI, ciberseguridad, eventos virtuales y mucho más. Tiene un historial probado de entrega de trabajos de alta calidad para revistas internacionales y se ha graduado en prestigiosas instituciones como la New York University Abu Dhabi, UWC China y el College of Europe.

Últimos mensajes de Milena Baghdasaryan (ver todos)

• Seguridad del correo electrónico de atención al cliente: cómo evitar respuestas falsas, apropiaciones de cuentas y fugas de datos - 12 de junio de 2026
• Servidores MCP maliciosos y seguridad del correo electrónico: la nueva amenaza para la cadena de suministro - 9 de junio de 2026
• Cómo configurar la autenticación de correo electrónico para un dominio recién registrado - 2 de junio de 2026