SPF, DKIM y DMARC explicados en lenguaje sencillo (y por qué no puedes enviar correo de marketing sin ellos en 2026)

Si tienes un negocio local de servicios y envías correos a tus clientes, hay tres siglas cortas que probablemente ya viste y que ignoraste en silencio: SPF, DKIM y DMARC. Parecen jerga técnica hecha para ingenieros, y durante años pudiste vivir sin entenderlas. Ese tiempo se acabó. Desde 2024, Gmail y Yahoo exigen que cualquier empresa que envíe un volumen importante de correo configure las tres, y en 2026 la exigencia se volvió estricta. Configúralas mal y tus recordatorios de citas, tus promociones y tus boletines caen en silencio al spam, o simplemente nunca llegan. En Mailmundo construimos nuestra plataforma para guiarte por esta configuración paso a paso, pero quiero que de verdad entiendas lo que está pasando. Este artículo explica las tres en lenguaje sencillo, sin atajos y sin errores.

El problema que estas tres cosas resuelven: cualquiera puede hacerse pasar por ti

El correo electrónico se inventó en una época más confiada. El diseño original permite que cualquier computadora en internet afirme estar enviando desde cualquier dirección. No hay nada en el correo básico que impida que un desconocido envíe un mensaje diciendo que viene de tu@tunegocio.com cuando, en realidad, no es así. A esto se le llama suplantación, o spoofing, y es la raíz de la mayoría de los correos de fraude y phishing.

Imagina que un delincuente envía una factura falsa a tus clientes usando el nombre de tu empresa y tu dominio. Tus clientes confían en ti, así que algunos pagan. El daño a tu reputación es inmediato, y a los proveedores de correo como Gmail se les culpa por entregar el fraude. Para proteger a sus usuarios, esos proveedores decidieron que ya no confiarían en correos que no pueden probar quién los envió. SPF, DKIM y DMARC son las tres herramientas que le permiten a tu dominio probar su identidad. Juntas responden una sola pregunta para el servidor que recibe: ¿este mensaje fue realmente autorizado por el dominio del que dice provenir?

SPF: la lista de invitados de los remitentes aprobados

SPF significa Sender Policy Framework, o marco de política del remitente. Piénsalo como una lista de invitados. Publicas una pequeña nota pública vinculada a tu dominio que indica qué servidores están autorizados a enviar correo en tu nombre. Cuando usas Mailmundo, nuestros servidores de envío deben estar en esa lista. Cuando usas Google Workspace para tu correo normal, los servidores de Google también deben estar en ella.

Técnicamente, el SPF es una sola línea de texto publicada en la configuración de DNS de tu dominio, en un tipo de registro llamado registro TXT. El DNS es la agenda pública de direcciones de internet; cualquiera puede consultar lo que publicaste ahí. Tu registro SPF lista las fuentes de envío aprobadas, por lo general haciendo referencia a cada proveedor con una entrada llamada include. Cuando llega un mensaje, el servidor que recibe lee la dirección de la que dice provenir, consulta tu registro SPF y comprueba si el servidor que de verdad entregó el mensaje está en tu lista aprobada. Si lo está, el SPF pasa. Si no lo está, el SPF falla.

El SPF tiene una limitación importante. Comprueba la dirección técnica oculta que se usa durante la entrega, no la dirección amigable del campo De que tu cliente realmente ve. Por eso el SPF por sí solo no basta, y por eso existe la segunda herramienta.

DKIM: un sello inviolable en cada mensaje

DKIM significa DomainKeys Identified Mail. Si el SPF es una lista de invitados, el DKIM es un sello de cera que prueba que una carta es genuina y que no se abrió ni se alteró en el camino.

Así funciona. Tu plataforma de envío guarda una clave privada secreta. Cada vez que envía un mensaje, usa esa clave para agregar una firma digital invisible al encabezado del mensaje. Tú publicas la clave pública correspondiente en tu DNS, otra vez como un registro TXT, bajo una pequeña etiqueta llamada selector. Cuando el mensaje llega, el servidor que recibe obtiene tu clave pública desde tu DNS y la usa para verificar la firma. Si la firma concuerda, quedan probadas dos cosas a la vez: el mensaje en verdad provino de un sistema que posee tu clave privada, y el contenido no fue manipulado en el trayecto. Si un agente malicioso cambió un solo carácter, la firma se rompe y el DKIM falla.

Lo bello del DKIM es que la firma viaja junto con el mensaje. Aunque tu correo se reenvíe varias veces, el sello todavía puede verificarse. Este es el más fuerte de los tres pilares.

DMARC: la política que lo amarra todo

El SPF y el DKIM hacen cada uno un trabajo útil, pero por separado dejan un hueco. No le dicen al servidor que recibe qué hacer cuando una verificación falla, y no protegen, por sí mismos, la dirección De visible que los clientes de verdad leen. El DMARC cierra ambos huecos.

DMARC significa Domain-based Message Authentication, Reporting and Conformance. Es, una vez más, un registro TXT en tu DNS, publicado en una dirección especial que empieza con la etiqueta _dmarc antes de tu dominio. Hace dos trabajos.

