Escribes un correo electrónico excelente. El mensaje es preciso y se envía a las personas adecuadas en el momento oportuno.
Pero aún así llega a la carpeta de spam o no aparece en absoluto.
Si te comunicas en frío, eso es fatal. No tienes una segunda oportunidad si tu primer contacto nunca se ve.
El problema no suele ser la copia. Ni tu lista tampoco. Es que los proveedores de bandeja de entrada no confían en el origen del correo.
Ahí es donde entra en juego la autenticación de correo electrónico.
Protocolos como SPF, DKIM y DMARC comprueban que tus correos electrónicos provienen de un remitente legítimo y verificado. Fortalecen la reputación de tu dominio y lo protegen de la suplantación de identidad y el abuso.
Sin ellos, tus correos electrónicos fríos son invisibles. Con ellos, tienes la oportunidad de posicionarte en la bandeja de entrada y obtener respuestas reales.
Por eso estás aquí. No solo para configurar los registros, sino para comprender cómo funciona la autenticación de correo electrónico y cómo hacerlo correctamente.
Esta guía está diseñada exactamente para eso.
Usted obtendrá:
- Un desglose claro de SPF, DKIM y DMARC, y cómo funcionan juntos
- Instrucciones de configuración paso a paso con herramientas para validar sus registros
- Correcciones para los problemas más comunes que afectan la capacidad de entrega.
Comencemos con lo básico y desarrollemos a partir de ahí.
¿Por qué necesito autenticar mi correo electrónico?
La autenticación de correo electrónico no es solo una cuestión técnica: es una protección esencial en el panorama digital actual. Cada día, millones de correos electrónicos fraudulentos intentan hacerse pasar por marcas legítimas, lo que provoca ataques de phishing, distribución de malware y daños a la marca.
Sin una autenticación adecuada, su dominio es vulnerable a la suplantación de identidad, lo que permite a los atacantes enviar correos electrónicos que parecen provenir de su organización. Y sin confianza, ni siquiera sus mejores correos electrónicos podrán acceder. Los principales proveedores de correo electrónico, como Gmail, Yahoo y Microsoft, ahora consideran la autenticación como un requisito mínimo, no como una función opcional.
Los beneficios de la autenticación de correo electrónico incluyen:
- Capacidad de entrega mejorada:Los correos electrónicos autenticados tienen muchas más probabilidades de llegar a la bandeja de entrada que a las carpetas de correo no deseado.
- Protección de la marca:Evita que los estafadores se hagan pasar por tu dominio y dañen la confianza de los clientes
- Riesgo reducido: Minimiza la posibilidad de que tu dominio sea bloqueado debido a ataques de suplantación de identidad.
- Visibilidad en el ecosistema del correo electrónico:Reciba informes sobre todos los correos electrónicos enviados usando su dominio, incluidos los no autorizados
- El future-proofing:A medida que los estándares de seguridad del correo electrónico se endurecen, los dominios autenticados will Mantener la capacidad de entrega mientras los no autenticados sufren
La evolución de la autenticación del correo electrónico
Para comprender por qué la autenticación del correo electrónico es crucial hoy en día, es útil ver cómo ha evolucionado a lo largo de los años. Así es como llegamos hasta aquí:
Año | Milestone | Descripción |
1982 | Se introdujo SMTP | SMTP (RFC 821) inicia el correo electrónico sin posibilidad de verificar a los remitentes: cualquiera puede reclamar cualquier identidad. |
2003 | Propuesta de SPF | SPF (posteriormente RFC 4408) permite que los dominios incluyan servidores de correo autorizados en DNS, lo que ofrece a los destinatarios una verificación básica de quién es legítimo. |
2007 | Lanzamiento de DKIM | DKIM (RFC 4871) aporta firmas criptográficas, garantizando que los correos electrónicos no sean manipulados y vinculándolos a una fuente verificable. |
2012 | Debut de DMARC | DMARC (RFC 7489) se basa en SPF y DKIM, y permite a los propietarios de dominios establecer reglas, como rechazar falsificaciones, al tiempo que da a los receptores órdenes de marcha claras. |
2018 | BIMI emerge | BIMI combina logotipos verificados con correos electrónicos protegidos por DMARC, recompensando a los remitentes que bloquean sus dominios con un sello visual confiable. |
2020 | Gmail refuerza el DMARC | Gmail comienza a exigir el cumplimiento de DMARC para remitentes masivos, bloqueando directamente los correos electrónicos que no pasan la prueba. |
2025 | Estado actual | SPF, DKIM, DMARC y BIMI forman un sistema muy unido: la mayoría de los proveedores ahora rechazan todo aquello que no se alinea, y los remitentes sienten la presión de cumplir. |
A medida que evolucionan los estándares, los proveedores de bandeja de entrada se vuelven cada vez más estrictos. Si su dominio no está autenticado, sus correos electrónicos no solo corren riesgo, sino que son invisibles.
