SPF, DKIM y DMARC: La guía completa de autenticación de email

La autenticación de email es la base de una entrega fiable. Sin una configuración adecuada de SPF, DKIM y DMARC, tus emails cuidadosamente preparados pueden no llegar nunca a la bandeja de entrada de tus clientes. En su lugar, terminan en la carpeta de spam o son rechazados directamente.

Esta guía completa explica qué hace cada protocolo de autenticación de email, ofrece instrucciones paso a paso para configurarlo en el DNS, cubre la resolución de problemas habituales y muestra cómo verificar que tu configuración funciona correctamente.

Por qué importa la autenticación de email

El email se diseñó en una época en la que la seguridad no era una prioridad. El protocolo SMTP original no tiene un mecanismo integrado para confirmar que un email proviene realmente de quien dice. Esta debilidad fundamental permite la suplantación, el phishing y el spam.

Los protocolos de autenticación de email resuelven esto permitiendo al propietario del dominio especificar:

• Qué servidores pueden enviar email en su nombre (SPF)
• Una prueba criptográfica de que los mensajes son auténticos y no se han modificado (DKIM)
• Qué hacer con los mensajes que fallan la autenticación (DMARC)

Impacto en el negocio de una mala autenticación

Sin una autenticación adecuada:

• Menor entregabilidad: proveedores como Gmail, Microsoft o Yahoo filtran de forma más agresiva los emails no autenticados
• Más spam: tus emails legítimos compiten con mensajes suplantados que usan tu dominio
• Daño a la marca: los ataques de phishing que se hacen pasar por tu marca erosionan la confianza
• Pérdida de ingresos: las campañas no llegan a los suscriptores que se inscribieron para recibirlas
• Riesgos de cumplimiento: muchas normativas ya exigen una autenticación adecuada

La tríada de la autenticación

SPF, DKIM y DMARC funcionan juntos como un sistema de autenticación completo:

Cada protocolo aborda vectores de ataque distintos. SPF impide que servidores no autorizados envíen como tú. DKIM evita la manipulación del mensaje tras el envío. DMARC los ata juntos y aporta visibilidad sobre los resultados de autenticación.

Cómo entender SPF (Sender Policy Framework)

SPF (Sender Policy Framework) es un método de autenticación de email basado en DNS que especifica qué servidores de correo están autorizados a enviar email en nombre de tu dominio.

Cómo funciona SPF

Cuando un email llega a un servidor receptor, este consulta el registro SPF del dominio del remitente. Después comprueba si la dirección IP que envió el email aparece como autorizada. Si la IP coincide, SPF pasa. Si no, SPF falla.

El proceso de verificación SPF:

1. Envías un email desde tu plataforma de marketing
2. El servidor receptor extrae tu dominio del Return-Path (envelope sender)
3. El servidor consulta tu registro SPF en el DNS
4. Compara la IP de envío con la lista de autorizados de tu registro
5. Anota el resultado: pass, fail, softfail o neutral

Sintaxis del registro SPF

Los registros SPF se publican como registros TXT en el DNS de tu dominio. Esta es la estructura básica:

v=spf1 [mecanismos] [calificador]all

Etiqueta de versión: siempre empieza por v=spf1

Mecanismos: definen quién puede enviar

Calificadores: definen cómo gestionar las coincidencias

El mecanismo all: se aplica a todo lo que no encaje con los mecanismos previos

Ejemplos de registro SPF

Configuración básica con un solo proveedor de email:

v=spf1 include:spf.brevo.com -all

Esto autoriza a Brevo a enviar email para tu dominio y rechaza al resto.

Varios servicios de email:

v=spf1 include:spf.brevo.com include:_spf.google.com include:spf.protection.outlook.com -all

Esto autoriza a Brevo, Google Workspace y Microsoft 365.

Incluyendo tu propio servidor de correo:

v=spf1 ip4:203.0.113.10 include:spf.brevo.com -all

Esto autoriza una IP concreta (tu servidor) más Brevo.

