Google Workspace o Microsoft 365.<\/li>\n<\/ul>\n\n\n\nTodos esos sistemas pueden estar enviando emails usando tu dominio. Si no est\u00e1n correctamente incluidos en el SPF, algunos mensajes pueden parecer sospechosos para los servidores receptores.<\/p>\n\n\n\n
Dicho de forma sencilla: SPF le dice al mundo algo como \u201cestos son los servidores que pueden enviar correos por m\u00ed\u201d.<\/p>\n\n\n\n
El problema aparece cuando se a\u00f1aden servicios sin revisar el SPF. Esto pasa mucho. Una empresa empieza con el correo del hosting, despu\u00e9s conecta una newsletter, luego un CRM, m\u00e1s tarde una tienda online y, al final, nadie sabe exactamente qu\u00e9 servicios est\u00e1n enviando correos desde el dominio.<\/p>\n\n\n\n
Tambi\u00e9n es habitual copiar un SPF de internet sin entender si realmente corresponde a ese dominio. Eso puede dejar fuera servidores leg\u00edtimos o incluir servicios que no pintan nada.<\/p>\n\n\n\n
DKIM: la firma digital que demuestra que el mensaje no ha sido alterado<\/h3>\n\n\n\n DKIM significa DomainKeys Identified Mail<\/strong>. Su funci\u00f3n es a\u00f1adir una firma digital al correo saliente.<\/p>\n\n\n\nEsa firma permite que el servidor receptor compruebe dos cosas:<\/p>\n\n\n\n
\nQue el mensaje procede de un sistema autorizado.<\/li>\n\n\n\n Que el contenido no ha sido alterado durante el env\u00edo.<\/li>\n<\/ul>\n\n\n\nPara m\u00ed, DKIM es una de las piezas m\u00e1s importantes porque a\u00f1ade una capa de confianza que SPF por s\u00ed solo no cubre completamente.<\/p>\n\n\n\n
Una forma sencilla de entenderlo es esta:SPF dice \u201ceste servidor puede enviar\u201d, mientras que DKIM ayuda a demostrar que el mensaje mantiene una firma v\u00e1lida asociada al dominio.<\/strong><\/p>\n\n\n\nNormalmente, DKIM se activa desde el proveedor de correo o desde el panel de hosting. Despu\u00e9s, se publica una clave p\u00fablica en las DNS del dominio mediante un registro TXT o CNAME, seg\u00fan el proveedor.<\/p>\n\n\n\n
Si DKIM no est\u00e1 activo, algunos correos pueden seguir entreg\u00e1ndose, pero pierden una se\u00f1al importante de autenticaci\u00f3n. Y cuando hablamos de correo corporativo, cada se\u00f1al cuenta.<\/p>\n\n\n\n
DMARC: la pol\u00edtica que decide qu\u00e9 hacer cuando algo falla<\/h3>\n\n\n\n DMARC significa Domain-based Message Authentication, Reporting and Conformance<\/strong>. Es el mecanismo que une SPF y DKIM y permite indicar qu\u00e9 debe hacer el servidor receptor cuando un mensaje no supera las comprobaciones.<\/p>\n\n\n\nCon DMARC puedes definir una pol\u00edtica:<\/p>\n\n\n\n
\np=none<\/code>: no bloquees nada, solo monitoriza.<\/li>\n\n\n\np=quarantine<\/code>: marca como sospechosos los mensajes que fallen.<\/li>\n\n\n\np=reject<\/code>: rechaza los mensajes que no superen la autenticaci\u00f3n.<\/li>\n<\/ul>\n\n\n\nAqu\u00ed es donde muchas empresas cometen un error: quieren ir directamente a la pol\u00edtica m\u00e1s estricta pensando que as\u00ed estar\u00e1n m\u00e1s seguras.<\/p>\n\n\n\n
Yo no lo recomiendo.<\/p>\n\n\n\n