Protocolos principales de autenticación de correo electrónico
SPF (marco de políticas del remitente)
SPF permite a los propietarios de dominios especificar qué servidores de correo están autorizados a enviar correo electrónico en nombre de su dominio. Funciona mediante la creación de un registro DNS TXT que incluye todas las IP de envío autorizadas.
Cuando un servidor de correo electrónico recibe un mensaje, comprueba el registro SPF del dominio del remitente para verificar si el servidor remitente está autorizado. Si el correo electrónico proviene de un servidor no listado, no supera la validación SPF.
A continuación se muestra un ejemplo de registro de autenticación de correo electrónico SPF:
v=spf1 ip4:192.168.1.1 incluir:_spf.google.com incluir:amazonses.com -all |
Este registro autoriza:
- La dirección IP específica 192.168.1.1
- Cualquier IP autorizada por los servidores de correo de Google
- Cualquier IP autorizada por Amazon SES
- El “-all” significa que cualquier otro servidor debería fallar autenticación
Para configurar SPF:
- Identifique todos los servicios que envían correo electrónico en su nombre (servidores de correo internos, herramientas de marketing, CRM, etc.)
- Crea tu registro SPF como un registro TXT en el DNS de tu dominio
- Valide su configuración utilizando herramientas como MXToolbox o Probador de correo
Los problemas comunes de SPF a tener en cuenta incluyen exceder el límite de búsqueda de DNS de 10 (causado por demasiadas declaraciones "include:"), IP faltantes de remitentes legítimos y la creación accidental de múltiples registros SPF que violan el estándar.
DKIM (correo identificado con DomainKeys)
Mientras que SPF verifica el servidor de envío, DKIM verifica que el contenido del correo electrónico no haya sido alterado durante el envío. Funciona añadiendo una firma digital al encabezado de cada correo.
DKIM utiliza pares de claves criptográficas:
- Una clave privada que permanece en su servidor de envío para firmar los correos electrónicos salientes
- Una clave pública publicada en su DNS que los servidores receptores utilizan para verificar la firma
Cuando un proveedor de correo electrónico recibe un mensaje con una firma DKIM, recupera la clave pública de su DNS y la utiliza para verificar la firma. Si la firma es válida, el correo electrónico pasa la autenticación DKIM.
Para configurar DKIM:
- Generar un par de claves pública/privada (la mayoría de los ESP se encargan de esto por usted)
- Agregue la clave pública a su DNS como un registro TXT usando el selector especificado
- Configure su servidor de correo para firmar los correos electrónicos salientes con la clave privada
- Pruebe su implementación enviando correos electrónicos de prueba y verificando cabeceras
Los problemas comunes de DKIM incluyen desalineación de dominio (cuando el dominio "De" no coincide con el dominio de firma DKIM), claves vencidas o débiles (ahora se recomiendan claves de 2048 bits) y conflictos al usar múltiples ESP con sus propias implementaciones DKIM.
DMARC (Informes y conformidad de autenticación de mensajes basados en dominios)
DMARC se basa en SPF y DKIM, añadiendo una capa de políticas que indica a los servidores receptores qué hacer con los correos electrónicos que no superan la autenticación. También proporciona un mecanismo de generación de informes para que pueda supervisar su ecosistema de correo electrónico.
Las políticas de DMARC incluyen:
- p = ninguno:Modo de monitorización: recopila datos pero no realiza ninguna acción en caso de fallos
- p = cuarentena:Enviar correos electrónicos fallidos a carpetas de spam/correo no deseado
- p = rechazar: Bloquear correos electrónicos fallidos completamente
DMARC introduce el concepto de “alineación”, que requiere que el dominio en el encabezado De coincida con el dominio utilizado para la autenticación SPF y/o DKIM.
