|

Cómo configurar SPF, DKIM y DMARC y salir del spam

En pocas palabras: Sí: SPF, DKIM y DMARC son tres registros DNS obligatorios para que tu correo autohospedado llegue a la bandeja de entrada. Desde febrero de 2024, Gmail, Yahoo y Outlook los exigen; sin los tres, tus mensajes caen a spam o se rechazan directamente.

43 palabras. Responde la pregunta del título con dato concreto (febrero 2024, los tres proveedores, consecuencia directa), sin hedging y citable standalone por un LLM.

Moviste el correo saliente de tus proyectos a un servidor propio con Postfix, te tomó una tarde, mandás el primer envío real y Gmail lo tira casi todo a spam. Bienvenido al club. Configurar SPF, DKIM y DMARC no es un trámite de DNS: es la diferencia entre que tu mail llegue a la bandeja de entrada o desaparezca antes de que alguien lea el asunto.

Saber cómo configurar SPF, DKIM y DMARC es lo primero que tenés que resolver si mandás correo desde tu propio dominio. SPF, DKIM y DMARC son tres registros DNS que autentican tu email: SPF autoriza qué servidores pueden enviar en tu nombre, DKIM firma criptográficamente cada mensaje, y DMARC define qué hacer cuando alguno falla. Sin los tres, Gmail y Yahoo te mandan a spam por default desde febrero de 2024.

En 30 segundos

  • Desde febrero de 2024, Google y Yahoo exigen SPF, DKIM y DMARC a quienes mandan más de 5.000 emails por día.
  • SPF no frena el spoofing del “From” que ve el usuario: solo valida el Return-Path, la dirección técnica invisible.
  • DKIM es más resistente porque firma el mensaje y sobrevive a reenvíos ordinarios, mientras SPF se rompe apenas cambia la IP que reenvía.
  • La autenticación se resuelve en un fin de semana; la reputación de tu IP tarda meses de envíos consistentes.
  • Nunca actives p=reject de una: primero p=none, mirás los reportes, y recién ahí endurecés la política.

¿Por qué configurar SPF, DKIM y DMARC dejó de ser opcional?

Porque los dos proveedores de correo más grandes lo volvieron requisito de entrada. En febrero de 2024, Google y Yahoo empezaron a pedir SPF, DKIM y DMARC a todo remitente masivo (más de 5.000 mensajes diarios), según los requisitos de autenticación publicados por ambos. No es una recomendación amable: si no cumplís, tu correo rebota o va directo a spam.

El tema es que esto no afecta solo a los que mandan campañas gigantes. Si tenés un servidor propio y mandás notificaciones, recibos o mails transaccionales, entrás igual en el radar de los filtros. Y todavía hay un agujero enorme: una porción grande de los dominios en internet sigue sin una política DMARC efectiva. Traducido: mucha gente todavía no se dio cuenta de que su correo está colgando de un hilo.

¿Y por qué se pusieron tan estrictos? Para cortar el phishing. Autenticar el correo prueba que el mensaje sale de donde dice salir. Sin eso, cualquiera puede firmar como tu dominio.

¿Qué hace SPF y por qué no previene el spoofing que creés que previene?

SPF es un registro DNS que lista las IPs autorizadas a mandar correo por tu dominio. Suena a que te protege de suplantación, pero acá viene la trampa que confunde a casi todos: SPF valida el envelope sender (el Return-Path o MAIL FROM que negocian los servidores), no la dirección “From:” que efectivamente lee tu destinatario. Te puede servir nuestra cobertura de plataformas alternativas a servicios cloud.

Ponele que alguien manda un mail poniendo tu dominio en el From visible. SPF por sí solo no lo frena, porque revisa otra dirección, una que el usuario nunca ve.

Hay un segundo problema. SPF se rompe apenas el correo se reenvía: cuando un servidor intermedio reenvía el mensaje, la IP que relaya cambia, deja de estar en tu lista autorizada, y SPF falla. Como lo contó el autor de la nota original en dev.to tras mudar su correo a Postfix: “configuré SPF” y “Gmail confía en mí” son dos frases completamente distintas. Igual, no lo dejes sin configurar. Sin SPF, arrancás perdiendo.

¿Qué es DKIM y por qué aguanta mejor que SPF?

DKIM firma criptográficamente cada mensaje con una clave privada, y publica la clave pública en tu DNS bajo un selector. En vez de validar una IP, valida el contenido del mail. Por eso sobrevive a los reenvíos ordinarios: la firma viaja con el mensaje, no depende del servidor que lo relaya.

Esa es la ventaja real sobre SPF. Reenviás un correo firmado con DKIM y la firma sigue siendo válida (siempre que el contenido no se toque).