Configurar un p=reject<\/code> sin revisar antes todo el ecosistema de env\u00edo puede parecer muy seguro, pero tambi\u00e9n puede provocar que correos leg\u00edtimos de la empresa dejen de entregarse si hay servicios mal autorizados.<\/p>\n\n\n\nLo m\u00e1s prudente suele ser empezar con p=none<\/code>, analizar qu\u00e9 servicios est\u00e1n enviando en nombre del dominio, corregir errores y, cuando todo est\u00e9 claro, avanzar hacia pol\u00edticas m\u00e1s estrictas.<\/p>\n\n\n\nAntes de tocar las DNS: identifica todos los servicios que env\u00edan correos<\/h2>\n\n\n\n Uno de los errores m\u00e1s habituales al configurar SPF, DKIM y DMARC es empezar directamente por copiar registros DNS sin revisar antes desde d\u00f3nde salen realmente los correos.<\/p>\n\n\n\n
Y esto es clave.<\/p>\n\n\n\n
Una empresa no siempre env\u00eda emails solo desde una cuenta tipo info@tudominio.com<\/code>. Muchas veces hay m\u00e1s sistemas implicados de los que parece.<\/p>\n\n\n\nAntes de modificar SPF, activar DKIM o publicar DMARC, haz una lista de todos los puntos desde los que se pueden enviar correos usando tu dominio.<\/p>\n\n\n\n
Correo del hosting, webmail, Outlook y Thunderbird<\/h3>\n\n\n\n El primer punto suele ser el correo principal del hosting o del proveedor de correo corporativo.<\/p>\n\n\n\n
Aqu\u00ed entran las cuentas que usas desde:<\/p>\n\n\n\n
\nWebmail.<\/li>\n\n\n\n Outlook.<\/li>\n\n\n\n Thunderbird.<\/li>\n\n\n\n Aplicaciones m\u00f3viles.<\/li>\n\n\n\n Clientes IMAP o POP.<\/li>\n\n\n\n SMTP del proveedor.<\/li>\n<\/ul>\n\n\n\nSi tienes un servicio de correo corporativo con dominio propio, este ser\u00e1 normalmente el sistema base que debe quedar autorizado en SPF y firmado con DKIM.<\/p>\n\n\n\n
En el caso de servicios orientados a empresas, como HostingTG, tiene sentido que el correo corporativo se configure pensando no solo en crear buzones, sino tambi\u00e9n en la seguridad, el acceso por webmail, la compatibilidad con Outlook o Thunderbird, el soporte t\u00e9cnico, SSL, antivirus, antispam y la revisi\u00f3n de registros como SPF, DKIM y DMARC cuando hay problemas de spam o entregabilidad.<\/p>\n\n\n\n
Porque el correo no va solo de \u201ccrear cuentas\u201d. Va de que esas cuentas funcionen bien y sean fiables.<\/p>\n\n\n\n
WordPress, formularios, WooCommerce y WHMCS<\/h3>\n\n\n\n Despu\u00e9s est\u00e1 la web.<\/p>\n\n\n\n
Muchas empresas tienen WordPress y no siempre son conscientes de que la web tambi\u00e9n env\u00eda correos. Formularios de contacto, avisos de recuperaci\u00f3n de contrase\u00f1a, notificaciones internas, confirmaciones de pedidos, reservas o mensajes autom\u00e1ticos pueden salir desde el servidor web o desde un plugin SMTP.<\/p>\n\n\n\n
Si usas WooCommerce, WHMCS o cualquier sistema similar, esto cobra todav\u00eda m\u00e1s importancia. Un pedido, una factura o una notificaci\u00f3n de soporte que no llega puede convertirse en un problema comercial.<\/p>\n\n\n\n
Aqu\u00ed suele aparecer el t\u00edpico caso: \u201cmi correo funciona, pero los mensajes del formulario llegan a spam\u201d o \u201clos emails de WooCommerce no se entregan bien\u201d.<\/p>\n\n\n\n
Muchas veces el problema no est\u00e1 en el buz\u00f3n, sino en que la web est\u00e1 enviando correos de una forma que no est\u00e1 correctamente alineada con SPF, DKIM y DMARC.<\/p>\n\n\n\n
