Audita el correo y la seguridad de tu dominio: SPF, DKIM, DMARC y SSL paso a paso
Para que tus correos lleguen a la bandeja de entrada y nadie pueda suplantar tu dominio necesitas tres registros DNS —SPF, DKIM y DMARC— bien configurados, más un certificado SSL válido. Esa es toda la base de la seguridad de tu dominio, y la buena noticia es que puedes auditarla tú mismo en unos 15 minutos sin instalar nada.
Y en 2026 ya no es opcional. Desde 2024 Google y Yahoo rechazan o mandan a spam el correo de los remitentes que no autentican su dominio, y la regla se ha endurecido para todos. Si tus cotizaciones, facturas o correos de recuperación de contraseña están cayendo en spam —o peor, si alguien está enviando phishing en nombre de tu empresa— casi siempre la causa es la misma: el dominio no está autenticado.
En esta guía te explico, sin tecnicismos innecesarios, qué hace cada protocolo, cómo se ve la configuración real y cómo auditar tu dominio paso a paso con herramientas gratuitas.
Por qué tus correos van a spam: la salud del dominio importa
Cuando envías un correo, el servidor que lo recibe (Gmail, Outlook, etc.) se hace una sola pregunta antes de decidir dónde ponerlo: “¿puedo confiar en que este mensaje viene de verdad de quien dice venir?”. Para responderla revisa la autenticación del dominio.
Si tu dominio no tiene esa autenticación configurada, pasa una de dos cosas:
- Tus correos legítimos caen en spam o se rechazan directamente.
- Cualquiera puede falsificar tu dirección (spoofing) y enviar phishing a tus clientes en tu nombre.
Los tres protocolos que resuelven esto trabajan en capas, cada uno apoyándose en el anterior:
| Protocolo | Qué responde | Tipo de registro | Dónde vive |
|---|---|---|---|
| SPF | ¿Qué servidores pueden enviar en mi nombre? | TXT | tudominio.com |
| DKIM | ¿El mensaje llegó íntegro y firmado por mí? | TXT | selector._domainkey.tudominio.com |
| DMARC | ¿Qué hago si SPF o DKIM fallan? | TXT | _dmarc.tudominio.com |
Si quieres repasar cómo funcionan los registros DNS antes de entrar en materia, tengo una guía dedicada a los tipos de registros DNS y cómo se propagan.
SPF: autoriza quién envía en tu nombre
SPF (Sender Policy Framework) es una lista pública de los servidores autorizados a enviar correo usando tu dominio. Es un único registro TXT en la raíz de tu dominio.
Así se ve un SPF típico de un dominio que envía con Google Workspace:
v=spf1 include:_spf.google.com ~all
Vamos por partes:
v=spf1— versión del protocolo (siempre así).include:_spf.google.com— autoriza los servidores de Google. Aquí añades cada proveedor que envíe por ti: tu CRM, tu plataforma de facturación, Mailgun, etc.~all— softfail: el resto de servidores quedan marcados como sospechosos pero no se rechazan. Cuando todo funcione, súbelo a-all(hardfail) para máxima protección.
🔧 Para ver el SPF real de cualquier dominio sin instalar nada, consulta su registro
TXTcon mi herramienta gratuita de Consulta DNS. Si aparecen dos registrosv=spf1, ahí tienes tu primer problema (ver más abajo).
La regla de oro de SPF: un solo registro y máximo 10 búsquedas DNS. Si encadenas demasiados include, SPF deja de validar.
DKIM: la firma que prueba autenticidad
Si SPF dice quién puede enviar, DKIM (DomainKeys Identified Mail) prueba que el mensaje no se alteró por el camino y que de verdad salió de ti. Funciona con criptografía de clave pública:
- Tu servidor firma cada correo saliente con una clave privada.
- Publicas la clave pública en un registro
TXTbajo un selector. - El servidor receptor recupera esa clave pública y verifica la firma.
El registro vive en selector._domainkey.tudominio.com y se ve parecido a esto:
google._domainkey.tudominio.com TXT
"v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ..."
Donde google es el selector (lo define tu proveedor) y p= es la clave pública. No tienes que generarla a mano: tu proveedor de correo te da el valor exacto a pegar en el DNS. Tu único trabajo es publicarlo y verificar que resuelve.
DMARC: la política que une todo (y te da reportes)
SPF y DKIM por sí solos no le dicen al receptor qué hacer cuando algo falla. Ese es el trabajo de DMARC (Domain-based Message Authentication, Reporting & Conformance): la política que une las dos capas anteriores y, además, te envía reportes de quién está usando tu dominio.
El registro vive en _dmarc.tudominio.com:
v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com; adkim=s; aspf=s; pct=100
p=— la política: qué hacer con el correo que no pasa autenticación.rua=mailto:— a dónde enviar los reportes agregados (revísalos: te dicen quién envía en tu nombre).adkim=s/aspf=s— alineación estricta entre el dominio firmante y el visible.
