¿Qué es SPF y para qué sirve?

SPF (Sender Policy Framework) es un registro DNS que indica qué servidores tienen permiso de enviar email en nombre de tu dominio. Ayuda a prevenir que terceros envíen emails falsos usando tu dirección.

¿Qué es DKIM y cómo funciona?

DKIM (DomainKeys Identified Mail) firma cada email saliente con una clave criptográfica. El servidor receptor verifica la firma usando una clave pública en tu DNS, confirmando que el email es auténtico y no fue modificado.

¿Qué es DMARC y por qué lo necesito?

DMARC (Domain-based Message Authentication, Reporting and Conformance) es una política que le dice a los servidores receptores qué hacer con emails que no pasan SPF o DKIM. Puede ser none (monitorear), quarantine (mandar a spam) o reject (rechazar).

¿Necesito configurar SPF, DKIM y DMARC manualmente?

Depende de tu proveedor de email. Con servicios como MailMask, DKIM y SPF se configuran automáticamente al agregar tu dominio. Solo necesitas copiar los registros DNS que te proporcionan.

¿Qué pasa si no configuro SPF, DKIM ni DMARC?

Tus emails tienen alta probabilidad de caer en spam. Además, cualquier persona podría enviar emails falsos pretendiendo ser tu dominio (spoofing), lo que dañaría tu reputación.

← Todos los artículos

¿Qué son DKIM, SPF y DMARC? Guía para no-técnicos

📅 23 Feb 2026 ⏱ 7 min de lectura

Si alguna vez configuraste email con dominio propio, probablemente te topaste con estas siglas: SPF, DKIM, DMARC. Suenan intimidantes, pero el concepto detrás de cada una es simple. En esta guía te explico qué hace cada protocolo, por qué importa y cómo configurarlos — sin necesidad de ser ingeniero.

El problema que resuelven

El email se inventó en los 70s, cuando internet era un grupo pequeño de universidades que se confiaban mutuamente. No se diseñó con seguridad en mente. El resultado: cualquiera puede enviar un email diciendo ser cualquier persona.

Imagina que pudieras enviar una carta por correo postal con el remitente que quisieras — sin verificación. Eso es exactamente lo que pasa con el email sin autenticación. SPF, DKIM y DMARC son los protocolos que se crearon para cerrar esa brecha.

SPF: la lista de invitados

¿Qué es?

SPF (Sender Policy Framework) es un registro en tu DNS que dice: "Estos son los servidores autorizados para enviar email en nombre de mi dominio." Piensa en él como la lista de invitados de una fiesta — si tu nombre no está en la lista, no entras.

¿Cómo se ve?

Es un registro TXT en tu DNS con un formato específico:

v=spf1 include:amazonses.com -all

Esto dice: "Solo Amazon SES puede enviar email por mí. Rechaza todo lo demás." El include autoriza un servicio. El -all al final rechaza todo lo que no esté listado (también puedes usar ~all para un rechazo suave).

¿Qué pasa sin SPF?

Sin SPF, un spammer puede enviar emails "desde" tu@tudominio.com usando cualquier servidor del mundo. Los filtros de Gmail y Outlook no tienen forma de saber si el email es legítimo o falso, así que probablemente lo manden a spam.

DKIM: la firma digital

¿Qué es?

DKIM (DomainKeys Identified Mail) funciona como una firma manuscrita, pero digital. Cada email que envías lleva una firma criptográfica invisible. El servidor que recibe el email verifica esa firma con una clave pública que tú publicas en tu DNS.

La analogía

Piensa en un documento notariado. El notario (tu servidor de email) pone un sello único en el documento (tu email). Cuando alguien lo recibe, puede verificar el sello con el registro del notario (tu DNS). Si el sello coincide, saben que:

El documento realmente viene de quien dice ser.
Nadie lo alteró después de sellarlo.

¿Cómo se configura?

Tu proveedor de email genera un par de claves (pública y privada). Tú publicas la clave pública en tu DNS como registros CNAME. Generalmente son 3 registros que se ven así:

abcdef._domainkey.tudominio.com → dkim1.proveedor.com
ghijkl._domainkey.tudominio.com → dkim2.proveedor.com
mnopqr._domainkey.tudominio.com → dkim3.proveedor.com

La clave privada se queda en el servidor y firma cada email automáticamente. Nunca la ves ni la tocas.

