Remitente No Verificado: Protege tu Gmail
El aviso de “Remitente no verificado” que ves al lado del nombre en Gmail no es un detalle menor: es la forma que tiene Google de decirte que ese correo no pasó las pruebas de autenticación (SPF, DKIM o DMARC) que determinan si quien dice ser la persona que lo envió realmente lo envió. Desde febrero de 2024, Gmail obligó a remitentes masivos a autenticar sus dominios, y desde noviembre de 2025 el enforcement se puso más estricto: si tu dominio no tiene SPF y DKIM configurados, tus correos empiezan a rebotar o van directo a spam.
En 30 segundos
- “Remitente no verificado” significa que Gmail no pudo confirmar que el dominio que aparece en el correo realmente lo envió usando los protocolos SPF, DKIM o DMARC.
- Los requisitos de autenticación empezaron en febrero de 2024 y se endurecieron en noviembre de 2025: ahora SPF + DKIM son obligatorios para envíos masivos.
- SPF verifica que el servidor de mail está autorizado, DKIM añade una firma digital al mensaje, DMARC define la política: qué hacer si algo falla.
- Vos podés verificar un correo desde Gmail abriendo el mensaje, haciendo clic en la flecha junto al remitente y buscando “enviado por” o “firmado por”.
- Para los administradores: necesitás configurar SPF con las IPs autorizadas, DKIM en el DNS del dominio, y DMARC (empezando con p=none, luego p=quarantine y finalmente p=reject).
“Remitente no verificado” es el símbolo de interrogación o exclamación que Gmail pone junto al nombre de quien te envía un correo cuando no puede confirmar que esa persona o empresa realmente lo mandó. En vez de un tilde azul que dice “verificado”, ves una interrogación gris que significa: “che, Gmail no está seguro de que esto sea legítimo”.
Qué significa “Remitente no verificado” en Gmail
Ponele que recibís un correo que dice venir de tu banco, pero no tiene la marca azul de verificación, sino un signo de interrogación. Eso es “remitente no verificado”. Lo que Gmail está diciendo es que analizó los protocolos de autenticación del mensaje (SPF, DKIM, DMARC) y algo no cerró: o el servidor que envió el correo no está autorizado por ese dominio, o la firma digital es falsa, o la política DMARC dice “rechazá esto si falla”.
La diferencia es clara: un correo verificado tiene un tilde azul o una etiqueta que dice “Verified” junto al nombre del remitente. Un correo no verificado tiene ese signo de interrogación. Si ves eso, no es que sea automáticamente spam, pero vale la pena ser cuidadoso.
Hay un upgrade además: la marca azul de BIMI (Indicadores de Marca para Identificación de Mensajes). Eso significa que el remitente no solo autenticó el dominio, sino que también registró un logotipo certificado. Menos común, pero es un indicador más fuerte de que alguien se tomó la molestia de hacer las cosas bien.
Por qué Gmail muestra esta advertencia
En enero de 2024, Google y Yahoo dijeron basta. Los estafadores llevan años suplantando dominios reales, robando credenciales con phishing masivo, mandando spam desde direcciones falsas. Así que anunciaron: desde febrero de 2024, quién mande 5.000+ correos por día a Gmail tiene que autenticar su dominio con SPF + DKIM + DMARC. Si no, los correos rebotan o van a spam.
En noviembre de 2025, Google apretó el acelerador aún más (sí, hace poco, 2026 ya). Ahora el enforcement es más estricto: no importa si mandás 5.000 o 500 correos, si no tenés SPF y DKIM configurados en tu dominio, tus mensajes tienen problemas. Las políticas de autenticación son ahora casi obligatorias. Te puede servir nuestra cobertura de ejecutar herramientas sin exponer datos en cloud.
¿El resultado? El “remitente no verificado” que ves hoy. Google necesita defenderse de suplantación, y la mejor forma es forzar a los remitentes legítimos a probar que son quiénes dicen ser.
SPF, DKIM y DMARC: los protocolos de autenticación explicados
Estos tres protocolos son los que Gmail revisá cuando un correo llega. No son complicados en teoría, pero la ejecución requiere acceso al DNS y paciencia.
| Protocolo | Qué verifica | Dónde se configura | Obligatorio 2026 |
|---|---|---|---|
| SPF (Sender Policy Framework) | Verifica que el servidor IP que envía el correo está autorizado por el dominio. Es como un registro en DNS que dice: “estos servidores tienen permiso de enviar correos en mi nombre”. | DNS del dominio, como un registro TXT | Sí, obligatorio para envíos masivos |
| DKIM (DomainKeys Identified Mail) | Añade una firma digital criptográfica al mensaje. El servidor de envío firma el correo, Gmail verifica la firma usando la clave pública que está en el DNS. Si alguien modifica el mensaje, la firma falla. | DNS del dominio (clave pública) + servidor de mail (clave privada) | Sí, obligatorio junto con SPF |
| DMARC (Domain-based Message Authentication, Reporting and Conformance) | Define la política: qué hacer si SPF o DKIM fallan. Puede decir “rechazá el correo”, “mandalo a spam”, o “entregalo pero avísame que falló”. | DNS del dominio, como un registro TXT | Recomendado (mínimo p=none) |
La configuración típica es así: primero SPF (una línea en el DNS con las IPs autorizadas), luego DKIM (generar un par de claves, poner la pública en DNS, la privada en el servidor de mail), finalmente DMARC (una política que dice “si algo falla, rechazá o avísame”).