CRM, facturaci\u00f3n, newsletters y herramientas externas<\/h3>\n\n\n\n Tambi\u00e9n hay que revisar herramientas externas.<\/p>\n\n\n\n
Por ejemplo:<\/p>\n\n\n\n
\nCRM.<\/li>\n\n\n\n Plataformas de email marketing.<\/li>\n\n\n\n Software de facturaci\u00f3n.<\/li>\n\n\n\n Herramientas de soporte.<\/li>\n\n\n\n Sistemas de reservas.<\/li>\n\n\n\n Aplicaciones de automatizaci\u00f3n.<\/li>\n\n\n\n Plataformas de presupuestos.<\/li>\n\n\n\n Servicios de env\u00edo transaccional.<\/li>\n<\/ul>\n\n\n\nTodos estos servicios pueden enviar correos como si fueran tu dominio o en nombre de tu dominio.<\/p>\n\n\n\n
Si no los tienes controlados, puedes terminar con un SPF desordenado, DKIM sin configurar en algunas herramientas y DMARC dando errores porque los mensajes no est\u00e1n alineados.<\/p>\n\n\n\n
Por eso, antes de configurar nada, mi recomendaci\u00f3n es sencilla: haz inventario<\/strong>.<\/p>\n\n\n\nApunta:<\/p>\n\n\n\n
\nQu\u00e9 proveedor gestiona tu correo principal.<\/li>\n\n\n\n Desde d\u00f3nde env\u00edas newsletters.<\/li>\n\n\n\n Qu\u00e9 web o aplicaciones env\u00edan correos autom\u00e1ticos.<\/li>\n\n\n\n Qu\u00e9 CRM o software de facturaci\u00f3n usa tu dominio.<\/li>\n\n\n\n Qu\u00e9 SMTP est\u00e1 configurado en WordPress.<\/li>\n\n\n\n Qu\u00e9 servicios externos env\u00edan como @tudominio.com<\/code>.<\/li>\n<\/ul>\n\n\n\nEsa lista te evitar\u00e1 muchos problemas despu\u00e9s.<\/p>\n\n\n\n
C\u00f3mo configurar el registro SPF<\/h2>\n\n\n\n El registro SPF se configura en la zona DNS del dominio. Dependiendo del proveedor, lo har\u00e1s desde cPanel, Cloudflare, el panel del registrador, el panel del hosting o el gestor DNS correspondiente.<\/p>\n\n\n\n
Normalmente se a\u00f1ade como un registro de tipo TXT<\/strong>.<\/p>\n\n\n\nD\u00f3nde a\u00f1adir SPF en cPanel o en tu gestor DNS<\/h3>\n\n\n\n Si usas cPanel, lo m\u00e1s habitual es entrar en una secci\u00f3n como:<\/p>\n\n\n\n
\nZone Editor<\/strong><\/li>\n\n\n\nEditor de zonas DNS<\/strong><\/li>\n\n\n\nZone Manager<\/strong><\/li>\n\n\n\nEmail Deliverability<\/strong><\/li>\n\n\n\nAutenticaci\u00f3n de correo<\/strong><\/li>\n<\/ul>\n\n\n\nEl nombre exacto puede cambiar seg\u00fan el proveedor, pero la l\u00f3gica es la misma: tienes que editar la zona DNS del dominio y a\u00f1adir o modificar un registro TXT.<\/p>\n\n\n\n
Un punto importante: no debes tener varios registros SPF separados para el mismo dominio<\/strong>.<\/p>\n\n\n\nEste es uno de los errores m\u00e1s comunes. A veces una empresa tiene un SPF para el hosting, otro para Google Workspace, otro para Microsoft 365 y otro para una herramienta de marketing. Eso no es correcto. Lo recomendable es tener un \u00fanico registro SPF que incluya todos los servicios autorizados.<\/p>\n\n\n\n
Ejemplo de registro SPF<\/h3>\n\n\n\n Un SPF b\u00e1sico puede tener un aspecto parecido a este:<\/p>\n\n\n\n
v=spf1 include:_spf.tuproveedor.com ~all<\/code><\/pre>\n\n\n\nOtro ejemplo, si usas varios servicios, podr\u00eda ser:<\/p>\n\n\n\n
v=spf1 include:_spf.tuproveedor.com include:_spf.google.com include:spf.protection.outlook.com ~all<\/code><\/pre>\n\n\n\nEsto es solo un ejemplo. No debes copiarlo tal cual si no usas esos servicios.<\/p>\n\n\n\n