Eso sí: DKIM tiene su talón de Aquiles. Si el reenvío modifica el mensaje (por ejemplo, un servidor que agrega un footer de “este mail fue escaneado”), la firma se invalida y DKIM falla. Los errores más comunes al configurarlo son de dedo:

  • Clave pública mal copiada: un carácter faltante en el registro TXT y la firma no valida nunca.
  • Registro cortado: las claves DKIM son largas y algunos paneles DNS las truncan.
  • Clave no publicada: firmás con la privada pero nunca subiste la pública al DNS.

Para verificar que quedó bien, tenés opendkim-testkey en el servidor y dig para consultar el registro directo desde la terminal. Lo explicamos a fondo en riesgos de seguridad en infraestructura compartida.

¿Cómo une DMARC a SPF y DKIM?

DMARC es el registro que le dice al receptor qué hacer cuando SPF o DKIM fallan, y agrega una capa que los otros dos no tienen: la alineación. Para que DMARC pase, no alcanza con que SPF o DKIM validen; el dominio que validaron tiene que coincidir con el From visible que ve el usuario. Ahí se cierra el agujero del spoofing.

Este es el error crítico que hunde a mucha gente: pasan SPF y DKIM, pero fallan la alineación de identificadores, y no entienden por qué DMARC los rechaza. La respuesta es que el From visible no coincide con el dominio autenticado.

DMARC tiene tres políticas, y el orden importa:

  • p=none: monitoreo. No hace nada con el correo que falla, pero te manda reportes. Empezá siempre acá.
  • p=quarantine: el correo que falla va a spam.
  • p=reject: el correo que falla se rechaza directamente.

¿Cuál es el error que no querés cometer? Activar p=reject de entrada. Si tenés algún sistema legítimo enviando en tu nombre que todavía no está en SPF (un CRM, un formulario, una app), lo estás cortando sin darte cuenta. Por eso el campo rua= (dirección para reportes agregados) es clave: te deja ver quién manda antes de endurecer.

¿Por qué mi servidor propio termina en spam aunque todo esté bien configurado?

Porque autenticación y reputación son dos cosas distintas, y los proveedores las pesan por separado. Autenticar prueba que el mail es tuyo, y eso lo resolvés en un fin de semana. La reputación es un historial de que la gente quiere tu correo, y eso tarda meses. Fallás la primera y nunca llegás a jugar por la segunda.

Google y Yahoo no confían en una IP nueva porque sí. Subís el servidor, mandás mil mails el primer día y el filtro lee eso como comportamiento de spammer, no de remitente serio. Esto se conecta con lo que analizamos en automatizar el flujo de envíos.

La forma de construir reputación es gradual (ramp-up): arrancás con pocos envíos, ponele 50 el primer día, vas duplicando, y en dos semanas o más recién estás mandando miles diarios. En el medio, cuidá tres cosas: que tu lista sea de gente que se anotó (no comprada), que tengas los feedback loops activos para saber quién te marca como spam, y que manejes bien los rebotes. Si tu IP cae en una blacklist, no hay SPF que te salve. Si preferís no pelear con la reputación de una IP desde cero, un hosting con servidores de correo ya reputados te ahorra ese mes de ramp-up.

¿Cuál es la diferencia entre Return-Path y el From visible?

El Return-Path (envelope sender o MAIL FROM) es la dirección técnica invisible adonde vuelven los rebotes automáticos. El From visible es lo que ve tu destinatario. Son dos direcciones distintas y pueden apuntar a lugares diferentes.

¿Por qué te importa? Porque si el Return-Path no es válido, perdés el feedback de los rebotes y no podés limpiar tu lista de direcciones muertas. Y una lista sucia te destroza la reputación. En la práctica podés tener [email protected] como Return-Path y [email protected] como From visible.

Comparativa rápida: SPF vs DKIM vs DMARC

AspectoSPFDKIMDMARC
Qué validaIP autorizada (Return-Path)Firma criptográfica del mensajeAlineación con el From visible
Sobrevive a reenvíosNo (cambia la IP)Sí, si no se modifica el contenidoDepende de SPF/DKIM
Frena spoofing del From visibleNoNo solo
Define qué hacer si fallaNoNoSí (none/quarantine/reject)
Manda reportesNoNoSí (rua/ruf)
configurar spf dkim dmarc diagrama explicativo

¿Qué errores técnicos frenan la autenticación?