El punto clave: SPF y DKIM tienen que estar ALINEADOS. No basta con que existan, tienen que verificar el mismo dominio. Si SPF verifica “dominio.com” pero DKIM verifica “mail.dominio.com”, Gmail va a desconfiar.
Cómo verificar si un correo está autenticado
Vos mismo podés revisar si un correo que recibiste está autenticado. Abrí el mensaje en Gmail, hacé clic en la flecha junto al nombre del remitente, y buscá una línea que dice “enviado por” o “firmado por”. Si ves “enviado por dominio.com” con un tilde, está verificado. Si ves un signo de interrogación, no pasó la autenticación.
Los técnicos pueden ir más lejos: Gmail tiene una herramienta llamada Google Admin Toolbox MessageHeader donde pegás el encabezado del correo (esos números raros que están al final de cada mensaje) y te muestra exactamente cuál protocoló falló: SPF? DKIM? ¿Ambos?
También hay herramientas online de terceros que hacen análisis de headers. El dato importante: si ves “SPF: fail” o “DKIM: fail” en los headers, ese correo no está autenticado. Si ves “SPF: pass” y “DKIM: pass”, estás en el claro. Esto se conecta con lo que analizamos en cómo proteger tu privacidad en línea.
La marca azul de Gmail: BIMI y verificación de marca
La marca azul que ves al lado de algunos remitentes no es solo “verificado”. Es BIMI: Indicadores de Marca para Identificación de Mensajes. Significa que el remitente además de autenticar el dominio, también registró un logotipo certificado ante una autoridad de marcas.
BIMI requiere tres cosas: dominio autenticado (SPF + DKIM + DMARC), un logotipo en formato SVG, y un Certificado VMC (Verified Mark Certificate) de una autoridad de marcas. No es cosa de 5 minutos. Lo típico es que lo hagan empresas grandes, bancos, servicios gubernamentales. Si ves una marca azul junto a un correo de tu banco, es porque el banco se tomó la molestia de ir al organismo de marcas, registrar el logotipo, pagar por el certificado, y configurar todo en BIMI.
El malentendido común: algunos usuarios creen que la marca azul es garantía de que el correo es legítimo. Y sí, lo indica fuertemente, pero no es infalible. Hubo casos de estafas donde pusieron una marca azul falsa (fácil de imitar visualmente si no mirás con cuidado). Así que: marca azul = buena señal, pero no desconfíes si no la ves, y no confíes ciegamente en ella.
Cómo protegerse de phishing y estafas por correo
Primero, sabé que el “remitente no verificado” es una alarma. No quiere decir que sea spam obligatoriamente, pero significa que algo no cerró en la autenticación.
Segundo, no confíes solo en la marca de Google. Buscá señales de alerta reales: ¿el correo pide que haga clic en un link y pongas tu contraseña? Rojo. ¿Dice “actúa ahora o se vence tu cuenta”? Rojo. ¿La dirección del remitente está casi bien pero no exactamente bien (ejemplo: “gogle.com” en vez de “google.com”)? Rojo. ¿Un subdomain extraño (“mail.bank.com” en vez de “bank.com”)? Rojo.
Tercero, si el correo es importante, verificalo de forma independiente. Si dice venir de tu banco, abrí el navegador, entrá al sitio del banco directamente, y revisá el estado de tu cuenta ahí. No hagas clic en links del correo. Sobre eso hablamos en herramientas avanzadas de seguridad digital.
Cuarto, descargá archivos de remitentes desconocidos? Directamente no. Aunque tenga marca azul. Los atacantes saben que los usuarios confían en la marca de Google, así que mandán archivos maliciosos desde dominios comprometidos que SÍ tienen autenticación.
Quinto, si sospechas que es phishing, no respondas, no hagas clic en nada. Reportalo a Google (hay un botón de “Reportar phishing” en Gmail) y borralo.
Configuración para administradores: cómo evitar advertencias en tus dominios
Si sos administrador de un dominio o trabaja en marketing, esto te toca. Los requisitos de Gmail desde noviembre de 2025 son claros:
- SPF obligatorio: Crea un registro TXT en tu DNS que liste todas las IPs o dominios autorizados para enviar correos. Ejemplo:
v=spf1 ip4:192.0.2.0 include:sendgrid.net ~all. Espera 48 horas a que se propague. - DKIM obligatorio: Genera un par de claves (la mayoría de proveedores de correo lo hacen automáticamente), ponés la pública en un registro TXT del DNS, y la privada queda en el servidor de mail. Valida con la herramienta de tu proveedor.