Cada proveedor te dir\u00e1 qu\u00e9 valor debes incluir. Por eso es importante revisar la documentaci\u00f3n del servicio de correo, CRM, newsletter o plataforma que est\u00e9s usando.<\/p>\n\n\n\n
La parte final del registro tambi\u00e9n importa:<\/p>\n\n\n\n
~all<\/code><\/pre>\n\n\n\nSuele indicar una pol\u00edtica flexible, es decir, que los servidores no incluidos deber\u00edan tratarse como sospechosos, pero no necesariamente rechazarse de forma estricta.<\/p>\n\n\n\n
Tambi\u00e9n existe:<\/p>\n\n\n\n
-all<\/code><\/pre>\n\n\n\nQue es m\u00e1s estricto. Puede tener sentido en configuraciones maduras, pero no conviene usarlo a ciegas si no tienes claro que todos tus servicios leg\u00edtimos est\u00e1n bien autorizados.<\/p>\n\n\n\n
Errores habituales al configurar SPF<\/h3>\n\n\n\n Los errores m\u00e1s comunes son:<\/p>\n\n\n\n
\nTener m\u00e1s de un registro SPF.<\/li>\n\n\n\n Copiar un SPF gen\u00e9rico sin adaptarlo.<\/li>\n\n\n\n No incluir el proveedor de email marketing.<\/li>\n\n\n\n Olvidar el servidor que env\u00eda desde la web.<\/li>\n\n\n\n No autorizar el CRM o el software de facturaci\u00f3n.<\/li>\n\n\n\n Dejar registros antiguos de proveedores que ya no se usan.<\/li>\n\n\n\n Crear un SPF demasiado largo o con demasiados include<\/code>.<\/li>\n\n\n\nUsar -all<\/code> sin haber revisado todo antes.<\/li>\n<\/ul>\n\n\n\nEn mi caso, este es uno de los puntos donde m\u00e1s insisto: un registro SPF mal construido puede dejar fuera servidores leg\u00edtimos<\/strong>.<\/p>\n\n\n\nY eso se traduce en problemas reales: correos que no llegan, formularios que caen en spam, facturas que no se entregan o mensajes importantes que pierden confianza ante los proveedores de correo.<\/p>\n\n\n\n
C\u00f3mo configurar DKIM<\/h2>\n\n\n\n DKIM suele configurarse desde el proveedor de correo. En muchos hostings con cPanel, puedes activarlo desde una secci\u00f3n relacionada con la entregabilidad de email. En otros servicios, como Google Workspace, Microsoft 365, plataformas SMTP o herramientas de email marketing, se genera una clave DKIM que despu\u00e9s debes publicar en las DNS.<\/p>\n\n\n\n
La idea es sencilla: el sistema que env\u00eda el correo firma el mensaje con una clave privada, y el dominio publica una clave p\u00fablica para que el receptor pueda verificar esa firma.<\/p>\n\n\n\n
D\u00f3nde activar DKIM en el proveedor de correo<\/h3>\n\n\n\n En cPanel, puedes encontrar opciones como:<\/p>\n\n\n\n
\nEmail Deliverability.<\/li>\n\n\n\n Entregabilidad de correo.<\/li>\n\n\n\n Autenticaci\u00f3n de email.<\/li>\n\n\n\n DKIM.<\/li>\n\n\n\n Repair o reparar registros DNS.<\/li>\n<\/ul>\n\n\n\nEn otros proveedores, normalmente encontrar\u00e1s DKIM dentro de la configuraci\u00f3n de dominio, autenticaci\u00f3n del remitente o seguridad del correo.<\/p>\n\n\n\n
Una vez activado, el proveedor te mostrar\u00e1 un registro que debes a\u00f1adir a DNS. Puede ser de tipo TXT o CNAME.<\/p>\n\n\n\n
El nombre del registro suele tener un selector, por ejemplo:<\/p>\n\n\n\n
default._domainkey.tudominio.com<\/code><\/pre>\n\n\n\nO algo parecido, dependiendo del proveedor.<\/p>\n\n\n\n
C\u00f3mo publicar la clave DKIM en DNS<\/h3>\n\n\n\n El proveedor te dar\u00e1 dos datos:<\/p>\n\n\n\n