La mayoría de las fallas no son conceptuales, son de configuración. Estos son los que aparecen una y otra vez:

  • SPF con más de 10 búsquedas DNS: el estándar invalida el registro si supera ese límite. Pasa cuando encadenás muchos include:.
  • DKIM con caracteres mal copiados: un solo carácter de más o de menos en el TXT y la firma no valida.
  • DMARC sin alineación: SPF y DKIM pasan, pero el dominio no coincide con el From visible.
  • Activar DMARC antes de tiempo: si SPF y DKIM no llevan al menos 48 horas propagados, DMARC va a reportar fallas falsas.

Para verificar, MXToolbox te chequea los tres registros desde el navegador, y desde el servidor tenés opendkim-testkey y dig. Cuando algo falla y no sabés por qué, los reportes DMARC son tu mejor herramienta de debugging.

¿Qué información dan los reportes DMARC?

Los reportes agregados (los que llegan a la dirección de rua=) te muestran tendencias de fallos de autenticación: cuántos mensajes pasaron, cuántos fallaron y desde qué IPs. Con eso descubrís qué sistemas están mandando en tu nombre sin estar en tu SPF, algo clásico cuando tenés un CRM o un plugin que envía por afuera. Complementá con herramientas de automatización autohospedadas.

Los reportes forenses (ruf=) van más al detalle de los mensajes rechazados. Sirven para tres cosas: detectar spoofing real, identificar sistemas legítimos que te faltó autorizar, y rastrear problemas de reenvío. Es la data que te dice cuándo es seguro pasar de p=none a p=quarantine.

Errores comunes al configurar la autenticación de email

  • Creer que SPF frena la suplantación visible: no lo hace. Solo DMARC con alineación cierra ese hueco. Configurá los tres, no uno solo.
  • Saltar directo a p=reject: cortás correo legítimo antes de saber quién manda en tu nombre. Empezá con p=none y leé los reportes al menos una o dos semanas.
  • Ignorar la reputación de la IP: tenés SPF, DKIM y DMARC impecables y seguís en spam porque tu IP es nueva. Hacé ramp-up gradual, no mandes miles el día uno.
  • No configurar un Return-Path válido: te quedás sin feedback de rebotes y tu lista se pudre. Definí una dirección real para los bounces.

Preguntas Frecuentes

¿Qué diferencia hay entre SPF, DKIM y DMARC?

SPF autoriza qué IPs pueden mandar por tu dominio, DKIM firma criptográficamente cada mensaje, y DMARC define qué hacer cuando SPF o DKIM fallan y verifica que coincidan con el From visible. Los tres se complementan: SPF y DKIM autentican, DMARC decide la política y manda reportes.

¿Por qué mi servidor de email propio termina en spam?

Casi siempre por reputación, no por autenticación. Una IP nueva no tiene historial, y Google o Yahoo desconfían de ella aunque tengas SPF, DKIM y DMARC perfectos. La solución es un ramp-up gradual de volumen durante varias semanas y mantener una lista de contactos que se anotaron voluntariamente.

¿Cuánto tarda en mejorar la entregabilidad después de configurar SPF?

La autenticación queda activa en 24 a 48 horas de propagación DNS, pero la reputación tarda meses. Configurar los registros es rápido; construir la confianza que necesita Gmail para dejar de filtrarte requiere semanas de envíos consistentes con buen engagement y pocos rebotes.

¿Por qué falla DMARC si SPF y DKIM están bien configurados?

El motivo más común es la falta de alineación de identificadores. DMARC exige que el dominio validado por SPF o DKIM coincida con la dirección From que ve el usuario. Si autenticás con un dominio y mostrás otro en el From, DMARC falla aunque SPF y DKIM pasen por separado.

¿Qué es Return-Path y cómo afecta la entregabilidad?

Return-Path es la dirección invisible (envelope sender) adonde vuelven los rebotes automáticos, distinta del From que lee el destinatario. Si no es válida, perdés el feedback de los rebotes y no podés limpiar tu lista, lo que degrada tu reputación con el tiempo y te empuja a la carpeta de spam.

Conclusión

Desde 2024, SPF, DKIM y DMARC dejaron de ser un lujo de administrador prolijo y pasaron a ser el peaje de entrada a la bandeja de Gmail y Yahoo. Los tres registros se configuran en un fin de semana, pero cada uno hace un trabajo distinto: SPF autoriza IPs, DKIM firma el mensaje, y DMARC ata todo y define la política.

Si vas a autohospedar tu correo, arrancá por lo concreto: publicá SPF, DKIM y DMARC con p=none, esperá 48 horas, leé los reportes agregados para ver quién manda en tu nombre, y recién ahí endurecé a quarantine o reject. Y no te olvides de lo otro: la autenticación te deja jugar, pero la reputación de tu IP es la que gana el partido, y eso se construye mandando de a poco durante meses.

Fuentes

Te puede interesar...