Trabajo uno: alineación

El DMARC introduce una regla llamada alineación. Exige que el dominio comprobado por el SPF o el DKIM coincida con el dominio de la dirección De visible que ve tu cliente. Un mensaje pasa el DMARC si pasa el SPF con un dominio alineado, o si pasa el DKIM con un dominio alineado. Este es el paso crucial, porque por fin protege la línea De que lee un ser humano. Un estafador podría pasar el SPF usando su propio dominio, pero no puede hacer que ese dominio coincida con tu dirección De, así que el DMARC falla y el fraude se detiene.

Trabajo dos: decirle al servidor qué hacer

Tu registro DMARC lleva una instrucción de política, escrita como p=, con tres valores posibles. p=none significa no tomar ninguna acción especial; entrega el mensaje con normalidad, pero envíame reportes. p=quarantine significa tratar los mensajes que fallan como sospechosos y dirigirlos a la carpeta de spam. p=reject significa no entregar de ninguna manera los mensajes que fallan. El DMARC también te permite recibir reportes agregados al agregar una dirección con la etiqueta rua, para que veas quién anda enviando correo en tu nombre.

Cómo trabajan juntos los tres en una sola entrega

Imagina un solo boletín que envías por Mailmundo. El servidor que recibe ejecuta las tres verificaciones en secuencia. Lee tu registro SPF para confirmar que nuestros servidores están aprobados. Verifica la firma DKIM usando tu clave pública publicada para confirmar que el mensaje es genuino e intacto. Luego aplica el DMARC para confirmar que el dominio que pasó el SPF o el DKIM está alineado con tu dirección De visible, y sigue tu política DMARC para cualquier cosa que falle. Cuando todo esto encaja, el mensaje se trata como correo confiable de un negocio real y responsable, y tiene la mejor oportunidad posible de llegar a la bandeja de entrada.

Por qué de verdad no puedes saltarte esto en 2026

El 3 de octubre de 2023, Google y Yahoo anunciaron nuevas reglas para los remitentes masivos. A partir de febrero de 2024, todo remitente que entregara más de 5,000 mensajes por día a cuentas de Gmail quedó obligado a configurar SPF y DKIM, publicar una política DMARC y garantizar la alineación. Al principio, una política inicial de p=none bastaba para cumplir la regla. El cambio importante es que en 2026 esto dejó de ser una sugerencia amable. La exigencia se endureció, y los mensajes que no cumplen ahora se rechazan de inmediato a nivel de conexión, en lugar de solo filtrarse. Yahoo aplica requisitos equivalentes.

La línea de los 5,000 por día es el umbral oficial, pero no dejes que te confíe. Los proveedores de correo premian el correo autenticado y penalizan el no autenticado en general, sin importar el volumen. Un pequeño negocio local que envía unos cientos de correos por semana aún se beneficia enormemente de hacer esto bien, y aún sufre cuando no lo hace.

Qué política deberías usar en realidad

Mi recomendación honesta es empezar en p=none con los reportes activados. Esto cumple de inmediato el requisito de Gmail y Yahoo mientras revisas los reportes para confirmar que todo tu correo legítimo, incluido lo que envíe tu software de citas o las herramientas de tu contador, está pasando correctamente. Cuando tengas confianza, sube a p=quarantine y, por último, a p=reject, que te da la protección completa de detener a quien intente hacerse pasar por tu dominio. Subir esta escalera poco a poco asegura que nunca bloquees por accidente tu propio correo legítimo.

Cómo revisar lo que tienes hoy

No necesitas ser técnico para inspeccionar tu configuración actual. Herramientas públicas y gratuitas te permiten escribir tu dominio y ver si tus registros SPF, DKIM y DMARC existen y si son válidos. Servicios de consulta como el conocido verificador MXToolbox muestran cada registro y señalan los errores obvios. Si envías por Mailmundo, nuestras pantallas de configuración te muestran exactamente los registros que debes agregar y luego los verifican por ti de forma automática, para que veas una confirmación verde y clara en lugar de andar adivinando.

Qué pasa si te saltas estos pasos

Las consecuencias son silenciosas, pero serias. Tus mensajes se filtran al spam, donde los clientes nunca los ven. Tu reputación de remitente se desgasta poco a poco, lo que perjudica incluso a los mensajes que sí logran pasar. Con la exigencia estricta de 2026, una parte creciente de tu correo se rechaza antes incluso de llegar a la bandeja de entrada. Y sin DMARC en una política que se haga cumplir, tu dominio sigue abierto para que los delincuentes se hagan pasar por ti, poniendo en riesgo a tus clientes y tu nombre. Nada de esto se anuncia. Simplemente notas que tu correo dejó de funcionar, sin ningún mensaje de error que explique el motivo.

La conclusión

El SPF es tu lista de invitados de remitentes aprobados. El DKIM es un sello inviolable que prueba que cada mensaje es genuino. El DMARC los amarra a tu dirección De visible y le dice al servidor qué hacer cuando algo falla. Juntos prueban que tu correo es realmente tuyo, que es justo lo que Gmail y Yahoo ahora exigen antes de confiar en ti. Esto dejó de ser opcional y dejó de ser algo que puedas dejar para después. En Mailmundo te guiamos por cada registro, lo verificamos por ti y nos mantenemos atentos para que tu correo siga llegando a bandejas de entrada reales. Configúralo una vez, de la manera correcta, y protegerá en silencio tu negocio y a tus clientes durante años.