Para configurar la autenticación de correo electrónico DMARC:
1. Comience con una política de monitoreo creando un registro DNS TXT como:
v=DMARC1; p=none; rua=mailto:re*****@********in.com” data-original-string=”hFEth86hcWp8ZoBDzS2Drw==a03z588kktltk945U1e6BB7BeXz8aTOWw/qkDpvtV5/do34jLl+QjwL5NLVmkovGVQwi88IWZiZHXwGh7NbNHy0iyy1iTXRSa6b1JEVzwFnAgsRyakO/jORo+nuj1zJSrkbGaA6AByqu2P1Ht/y+euoGFjLJoI6mMt6RSDL4z3mZO/Wpg4xLvlMjVpNcNiQnq12MAnso/XUIEvBS6kra0AQNGPnFCqZUkD+ZL8WMkjkKUbmfsGjEjgJo+s/c5kLLexfjTirn/SGaaLbp4dF4LgYJl8ua5yx7wEkYxLcZt7TOUpwmit5ZcY1ysZ47Mr92voVf+AQyDwF9k8/hEMq/1REqQ==” title=”This contact has been encoded by Anti-Spam by CleanTalk. Click to decode. To finish the decoding make sure that JavaScript is enabled in your browser.; pct=100 |
2. Analice los informes que recibe para comprender su ecosistema de correo electrónico
3. Fortalezca gradualmente su política a medida que solucione los problemas de autenticación.
4. Considere herramientas como DMARCian, Matasellos o Valimail para ayudar a interpretar los informes DMARC
Los desafíos más comunes de DMARC incluyen fallas de alineación (cuando SPF/DKIM pasa pero los dominios no se alinean), no recibir informes debido a una configuración incorrecta y dificultad para interpretar el formato del informe XML.
Protocolos avanzados de autenticación de correo electrónico
BIMI (indicadores de marca para la identificación de mensajes)
BIMI le permite mostrar su logotipo directamente en las bandejas de entrada de sus suscriptores cuando los correos electrónicos pasan la autenticación. Además de mejorar el reconocimiento de marca, BIMI sirve como indicador visual de confianza que ayuda a los destinatarios a identificar rápidamente los correos electrónicos legítimos.
Para implementar la autenticación de correo electrónico BIMI:
- Disponer de una autenticación sólida (SPF, DKIM y DMARC con p=cuarentena o p=rechazo)
- Cree una versión SVG de su logotipo que cumpla con los requisitos de BIMI
- Obtenga un Certificado de Marca Verificada (VMC) de un proveedor autorizado
- Agregue un registro DNS BIMI que apunte a su logotipo presentar
MTA-STS y TLS-RPT
Estos protocolos protegen la capa de transporte del correo electrónico:
- MTA-STS (Mail Transfer Agent Strict Transport Security) aplica el cifrado TLS para la entrega de correo electrónico entre servidores
- TLS-RPT (Informes TLS) proporciona información sobre TLS fallas
A medida que aumenta la preocupación por la privacidad de los datos, estos protocolos ayudan a garantizar que el contenido del correo electrónico permanezca cifrado durante su transmisión. Proveedores importantes como Gmail ahora avisan a los usuarios cuando los correos electrónicos llegan a través de conexiones no cifradas.
Cómo configurar MTA-STS:
1. Crear un registro DNS:
mta-sts.tudominio.com. EN TXT “v=STSv1; id=20230601000000Z;” |
El valor “id” debe actualizarse cada vez que cambie su política (normalmente una marca de tiempo).
Cree un servidor web HTTPS en mta-sts.yourdomain.com que sirva un archivo de políticas en /.well-known/mta-sts.txt con el contenido:
versión: STSv1 modo: prueba mx: mail.tudominio.com mx: backup-mail.tudominio.com edad máxima: 86400 |
2. Aumente gradualmente la protección cambiando el modo de “prueba” (solo monitorear) a “aplicar” (requerir TLS) una vez que haya confirmado que funciona correctamente.