Empezando con softfail durante las pruebas:

v=spf1 include:spf.brevo.com ~all

Usar ~all en lugar de -all marca los fallos pero no rechaza. Útil en la configuración inicial.

Cómo configurar registros SPF

Paso 1: identifica tus fuentes de envío

Lista cada servicio que envía email desde tu dominio:

• Plataformas de email marketing (Brevo, Mailchimp, etc.)
• Servicios de email transaccional
• Sistemas CRM
• Software de help desk
• Email corporativo (Google Workspace, Microsoft 365)
• Tus propios servidores de correo

Paso 2: reúne los include de SPF

Cada proveedor documenta el include SPF que requiere. Ejemplos habituales:

Paso 3: crea tu registro SPF

Combina todos los includes en un único registro:

v=spf1 include:spf.brevo.com include:_spf.google.com -all

Paso 4: añade el registro DNS

En tu interfaz de gestión DNS:

• Tipo: TXT
• Host/Name: @ (o déjalo en blanco para el dominio raíz)
• Valor: tu registro SPF completo
• TTL: 3600 (o el predeterminado)

Paso 5: verifica el registro

Usa herramientas de consulta DNS para confirmar:

dig TXT yourdomain.com

O herramientas online como MXToolbox SPF Lookup.

Limitaciones y buenas prácticas de SPF

El límite de 10 consultas DNS:

SPF tiene un máximo de 10 consultas DNS. Cada include: cuenta como una consulta y los registros incluidos pueden contener sus propios includes, sumando al límite. Superarlo provoca un permerror SPF (error permanente), haciendo fallar todas las verificaciones.

Estrategias para mantenerse por debajo del límite:

• Usa direcciones IP directamente cuando sea posible (ip4: no cuenta como consulta)
• Consolida servicios usando el mismo proveedor
• Usa servicios de SPF flattening que convierten includes en IPs
• Elimina includes no utilizados de servicios antiguos

Otras buenas prácticas SPF:

• Solo un registro SPF por dominio (varios provocan fallos)
• Empieza con ~all (softfail) en la configuración y pasa a -all cuando lo confirmes
• Actualiza SPF al cambiar de proveedor de email
• No uses el mecanismo obsoleto ptr
• Mantén los registros lo más simples posible

Errores comunes con SPF

Varios registros SPF:

Mal:
v=spf1 include:spf.brevo.com -all
v=spf1 include:_spf.google.com -all

Bien:
v=spf1 include:spf.brevo.com include:_spf.google.com -all

Superar el límite de consultas DNS:

Si tienes muchos includes, comprueba el total. Usa analizadores SPF para verificar que estás bajo 10.

Olvidar actualizar tras cambiar de proveedor:

Al cambiar de un servicio de email a otro, elimina el include antiguo y añade el nuevo.

Usar +all:

Nunca uses +all, ya que autoriza a cualquiera a enviar como tu dominio.

Cómo entender DKIM (DomainKeys Identified Mail)

DKIM (DomainKeys Identified Mail) añade una firma criptográfica a tus emails, demostrando que el mensaje se originó en tu dominio y no fue modificado en tránsito.

Cómo funciona DKIM

DKIM usa criptografía de clave pública:

1. Tu proveedor de email genera un par de claves pública/privada
2. Publicas la clave pública en el DNS
3. El proveedor firma los emails salientes con la clave privada
4. Los servidores receptores recuperan tu clave pública del DNS
5. Usan la clave pública para verificar la firma
6. Una firma válida demuestra autenticidad e integridad

Qué firma DKIM:

Las firmas DKIM cubren típicamente cabeceras concretas y el cuerpo del mensaje:

• Cabecera From (obligatoria)
• Cabecera Subject
• Cabecera Date
• Cuerpo del mensaje
• Otras cabeceras según configuración

Esto evita que un atacante modifique estos elementos tras el envío.

Estructura del registro DKIM

Los registros DKIM se publican como registros TXT con un formato concreto:

selector._domainkey.yourdomain.com

El selector es un identificador único que te permite tener varias claves DKIM. Distintos servicios usan selectores distintos (por ejemplo, brevo, google, s1, s2).

