El correo corporativo tiene una mala costumbre: a veces parece funcionar bien hasta que alguien importante deja de recibirlo, Gmail lo manda a spam o Microsoft decide mirarlo con sospecha. Ahí recién aparece la conversación sobre SPF, DKIM y DMARC.

Qué hace SPF y qué no hace

SPF define qué servidores pueden enviar correo en nombre de tu dominio. Ayuda a decir “estos sí, estos no”, pero no firma el mensaje ni evita por sí solo todo el spoofing. Límite crítico: SPF tiene un tope de 10 DNS lookups por evaluación. Si lo superas, el registro falla silenciosamente en algunos servidores.

v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.10 ~all

# Validar lookups
dig TXT tudominio.com | grep spf

Qué hace DKIM y por qué suele quedar a medias

DKIM agrega una firma criptográfica que permite verificar que el mensaje no fue alterado y que salió de un origen que conoce la clave correcta. El header From: visible en el correo debe coincidir con el dominio usado en la firma DKIM. Cuando una plataforma de envío externo firma con su propio dominio y el From dice el tuyo, la alineación falla y DMARC lo penaliza.

# Verificar que el registro DKIM existe
dig TXT google._domainkey.tudominio.com
# Debe retornar: v=DKIM1; k=rsa; p=... (si p= está vacío, la firma está revocada)

Qué hace DMARC sin romper todo

El error más simpático aquí es publicar p=reject como gesto de autoridad antes de entender el flujo real de envío. Lo correcto es partir en modo observación y leer al menos 2-4 semanas de reportes antes de endurecer la política.

_dmarc.tudominio.com TXT "v=DMARC1; p=none; rua=mailto:[email protected]"

Errores comunes al configurar estos registros

  • Inflar SPF con demasiados include (recuerda el límite de 10 lookups)
  • Dejar DKIM a medias o con selector incorrecto
  • Activar DMARC con política agresiva antes de observar
  • Asumir que el hosting “ya lo deja bien” sin validar nada
  • No configurar rua en DMARC y quedarse sin visibilidad de flujo

Herramientas útiles para validar

  • dkimvalidator.com → envía un correo de prueba y muestra resultado DKIM, SPF y DMARC
  • mxtoolbox.com → revisa registros DNS, SPF (con conteo de lookups), blacklists
  • mail-tester.com → score de entregabilidad sobre 10
  • Google Postmaster Tools → reputación real del dominio enviando a Gmail

Conclusión corta

SPF, DKIM y DMARC no son decoración DNS. Son parte de la identidad operativa del correo corporativo. Si están mal, el correo pierde credibilidad. Si están bien, mejora la entregabilidad y reduces el riesgo de que tu dominio parezca estar enviando mensajes que en realidad no controlas del todo.

DNSGoogle Workspace