Cómo configurar TLS-RPT:
1. Cree un registro DNS TXT:
_smtp._tls.yourdomain.com. IN TXT “v=TLSRPTv1; rua=mailto:tl*********@********in.com” data-original-string=”0niusUcnczOcY3cpPYI4Kg==a03lxBEJdd58whsH/MsR6iXpdOsRIDwyGZeI2j51Y6/i5s=” title=”This contact has been encoded by Anti-Spam by CleanTalk. Click to decode. To finish the decoding make sure that JavaScript is enabled in your browser.” |
2. Configure la dirección de correo electrónico de informes para recibir informes agregados diarios en formato JSON.
3. Considere utilizar un servicio de terceros como Report URI o Postmark para ayudar a analizar los informes.
Estas implementaciones crean un entorno seguro donde:
- MTA-STS establece una política que requiere conexiones cifradas
- TLS-RPT proporciona visibilidad de las fallas para que pueda abordarlas
- Juntos garantizan que la transmisión del correo electrónico esté cifrada. soluciones integrales
Estándares emergentes
ARC (Cadena de recepción autenticada):
- Lo que hace: Conserva los resultados de autenticación mediante servicios de reenvío.
- Como instalar:
- Configure su servidor de correo para validar los encabezados ARC entrantes
- Para los servidores de correo saliente que reenvían mensajes, implemente la firma ARC
- Utilice bibliotecas como OpenARC o pyARC para implementación
IPRV (Validación de reputación IP):
- Lo que hace: Aprovecha los datos de reputación para mejorar el filtrado
- Como instalar:
- Regístrese con un proveedor de reputación como Return Path o Validity
- Agregue las entradas DNS proporcionadas a su dominio
- Mantener buenas prácticas de envío para construir una reputación positiva Puntuación
VBR (Aval por referencia):
- Lo que hace: Permite que terceros garanticen la legitimidad del remitente
- Como instalar:
1. Asociarse con una autoridad de certificación como ReturnPath
2. Agrega su registro VBR a tu DNS:
_vouch.yourdomain.com EN TXT “v=VBR;a=colon;l=~;t=http://certifier.example.com/” |
3. Incluya encabezados VBR en sus correos electrónicos salientes
Los estándares heredados como Sender ID y ADSP han sido reemplazados en gran medida por marcos más integrales.
Lea también Rebote de correo electrónico: solucione esto antes de que lo incluyan en la lista negra
Preguntas Frecuentes
¿Puedo utilizar varios ESP en un mismo dominio?
Sí, pero deberá asegurarse de que su registro SPF incluya todas las IP autorizadas y que su configuración de DKIM admita múltiples selectores. Muchas organizaciones utilizan un subdominio dedicado para cada ESP para simplificar la gestión.
¿Qué sucede si SPF y DKIM pasan pero DMARC falla?
Esto suele indicar un problema de alineación. DMARC requiere que el dominio SPF o DKIM coincida con la dirección "De" visible. Compruebe que el dominio de su organización (el visible para los destinatarios) coincida con el dominio utilizado para la autenticación.
¿Con qué frecuencia debo rotar las claves DKIM?
La práctica recomendada es rotar las claves DKIM anualmente o después de cualquier incidente de seguridad. Muchos proveedores de servicios de correo electrónico (ESP) lo gestionan automáticamente, pero si administra sus propios servidores de correo, implemente un programa de rotación de claves y asegúrese de mantener tanto las claves antiguas como las nuevas durante los períodos de transición.
¿Los subdominios necesitan registros separados?
De forma predeterminada, los subdominios no heredan las políticas de autenticación del dominio principal. Para una protección integral, puede:
- Cree registros SPF/DKIM/DMARC separados para cada subdominio, o
- Utilice la etiqueta “sp=" en su registro DMARC para aplicar políticas a todos subdominios
Conclusión
La autenticación de correo electrónico no es opcional en 2026; es tu acceso a la bandeja de entrada. Al implementar SPF, DKIM y DMARC, no solo sigues las mejores prácticas, sino que también proteges activamente tu marca, mejoras la entregabilidad y generas confianza con cada mensaje que envías.
Comience con un enfoque por fases:
- Implemente SPF para autorizar sus servidores de envío
- Añade DKIM para firmar digitalmente tus mensajes
- Implementar DMARC en modo de monitoreo para recopilar inteligencia
- Fortalezca gradualmente su política DMARC a medida que aborde los problemas
- Considere protocolos avanzados como BIMI para mayor seguridad. beneficios
Recuerde que la autenticación de correo electrónico es un proceso, no un destino. La supervisión, las pruebas y las actualizaciones periódicas garantizan la eficacia de su marco de autenticación a medida que su programa de correo electrónico evoluciona y surgen nuevos estándares.
Al tomar el control de su autenticación de correo electrónico hoy, se asegura de que sus mensajes lleguen a los destinatarios previstos mañana, y eso es bueno para su negocio, sus clientes y su marca.