Contenido del registro DKIM:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC...

Cómo configurar DKIM

Paso 1: genera las claves DKIM

Tu proveedor de email suele generarlas. En Brevo:

1. Ve a Settings > Senders, Domains & Dedicated IPs
2. Selecciona tu dominio
3. Navega a la sección DKIM
4. Copia el registro DNS proporcionado

Para servidores de correo autoalojados, genera las claves con OpenSSL:

openssl genrsa -out private.key 2048
openssl rsa -in private.key -pubout -out public.key

Paso 2: añade el registro DKIM al DNS

En tu gestión DNS:

• Tipo: TXT
• Host/Name: selector._domainkey (por ejemplo, brevo._domainkey)
• Valor: el registro DKIM de tu proveedor
• TTL: 3600

Paso 3: habilita la firma DKIM

En la configuración de tu proveedor, habilita la firma DKIM para tu dominio. Esto le indica al proveedor que firme los mensajes salientes.

Paso 4: verifica la configuración

Envía un email de prueba y revisa las cabeceras buscando DKIM-Signature. Usa herramientas como:

• mail-tester.com
• DKIM Validator
• MXToolbox DKIM Lookup

Buenas prácticas DKIM

Usa claves de 2048 bits:

Las antiguas de 1024 bits se consideran débiles. Los estándares modernos recomiendan RSA de 2048 bits como mínimo.

Rota las claves periódicamente:

Aunque no es estrictamente obligatorio, rotar las claves DKIM anualmente es buena práctica. Añade la nueva antes de eliminar la antigua para evitar lagunas.

Vigila por si la clave se ve comprometida:

Si tu clave privada se compromete, los atacantes pueden firmar mensajes como tú. Vigila patrones inusuales de autenticación.

Usa selectores diferentes para servicios distintos:

Cada proveedor debería usar un selector único. Esto permite gestionar las claves de forma independiente y no entra en conflicto con otros servicios.

Comprueba la propagación DNS:

Las claves DKIM pueden ser largas. Asegúrate de que tu proveedor de DNS admite registros TXT de longitud suficiente. Algunos requieren dividir la clave en varias cadenas.

Cómo leer las cabeceras DKIM

Cuando recibes un email, la cabecera DKIM-Signature muestra:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=example.com; s=brevo;
  h=from:to:subject:date:message-id;
  bh=base64hashofbody;
  b=base64signature;

Cómo entender DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC se construye sobre SPF y DKIM para añadir aplicación de políticas e informes. Indica al servidor receptor qué hacer cuando la autenticación falla y te envía informes sobre los resultados.

Cómo funciona DMARC

DMARC añade dos capacidades fundamentales:

1. Aplicación de políticas: define cómo deben gestionar los receptores los fallos de autenticación
2. Informes: recibe datos sobre quién envía email usando tu dominio

Proceso de verificación DMARC:

1. Un servidor receptor recibe un email que dice ser de tu dominio
2. Comprueba SPF (¿coincide la IP de envío?)
3. Comprueba DKIM (¿es válida la firma?)
4. Comprueba la alineación DMARC (¿coinciden los dominios autenticados con la cabecera From?)
5. Si la alineación falla, aplica tu política DMARC
6. Te envía informes agregados o forenses

Alineación DMARC

DMARC requiere alineación entre el dominio en la cabecera From y los dominios que pasan SPF o DKIM:

Alineación SPF: El dominio del Return-Path (envelope sender) debe coincidir o ser un subdominio del dominio de la cabecera From.

Alineación DKIM: El dominio en la firma DKIM (etiqueta d=) debe coincidir o ser un subdominio del dominio de la cabecera From.

Modos de alineación:

Con alineación relajada, si tu cabecera From muestra [email protected] y DKIM firma con brevo.example.com, la alineación pasa porque ambos comparten el dominio organizativo example.com.