La clave está en subir la política por etapas, nunca empezar bloqueando:
| Etapa | Política | Qué hace | Cuándo pasar a la siguiente |
|---|---|---|---|
| 1. Monitoreo | p=none | No bloquea nada, solo reporta | Tras 1-2 semanas de reportes limpios |
| 2. Cuarentena | p=quarantine | Manda lo sospechoso a spam | Cuando casi todo pase autenticación |
| 3. Rechazo | p=reject | Bloquea la suplantación | Es el objetivo final |
Empieza siempre en p=none, lee los reportes, arregla los proveedores que no estaban autenticados y solo entonces endurece la política. Saltar directo a p=reject es la forma más rápida de bloquear tu propio correo legítimo.
Verifica tu SSL y la configuración DNS
La seguridad del dominio no termina en el correo. El certificado SSL/TLS es lo que cifra el tráfico de tu web (el candado del navegador) y es, además, una señal de confianza para Google. Un certificado caducado tira abajo tu sitio y espanta a cualquier cliente.
Qué revisar de tu SSL:
- Que sea válido y vigente (no caducado).
- Que cubra el dominio correcto, incluido
wwwsi lo usas. - Que la cadena de certificados esté completa (un intermedio faltante rompe el candado solo en algunos dispositivos).
🔒 Verifica la vigencia, el emisor y la cadena de tu certificado con mi herramienta de Consulta de SSL. Te dice cuántos días faltan para que caduque —pon un recordatorio antes de esa fecha.
Y si necesitas comprobar la IP desde la que se sirve tu dominio o su geolocalización —útil para detectar a dónde apunta de verdad tu correo o tu hosting—, usa el buscador de IP.
Auditoría completa en 15 minutos
🚀 ¿Prefieres el atajo? Mi Auditor de Correo revisa SPF, DKIM y DMARC de una sola vez y te da una nota de la A a la F con recomendaciones. Y si quieres el recorrido por las 7 herramientas gratuitas para auditar tu dominio, lee esta guía práctica.
Esta es la checklist exacta que sigo para auditar un dominio. Hazla con la Consulta DNS y la Consulta SSL abiertas en otra pestaña:
- SPF existe y es único. Busca el
TXTde la raíz: debe haber un solo registrov=spf1. - SPF no supera 10 búsquedas DNS. Demasiados
includelo invalidan. - DKIM resuelve. Consulta
selector._domainkey.tudominio.comy confirma que devuelve la clave pública. - DMARC existe. Comprueba
_dmarc.tudominio.comy querua=apunta a un buzón que de verdad revisas. - La política DMARC es coherente con tu madurez (
nonepara empezar,rejectcomo meta). - SSL vigente y con la cadena completa.
- Sin caducidad cercana: anota la fecha de expiración del certificado.
Si los siete puntos están en verde, tu dominio está autenticado y protegido. Si alguno falla, ya sabes exactamente qué pedirle a tu proveedor o a tu desarrollador.
Errores comunes que rompen la entregabilidad
Estos son los que veo una y otra vez:
- Dos registros SPF. Solo puede haber uno; si añadiste un proveedor nuevo sin fusionar, SPF deja de validar. Combínalos en una sola línea con varios
include. - Cambiar de proveedor de correo y olvidar el SPF/DKIM. Migras a otro servicio y los correos empiezan a caer en spam porque el DNS sigue autorizando al proveedor viejo.
- DMARC en
p=rejectdesde el día uno. Bloqueas tu propio correo legítimo (newsletters, facturación, notificaciones del sitio) antes de haberlos autenticado. rua=a un buzón que nadie lee. Los reportes DMARC son oro para detectar suplantación; si no los revisas, vuelas a ciegas.- SSL caducado. Sin recordatorio, el certificado expira un domingo y el lunes tu sitio aparece como “no seguro”.
Conclusión
Autenticar tu dominio no es un lujo técnico: es lo que separa que tus correos lleguen de que terminen en spam, y lo que impide que suplanten a tu marca. SPF dice quién envía, DKIM firma que el mensaje es tuyo, DMARC decide qué pasa cuando algo falla y SSL cifra y da confianza. Con las herramientas correctas, auditarlo es cuestión de minutos.
Si haces la auditoría y algo no cuadra —o prefieres que alguien deje tu dominio, tu correo y tu sitio blindados de una vez—, puedo ayudarte. Échale un ojo a mi servicio de desarrollo web o, si lo tuyo es ordenar la infraestructura de tu operación, a los sistemas a medida.
Preguntas frecuentes
¿Qué diferencia hay entre SPF, DKIM y DMARC? SPF dice qué servidores pueden enviar en tu nombre, DKIM firma el mensaje para probar que es tuyo y no se alteró, y DMARC decide qué hacer cuando algo falla (y te manda reportes). Trabajan en capas.
¿Por qué mis correos caen en spam? Casi siempre porque el dominio no está autenticado. Desde 2024 Google y Yahoo exigen SPF + DKIM + DMARC; sin ellos, tu correo legítimo va a spam o se rechaza.
¿Cómo lo verifico gratis? Revisando los registros TXT de tu DNS (raíz para SPF, selector._domainkey para DKIM y _dmarc para DMARC) con una herramienta de Consulta DNS.
¿Ya revisaste si tu dominio está autenticado? Cuéntame qué te salió en la auditoría.