- DMARC recomendado: Empezá con
p=none(solo reportá, no rechaces). Monitorea por una semana, luego pasá ap=quarantine(spam si falla), finalmentep=reject(rechazá el correo si falla). Esto es gradual porque no querés terminar rechazando correos legítimos tuyo por accidente. - One-click unsubscribe obligatorio: Desde noviembre de 2025, los correos masivos deben permitir desuscribirse con un clic (header “List-Unsubscribe-Post”). Si mandás newsletters o alertas, configura esto.
- Spam rate baja: Google monitorea cuántos correos tuyo los usuarios reportan como spam. Si estás por arriba de 0.3%, podés terminando en la lista negra.
Las herramientas online para validar todo esto existen: Google Admin Toolbox, MXToolbox, PowerDMARC, Hostinger (si hospedas ahí). Usálas para revisar que SPF, DKIM y DMARC estén configurados correctamente antes de apagar completamente DMARC con p=reject.
Errores comunes
Configurar SPF pero olvidar DKIM
Mucha gente configura SPF (dicen: “listo, ya autentiqué”), pero DKIM sigue desactivado. Gmail en 2026 requiere AMBOS. El resultado: correos que rebotan o van a spam de todas formas. La solución: configura los dos juntos, no uno después del otro. Cubrimos ese tema en detalle en evalúa la seguridad de servicios cloud.
DMARC directamente con p=reject
Algunos administradores son valientes y ponen DMARC con p=reject desde el primer día. Resultado: empiezan a rechazar correos legítimos de gente que usa tu dominio de formas raras (forwarding, marketing automation mal configurado, etc.). Después te llaman a las 3 de la mañana diciendo “¿por qué no me llegan los correos?”. Regla: empezá con p=none, monitoreá una semana, luego sube a p=quarantine, finalmente p=reject.
Alinear SPF y DKIM con dominios diferentes
El error clásico: SPF verifica “company.com” pero DKIM firma desde “mail.company.com”. Suenan parecido, pero Gmail ve dos dominios diferentes. La “alineación” es lo que quiere Gmail: ambos protocolos deben verificar el mismo dominio. Si usas subdominio para DKIM, asegurate de que SPF también lo permita.
Preguntas Frecuentes
¿Por qué aparece “remitente no verificado” si la compañía es conocida?
Probablemente el dominio no tiene SPF y DKIM configurados, o está mal alineado. Las empresas grandes deberían tenerlo listo, pero si ves eso, significa que fallaron algo. Contactalos y deciles que configuren autenticación. A veces es también que el correo viene desde un servicio de terceros (Mailchimp, SendGrid) y el dominio del servicio está autenticado, pero el dominio de la empresa no está delegado correctamente.
¿Es “remitente no verificado” lo mismo que “phishing confirmado”?
No. “Remitente no verificado” es una señal de alerta, no confirmación de phishing. Puede ser que el correo es legítimo pero quien lo envía no configuró autenticación (malo de su parte, pero el contenido puede ser real). O puede ser phishing. Usá el contexto: ¿esperabas el correo? ¿Tiene sentido el contenido? ¿Pide contraseña o dinero? Eso te dice más que la marca de Google.
¿Cómo agrego DKIM si uso una plataforma de correo como Gmail Business o Outlook?
Las plataformas grandes (Google Workspace, Microsoft 365) generan automáticamente las claves DKIM. Vos solo tenés que copiar el registro que te muestra el panel de admin, pegarlo en el DNS del dominio, y validarlo. Toma 10 minutos. Si no lo hiciste aún, revisá la sección de “autenticación de dominio” o “DKIM” en tu panel de admin.
¿Qué pasa si configuro DMARC con p=reject y un usuario reclama que no recibió su correo?
Eso significa que un correo legítimo falló la autenticación y fue rechazado. Revisá los logs de DMARC (casi todos los proveedores los envían a un email que especifiques) para ver qué falló exactamente. Probablemente SPF o DKIM mal alineados, o forwarding que rompió la firma. Bajá a p=quarantine mientras investigás, resolvé el problema, y subís nuevamente.
Conclusión
El “remitente no verificado” que ves en Gmail es el resultado de que Google se cansó de estafadores. Y tiene sentido: si podés suplantarme mandándole un correo de “mi banco” a todo el mundo, es un problema.
Para vos como usuario: ese signo de interrogación es una señal que vale la pena tomar en serio. No pánico automático, pero sí: cuidado. Verificá de forma independiente antes de hacer clic en links o compartir información sensible.
Para administradores: los requisitos son reales. SPF y DKIM obligatorios desde noviembre de 2025. Si no los tenés configurados, empezá hoy. Y hacelo gradualmente: SPF primero, DKIM segundo, DMARC tercero (con p=none al principio). Así evitás romper nada en producción.
Donweb permite administrar dominios y configurar SPF/DKIM desde el panel de DNS si hospedas ahí. Si estás en otro lado, pedile al soporte que acceso al DNS y seguí los pasos de tu proveedor de correo.