Sintaxis del registro DMARC

Los registros DMARC se publican como registros TXT en _dmarc.yourdomain.com:

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100

Etiquetas obligatorias:

Etiquetas opcionales:

Políticas DMARC explicadas

p=none (solo monitorización):

No se actúa ante los fallos. Los emails se entregan con normalidad. Úsala mientras analizas informes y arreglas problemas de autenticación.

v=DMARC1; p=none; rua=mailto:[email protected]

p=quarantine (a la carpeta de spam):

Los emails fallidos van a la carpeta de spam/junk. Buen paso intermedio antes del rechazo total.

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100

p=reject (bloquear):

Los emails fallidos se rechazan por completo. Máxima protección, pero asegúrate de que todas las fuentes legítimas pasen primero.

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100

Cómo configurar DMARC

Paso 1: comprueba que SPF y DKIM funcionan

DMARC depende de SPF y DKIM. Verifica que ambos estén bien configurados antes de añadir DMARC.

Paso 2: empieza monitorizando (p=none)

Comienza con la política más permisiva para recoger datos sin afectar a la entrega:

v=DMARC1; p=none; rua=mailto:[email protected]

Paso 3: añade el registro DNS

En tu gestión DNS:

• Tipo: TXT
• Host/Name: _dmarc
• Valor: tu registro DMARC
• TTL: 3600

Paso 4: analiza los informes durante 2-4 semanas

Los informes agregados de DMARC llegan a diario como archivos XML. Muestran:

• Qué IPs enviaron email usando tu dominio
• Tasas de aprobado/fallo de SPF y DKIM
• Resultados de alineación DMARC
• Acciones del servidor receptor

Usa analizadores de informes DMARC para visualizar los datos:

• DMARC Analyzer
• Postmark DMARC
• Valimail
• dmarcian

Paso 5: corrige problemas de autenticación

Problemas comunes que revelan los informes:

• Servicios legítimos ausentes del SPF
• DKIM no habilitado en un servicio
• Servicios de terceros enviando sin autenticación adecuada
• Reenvíos que rompen la alineación SPF

Paso 6: aplica la política gradualmente

Cuando las fuentes legítimas pasen de forma constante:

1. Pasa a p=quarantine; pct=10 (poner en cuarentena el 10% de los fallos)
2. Aumenta pct a 25, 50, 75, 100
3. Pasa a p=reject; pct=10
4. Aumenta hasta el rechazo total

Paso 7: mantén y monitoriza

Sigue revisando los informes. Nuevas fuentes de envío, cambios de proveedor o desviaciones en la configuración pueden provocar fallos.

Cómo entender los informes DMARC

Informes agregados (rua):

Resúmenes diarios en XML que muestran:

• Organización informante
• Rango de fechas
• Tu política publicada
• Resultados de autenticación por IP de origen
• Volumen de emails

Extracto de ejemplo:

<record>
  <source_ip>203.0.113.10</source_ip>
  <count>1250</count>
  <policy_evaluated>
    <disposition>none</disposition>
    <dkim>pass</dkim>
    <spf>pass</spf>
  </policy_evaluated>
</record>

Informes forenses (ruf):

Detalles individuales de mensajes con fallos. Más detallados pero sensibles a la privacidad. Muchos receptores no envían informes forenses.

Buenas prácticas DMARC

Empieza siempre con p=none:

Saltar directamente a reject puede bloquear emails legítimos. Monitoriza primero.

Usa una dirección dedicada para los informes:

Los informes DMARC pueden ser muy voluminosos. Usa una dirección dedicada o un servicio externo.

Configura la política para subdominios (sp=):

Si no envías email desde subdominios, configura sp=reject para protegerlos de la suplantación.

Usa porcentaje (pct=) para un despliegue gradual:

La etiqueta pct te permite aplicar la política a un porcentaje de los fallos mientras monitorizas el resto.

Considera servicios DMARC dedicados:

Para grandes organizaciones, servicios como Valimail, dmarcian o Postmark DMARC ofrecen mejor análisis de informes que los XML en bruto.

Configuración de registros DNS: walkthrough completo

Configurar la autenticación de email requiere añadir registros DNS específicos. Esta sección ofrece un walkthrough completo para los principales proveedores de DNS.