DMARC: el árbitro

¿Qué es?

DMARC (Domain-based Message Authentication, Reporting and Conformance) es la política que une SPF y DKIM. Le dice a los servidores receptores: "Si un email de mi dominio no pasa SPF o DKIM, haz esto con él."

Las tres políticas

p=none — Solo monitorea. No hagas nada con los emails que fallen. Útil para empezar y ver qué está pasando.
p=quarantine — Manda a spam los emails que fallen. La opción recomendada una vez que confirmas que tu configuración está bien.
p=reject — Rechaza completamente los emails que fallen. La opción más estricta.

¿Cómo se ve?

v=DMARC1; p=quarantine; rua=mailto:dmarc@tudominio.com

El campo rua es opcional pero útil — te envía reportes periódicos sobre quién está intentando enviar email desde tu dominio.

Consejo práctico

Empieza con p=none durante una o dos semanas. Revisa los reportes para asegurarte de que tus emails legítimos pasan SPF y DKIM. Luego sube a p=quarantine. Solo usa p=reject si estás seguro de que toda tu infraestructura de email está correctamente autenticada.

Errores comunes

"Solo necesito uno de los tres." No. SPF, DKIM y DMARC se complementan. SPF sin DKIM deja huecos. DKIM sin SPF también. DMARC sin los otros dos no tiene qué evaluar.
"Ya lo configuré hace años y no lo he tocado." Si cambiaste de proveedor de email o agregaste uno nuevo (como un servicio de newsletters), tu SPF y DKIM necesitan actualizarse.
"Mi proveedor se encarga de todo." Algunos proveedores configuran DKIM automáticamente, pero SPF y DMARC casi siempre requieren que tú agregues registros en tu DNS.
"DMARC en reject desde el día uno." Mala idea. Si algo está mal configurado, tus propios emails serán rechazados. Empieza con none, luego quarantine, luego reject.

¿Cómo verificar tu configuración actual?

Puedes comprobar rápidamente si tu dominio tiene SPF, DKIM y DMARC configurados:

SPF: Busca un registro TXT que empiece con v=spf1 en tu DNS.
DKIM: Busca registros CNAME con _domainkey en el nombre.
DMARC: Busca un registro TXT en _dmarc.tudominio.com que empiece con v=DMARC1.

También puedes enviarte un email a ti mismo y revisar las cabeceras. En Gmail, abre el email, haz clic en los tres puntos y selecciona "Mostrar original". Busca las líneas de SPF, DKIM y DMARC — cada una debería decir PASS.

MailMask lo configura por ti

Si la idea de editar registros DNS te parece complicada, MailMask simplifica el proceso. Cuando agregas un dominio en el dashboard:

Se generan automáticamente las claves DKIM para tu dominio.
El dashboard te muestra los registros DNS exactos que necesitas agregar — con un botón de copiar para cada uno.
MailMask verifica automáticamente que los registros estén correctos y te avisa cuando todo está listo.

No necesitas entender criptografía asimétrica ni la sintaxis de los registros TXT. Solo copias, pegas y MailMask se encarga del resto. Si tu dominio necesita enviar emails (no solo recibir), los planes Freelancer y Developer incluyen envío autenticado con DKIM+SPF ya configurado.

¿Quieres saber más sobre entregabilidad? Lee nuestra guía sobre cómo evitar que tus emails caigan en spam.

Resumen rápido

SPF = lista de servidores autorizados para enviar por tu dominio.
DKIM = firma digital que prueba autenticidad e integridad.
DMARC = política que decide qué hacer con emails que fallan SPF/DKIM.
Los tres juntos = emails que llegan al inbox, no al spam.

Configurarlos es la inversión de 5 minutos más rentable que puedes hacer por tu email profesional. Empieza con MailMask y deja que la autenticación se configure sola.

El problema que resuelven

SPF: la lista de invitados

¿Qué es?

¿Cómo se ve?

¿Qué pasa sin SPF?

DKIM: la firma digital

¿Qué es?

La analogía

¿Cómo se configura?

DMARC: el árbitro

¿Qué es?

Las tres políticas

¿Cómo se ve?

Consejo práctico

Errores comunes

¿Cómo verificar tu configuración actual?

MailMask lo configura por ti

Resumen rápido

Email autenticado sin complicaciones