T
email-authentication spf dkim dmarc security dns

Guía Completa de Autenticación de Correo: SPF, DKIM y DMARC

Domine la autenticación de correo electrónico con nuestra guía completa sobre SPF, DKIM y DMARC. Aprenda a prevenir el spoofing y a mejorar la entregabilidad de sus correos.

2026-04-12

Guía Completa de Autenticación de Correo: Domine SPF, DKIM y DMARC

La autenticación de correo electrónico es la piedra angular de la seguridad del correo moderno. Sin ella, sus correos son vulnerables al spoofing (suplantación de identidad) y su reputación como remitente puede verse afectada, lo que lleva a que sus mensajes legítimos sean marcados como spam. Esta guía le explicará los tres pilares de la autenticación: SPF, DKIM y DMARC.

¿Qué es la Autenticación de Correo?

Es un marco técnico utilizado para verificar que un mensaje de correo proviene realmente del remitente que dice ser. En los inicios de internet, el protocolo SMTP no tenía verificación integrada, lo que facilitaba que cualquiera enviara correos fingiendo ser otra persona.

Hoy usamos tres protocolos principales:

  • SPF (Sender Policy Framework): Una lista de direcciones IP y dominios autorizados.
  • DKIM (DomainKeys Identified Mail): Una firma digital que garantiza que el mensaje no ha sido alterado.
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance): Una política que indica a los servidores qué hacer si SPF o DKIM fallan.

Principios Básicos: Cómo Trabajan Juntos

1. SPF (Sender Policy Framework)

El SPF es un registro DNS que enumera todas las IP autorizadas para enviar correos en nombre de su dominio.

Cómo funciona:

  1. El remitente envía un correo.
  2. El servidor receptor busca el registro SPF en el DNS del dominio del remitente.
  3. Si la IP del remitente está en el registro, la verificación pasa.

Ejemplo de Sintaxis SPF: v=spf1 ip4:192.168.0.1 include:_spf.google.com ~all

  • v=spf1: Identificador de versión.
  • ip4:192.168.0.1: Autoriza una IP específica.
  • include:_spf.google.com: Autoriza los servidores de Google.
  • ~all: "Soft fail" (marcar como spam si no está autorizado). -all es "Hard fail" (rechazar).

2. DKIM (DomainKeys Identified Mail)

DKIM añade una firma criptográfica al encabezado del correo, verificada mediante una clave pública en su DNS.

Cómo funciona:

  1. El servidor emisor firma el correo con una clave privada.
  2. El servidor receptor obtiene la clave pública vía un registro DNS TXT.
  3. El servidor verifica la firma. Si coincide, el correo es auténtico.

3. DMARC (Domain-based Message Authentication)

DMARC une SPF y DKIM. Permite especificar una política (none, quarantine o reject) para los correos que fallan la autenticación.

Ejemplo de Política DMARC: v=DMARC1; p=quarantine; rua=mailto:[email protected]

  • p=quarantine: Envía los correos fallidos a la carpeta de spam.
  • p=reject: Bloquea los correos fallidos por completo.
  • rua: Dirección para recibir informes agregados.

Escenarios de Aplicación Real

Configuración de Registros

La mayoría de las empresas necesitan usar un generador de registros DKIM y un generador de registros SPF para crear la sintaxis correcta en su DNS.

Ejemplo para una Empresa SaaS: Si usa Google Workspace y SendGrid, su registro SPF sería: v=spf1 include:_spf.google.com include:sendgrid.net ~all

Verificación

Una vez configurado, use un validador de DKIM o un analizador de DMARC para asegurar que sus registros funcionan. Un busque de registros MX también es esencial.

Comparación: SPF vs. DKIM vs. DMARC

Característica SPF DKIM DMARC
Objetivo Principal Verificar IP del remitente Verificar integridad Definir política e informes
Registro DNS TXT TXT (basado en Selector) TXT (_dmarc)
Fortaleza Fácil de configurar Resistente a reenvíos Ofrece visibilidad y control
Debilidad Falla con el reenvío simple No verifica identidad solo Requiere ambos para éxito total

FAQ: Problemas Comunes y Soluciones

P: ¿Por qué recibo un "SPF syntax error"?

A: Esto suele ocurrir cuando tiene múltiples registros SPF. Solo debe haber un registro SPF por dominio. Combine todas las autorizaciones en un solo registro usando include:.

P: ¿Por qué falló mi "DKIM validation failed"?

A: Causas comunes:

  1. Caché DNS: Los cambios pueden tardar hasta 24 horas.
  2. Selector Incorrecto: Asegúrese de que el selector en su DNS coincida con el configurado en su servicio de correo.
  3. Errores de Copia: Las claves DKIM son largas; verifique que no falten caracteres ni sobren espacios.

P: ¿Cómo usar un constructor de políticas DMARC eficazmente?

A: Comience con p=none para monitorear informes. Una vez verificado que sus fuentes legítimas están autenticadas, pase a p=quarantine y finalmente a p=reject.

Herramientas Relacionadas

  • Generador de Registros SPF: Cree sus registros TXT fácilmente.
  • Validador de DKIM: Compruebe si sus firmas son válidas.
  • Analizador de DMARC: Monitoree su estado de autenticación (¡Próximamente!).
  • Búsqueda de Registros MX: Verifique la configuración de su servidor de correo.
Volver al blog