Cómo reunir los valores necesarios

Antes de empezar, recoge estos valores de tus proveedores de email:

Para SPF:

• Todos los include (por ejemplo, include:spf.brevo.com)
• Las IPs específicas que necesites autorizar

Para DKIM:

• El nombre del selector (por ejemplo, brevo, google, s1)
• El valor completo de la clave DKIM

Para DMARC:

• Tu dirección de email para informes

Cómo añadir registros en proveedores de DNS habituales

Cloudflare:

1. Inicia sesión en el panel de Cloudflare
2. Selecciona tu dominio
3. Ve a DNS > Records
4. Haz clic en Add Record
5. Para SPF: Type=TXT, Name=@, Content=tu registro SPF
6. Para DKIM: Type=TXT, Name=selector._domainkey, Content=clave DKIM
7. Para DMARC: Type=TXT, Name=_dmarc, Content=registro DMARC
8. Haz clic en Save

Google Domains/Squarespace:

1. Ve a la configuración DNS de tu dominio
2. Baja a Custom Records
3. Haz clic en Manage Custom Records
4. Añade cada registro con el tipo, host y datos adecuados
5. Para SPF: Host=@, Type=TXT, Data=registro SPF
6. Para DKIM: Host=selector._domainkey, Type=TXT, Data=clave DKIM
7. Para DMARC: Host=_dmarc, Type=TXT, Data=registro DMARC

GoDaddy:

1. Ve a My Products > Domains
2. Haz clic en DNS junto a tu dominio
3. Baja a la sección Records
4. Haz clic en Add para cada registro nuevo
5. Selecciona TXT como Type
6. Introduce el Name (@ para SPF, selector._domainkey para DKIM, _dmarc para DMARC)
7. Introduce el Value
8. Guarda

Namecheap:

1. Ve a Domain List > Manage
2. Haz clic en Advanced DNS
3. Añade un nuevo registro para cada uno
4. Selecciona TXT Record
5. Host: @ para SPF, selector._domainkey para DKIM, _dmarc para DMARC
6. Value: el contenido del registro
7. Save All Changes

Propagación DNS

Tras añadir los registros, los cambios tardan en propagarse a nivel global. Lo habitual es:

• 5-30 minutos para visibilidad inicial
• Hasta 48 horas para la propagación global completa

Usa dig o nslookup para verificar:

dig TXT yourdomain.com
dig TXT selector._domainkey.yourdomain.com
dig TXT _dmarc.yourdomain.com

O usa herramientas online como whatsmydns.net para comprobar la propagación a nivel mundial.

Ejemplo de configuración completa

Para un dominio que use Brevo y Google Workspace:

Registro SPF (TXT en @):

v=spf1 include:spf.brevo.com include:_spf.google.com -all

Registro DKIM para Brevo (TXT en brevo._domainkey):

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBA... [clave del panel de Brevo]

Registro DKIM para Google (TXT en google._domainkey):

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BA... [clave del panel de Google Admin]

Registro DMARC (TXT en _dmarc):

v=DMARC1; p=none; rua=mailto:[email protected]

Resolución de problemas comunes

Incluso con una configuración cuidadosa, la autenticación puede fallar. Aquí están los problemas comunes y cómo resolverlos.

Resolución de problemas SPF

Registro SPF no encontrado:

Síntomas: las comprobaciones SPF muestran “none” o “no record”

Causas:

• Registro no añadido al DNS
• Registro añadido en la ubicación incorrecta (subdominio en vez de raíz)
• Propagación DNS sin completar

Soluciones:

• Verificar que el registro existe con dig TXT yourdomain.com
• Comprobar el campo Name/Host (debe ser @ o vacío para el dominio raíz)
• Esperar a la propagación DNS (hasta 48 horas)

SPF PermError (demasiadas consultas):

Síntomas: los resultados SPF muestran “permerror”

Causas:

• Más de 10 consultas DNS en tu registro SPF
• Includes con includes anidados excesivos

Soluciones:

• Auditar los includes y eliminar los que no se usen
• Sustituir includes por entradas ip4: cuando sea posible
• Usar servicios de SPF flattening
• Consolidar servicios en menos proveedores

SPF SoftFail o Fail para correos legítimos:

Síntomas: emails legítimos fallan SPF

Causas:

• Servicio de envío no incluido en el SPF
• Envío desde una IP no autorizada
• Uso de un relé que cambia el envelope sender

Soluciones:

• Añadir el include que falta para tu servicio de envío
• Comprobar qué IP envió realmente el email (en las cabeceras)
• Contactar con tu proveedor para la configuración SPF correcta

Varios registros SPF:

Síntomas: SPF muestra permerror o fallos aleatorios

Causas:

• Dos o más registros TXT con v=spf1

Soluciones:

• Combinar todos los mecanismos en un único registro SPF
• Eliminar los registros SPF duplicados

Resolución de problemas DKIM

Falta la firma DKIM:

Síntomas: ninguna cabecera DKIM-Signature en los emails

Causas:

• Firma DKIM no habilitada en el proveedor
• Verificación de dominio sin completar
• Envío por una ruta sin DKIM

Soluciones:

• Habilitar DKIM en la configuración del proveedor
• Completar los pasos de verificación de dominio
• Revisar la documentación del proveedor para configurar DKIM

Verificación DKIM fallida:

Síntomas: DKIM muestra “fail” en los resultados de autenticación

Causas:

• Registro DNS no publicado o incorrecto
• Selector erróneo
• Desajuste de claves entre DNS y firma
• Mensaje modificado en tránsito

Soluciones:

• Verificar que el registro DNS existe en selector._domainkey.dominio
• Comparar el selector de la cabecera DKIM-Signature con el del DNS
• Regenerar las claves si se sospecha desajuste
• Comprobar si hay filtros de correo o relés que modifican mensajes

La clave DKIM es demasiado larga para el DNS:

Síntomas: no se puede guardar el registro DKIM, errores de truncamiento

Causas:

• Las claves de 2048 bits superan la longitud de un solo registro TXT
• El proveedor de DNS tiene límites de caracteres

Soluciones:

• Dividir la clave en varias cadenas entre comillas (la mayoría de proveedores lo gestionan automáticamente)
• Comprobar si tu proveedor de DNS admite registros TXT largos
• Usar claves de 1024 bits temporalmente (menos seguras)

Ejemplo de registro DKIM dividido:

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."
"...continuación de la clave..."

Resolución de problemas DMARC

Fallos de alineación DMARC:

Síntomas: SPF y DKIM pasan pero DMARC falla

Causas:

• El dominio autenticado no coincide con el de la cabecera From
• Servicio de envío de terceros usando su propio dominio
• Envelope sender mal configurado

Soluciones:

• Asegurar que tu proveedor firma con tu dominio (DKIM personalizado)
• Configurar un Return-Path/envelope sender personalizado
• Usar modo de alineación relajado (adkim=r; aspf=r)

No recibes informes DMARC:

Síntomas: no llegan informes agregados

Causas:

• Dirección rua incorrecta
• La dirección de email no puede recibir correo externo
• Los informes van a spam
• Los servidores receptores no envían informes

Soluciones:

• Verificar la sintaxis rua: rua=mailto:[email protected]
• Comprobar que la dirección puede recibir correo externo
• Revisar la carpeta de spam
• Nota: no todos los receptores envían informes DMARC

Registro DMARC no encontrado:

Síntomas: las comprobaciones DMARC muestran “no record”

Causas:

• Registro publicado en la ubicación incorrecta
• Formato erróneo (debe ser TXT en el subdominio _dmarc)

Soluciones:

• El registro debe estar en _dmarc.yourdomain.com
• Verificar con dig TXT _dmarc.yourdomain.com

Herramientas generales de resolución de problemas

Validadores online:

• MXToolbox (mxtoolbox.com): consultas SPF, DKIM, DMARC
• Mail Tester (mail-tester.com): envía un email de prueba para análisis completo
• DMARC Analyzer: visualización de informes
• Google Admin Toolbox: comprueba MX, SPF, DKIM

Herramientas de línea de comandos:

# Comprobar SPF
dig TXT yourdomain.com

# Comprobar DKIM
dig TXT selector._domainkey.yourdomain.com

# Comprobar DMARC
dig TXT _dmarc.yourdomain.com

# Comprobar desde un servidor DNS concreto
dig @8.8.8.8 TXT yourdomain.com

Análisis de cabeceras de email:

Comprueba la cabecera Authentication-Results en los emails recibidos:

Authentication-Results: mx.google.com;
  dkim=pass header.d=example.com header.s=brevo;
  spf=pass smtp.mailfrom=example.com;
  dmarc=pass action=none header.from=example.com

Autenticación de email y Brevo

Brevo ofrece un soporte integral de autenticación de email, lo que facilita configurar SPF, DKIM y DMARC para tus dominios de envío.

Cómo configurar la autenticación en Brevo

Paso 1: añade tu dominio

1. Inicia sesión en tu cuenta de Brevo
2. Navega a Settings > Senders, Domains & Dedicated IPs
3. Haz clic en Add a Domain
4. Introduce tu dominio

Paso 2: configura SPF

Brevo proporciona el include SPF que añadir al DNS:

include:spf.brevo.com

Añádelo a tu registro SPF actual o crea uno nuevo:

v=spf1 include:spf.brevo.com -all

Paso 3: configura DKIM

Brevo genera las claves DKIM automáticamente. Copia el registro proporcionado:

1. Ve a la configuración del dominio en Brevo
2. Localiza la sección DKIM
3. Copia el nombre y el valor del registro DNS
4. Añade el registro TXT a tu DNS

Paso 4: verifica la configuración

Brevo comprueba automáticamente tus registros DNS. Las marcas verdes indican que la configuración es correcta.

Beneficios de una buena autenticación con Brevo

Cuando configuras correctamente la autenticación con Brevo:

• Mayor colocación en bandeja: Gmail, Microsoft y otros proveedores confían en los mensajes autenticados
• Protección de marca: DMARC evita la suplantación de tu dominio
• Mejor analítica: seguimiento preciso de aperturas y clics
• Construcción de reputación: una autenticación coherente construye reputación de remitente

Beneficios de la integración con Tajo

Usar Tajo para conectar tu tienda Shopify con Brevo aporta ventajas adicionales:

• Sincronización automática de clientes: los datos fluyen sin fricción para emails personalizados
• Tracking de eventos: las compras, navegación y carrito activan emails transaccionales autenticados
• Coordinación multicanal: mantén una autenticación coherente entre email, SMS y WhatsApp
• Analítica unificada: mide el rendimiento del email junto con otras métricas de marketing

La combinación de una autenticación correcta con sincronización de datos en tiempo real garantiza que tus emails no solo lleguen a la bandeja, sino que conecten con cada destinatario.

Preguntas frecuentes

¿Cuál es la diferencia entre SPF, DKIM y DMARC?

SPF especifica qué servidores pueden enviar email para tu dominio. DKIM añade una firma criptográfica que prueba la autenticidad del mensaje. DMARC fija la política sobre cómo deben gestionar los receptores los fallos de autenticación y aporta informes. Los tres trabajan juntos para una autenticación completa.

¿Necesito los tres (SPF, DKIM y DMARC)?

Para una entregabilidad y seguridad óptimas, sí. SPF por sí solo es vulnerable a la suplantación. DKIM por sí solo no especifica política. DMARC requiere SPF o DKIM para funcionar. Juntos ofrecen protección integral y las mejores tasas de colocación en bandeja.

¿Cuánto tarda en funcionar la autenticación de email?

Los cambios en DNS suelen propagarse en 30 minutos a 48 horas. Una vez propagados, la autenticación se aplica de inmediato. Sin embargo, construir reputación de remitente basada en autenticación coherente lleva semanas o meses.

¿Configurar DMARC con p=reject bloqueará mis emails legítimos?

Puede ocurrir si está mal configurado. Por eso debes empezar siempre con p=none (monitorización), analizar informes durante 2-4 semanas, arreglar los problemas y avanzar gradualmente a quarantine y reject. No te saltes nunca la fase de monitorización.

¿Qué es la alineación SPF frente a la alineación DKIM?

La alineación significa que el dominio autenticado coincide con el dominio visible en la cabecera From. La alineación SPF compara el dominio del Return-Path. La alineación DKIM compara el dominio que firma (etiqueta d=). DMARC requiere que al menos uno alinee.

¿Puedo tener varias claves DKIM para un mismo dominio?

Sí. Cada servicio de email puede usar un selector distinto (por ejemplo, brevo._domainkey, google._domainkey). Esto permite que varios servicios firmen DKIM de forma independiente. No hay límite en el número de selectores DKIM.

¿Por qué mis emails siguen yendo a spam tras configurar la autenticación?

La autenticación es necesaria, pero no suficiente para llegar a la bandeja. Otros factores incluyen reputación del remitente, calidad del contenido, tasas de interacción e higiene de la lista. La autenticación te hace pasar el primer filtro; las buenas prácticas determinan dónde aterriza el email.

¿Cómo leo los informes agregados de DMARC?

Los informes agregados de DMARC son archivos XML. Usa herramientas como dmarcian, Postmark DMARC o DMARC Analyzer para parsearlos y visualizarlos. Estas herramientas muestran qué IPs envían email como tu dominio y sus tasas de aprobado/fallo.

¿Qué ocurre si supero el límite de 10 consultas SPF?

SPF devuelve un error permanente (permerror) y todas las comprobaciones SPF fallan. Para arreglarlo, elimina los includes no utilizados, sustituye includes por IPs cuando sea posible o usa servicios de SPF flattening.

¿Debería usar -all o ~all en mi registro SPF?

Usa ~all (softfail) durante las pruebas y mientras ganas confianza. Cuando confirmes que todas las fuentes legítimas pasan, cambia a -all (fallo duro) para mayor protección. Softfail marca los fallos pero no rechaza; el fallo duro autoriza el rechazo.

¿Con qué frecuencia debería rotar las claves DKIM?

No hay un requisito estricto, pero rotarlas anualmente es buena práctica. Al rotar, añade primero la nueva clave, espera a la propagación DNS, habilita la firma con la nueva y elimina la antigua tras un periodo de transición.

¿Los subdominios necesitan autenticación separada?

SPF: sí, cada subdominio necesita su propio registro SPF si envía email desde él. DKIM: las claves pueden compartirse o ser separadas por subdominio. DMARC: los subdominios heredan la política del padre salvo que se establezca sp= o el subdominio tenga su propio registro DMARC.

Conclusión

La autenticación de email con SPF, DKIM y DMARC ya no es opcional para empresas que dependen de la comunicación por email. Estos protocolos protegen tu marca de la suplantación, mejoran la entregabilidad y construyen la confianza necesaria para un email marketing efectivo.

Puntos clave:

• SPF autoriza los servidores de envío mediante el DNS
• DKIM prueba la autenticidad del mensaje con firmas criptográficas
• DMARC aplica la política y aporta visibilidad mediante informes
• Empieza con monitorización (p=none) antes de aplicar el rechazo
• Todas las fuentes de envío legítimas deben estar bien configuradas
• La monitorización periódica evita la deriva de la configuración

Para negocios de e-commerce que usan Shopify, combinar una autenticación de email adecuada con la integración de datos de cliente a través de Tajo y Brevo crea una base potente. Tus emails transaccionales llegan con fiabilidad, tus campañas de marketing logran mejor colocación en bandeja y tu marca queda protegida frente a ataques de suplantación.

¿Listo para mejorar la entregabilidad de tu email? Empieza auditando tu configuración actual de autenticación con las herramientas mencionadas en esta guía y configura después SPF, DKIM y DMARC siguiendo las instrucciones paso a paso.

Aprende cómo Tajo se integra con Brevo para ofrecer autenticación de email sin fricción junto con sincronización de datos de cliente en tiempo real para tu tienda Shopify.