\nNombre o host del registro.<\/li>\n\n\n\n Valor del registro.<\/li>\n<\/ul>\n\n\n\nEl valor suele ser una clave larga. Algo similar a:<\/p>\n\n\n\n
v=DKIM1; k=rsa; p=CLAVE_PUBLICA_MUY_LARGA<\/code><\/pre>\n\n\n\nNo hace falta memorizarla ni escribirla a mano si puedes copiarla desde el panel del proveedor. Lo importante es no cortarla, no modificarla y no a\u00f1adir espacios incorrectos.<\/p>\n\n\n\n
Despu\u00e9s de publicarla, puede tardar un tiempo en propagarse. En muchos casos se verifica en minutos, pero a veces puede tardar m\u00e1s dependiendo del proveedor DNS.<\/p>\n\n\n\n
Errores habituales al configurar DKIM<\/h3>\n\n\n\n Los errores m\u00e1s comunes con DKIM son:<\/p>\n\n\n\n
\nActivarlo en el proveedor pero no publicar la clave en DNS.<\/li>\n\n\n\n Publicar la clave en el dominio equivocado.<\/li>\n\n\n\n Copiar el valor incompleto.<\/li>\n\n\n\n Confundir el nombre del host.<\/li>\n\n\n\n No configurar DKIM en servicios externos que tambi\u00e9n env\u00edan correos.<\/li>\n\n\n\n Pensar que DKIM del hosting firma todos los correos, aunque algunos salgan por un CRM, newsletter o SMTP externo.<\/li>\n<\/ul>\n\n\n\nEste \u00faltimo punto es importante. Si tu web env\u00eda correos a trav\u00e9s de un servicio externo, ese servicio tambi\u00e9n debe estar correctamente autenticado. No basta con que el buz\u00f3n principal tenga DKIM si despu\u00e9s WooCommerce, el CRM o la herramienta de email marketing env\u00edan sin firma v\u00e1lida.<\/p>\n\n\n\n
Para m\u00ed, DKIM es una pieza clave porque ayuda a demostrar que el mensaje no ha sido alterado y que est\u00e1 asociado correctamente al dominio. En un entorno profesional, esa se\u00f1al puede marcar la diferencia entre un correo que genera confianza y uno que parece sospechoso.<\/p>\n\n\n\n
C\u00f3mo configurar DMARC sin bloquear correos leg\u00edtimos<\/h2>\n\n\n\n DMARC es el registro que muchas empresas dejan para el final. Y tiene sentido, porque conviene configurar primero SPF y DKIM.<\/p>\n\n\n\n
Pero dejarlo olvidado tampoco es buena idea.<\/p>\n\n\n\n
DMARC permite indicar qu\u00e9 debe hacer un servidor receptor cuando recibe un correo que dice venir de tu dominio, pero no supera correctamente las comprobaciones de autenticaci\u00f3n.<\/p>\n\n\n\n
El registro DMARC tambi\u00e9n se publica en DNS, normalmente como un TXT en:<\/p>\n\n\n\n
_dmarc.tudominio.com<\/code><\/pre>\n\n\n\nUn ejemplo b\u00e1sico ser\u00eda:<\/p>\n\n\n\n
v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com<\/code><\/pre>\n\n\n\nEste registro indica que la pol\u00edtica es de monitorizaci\u00f3n y que los informes agregados se enviar\u00e1n a la direcci\u00f3n indicada.<\/p>\n\n\n\n
Por qu\u00e9 empezar con p=none<\/code><\/h3>\n\n\n\nMi recomendaci\u00f3n es clara: no empieces directamente con una pol\u00edtica agresiva si no has revisado antes todo tu ecosistema de env\u00edo<\/strong>.<\/p>\n\n\n\nLa pol\u00edtica p=none<\/code> no bloquea mensajes. Sirve para observar.<\/p>\n\n\n\nEsto te permite detectar:<\/p>\n\n\n\n
\nQu\u00e9 servidores env\u00edan correos usando tu dominio.<\/li>\n\n\n\n Qu\u00e9 servicios est\u00e1n bien autenticados.<\/li>\n\n\n\n Qu\u00e9 mensajes fallan SPF.<\/li>\n\n\n\n Qu\u00e9 mensajes fallan DKIM.<\/li>\n\n\n\n Qu\u00e9 herramientas externas no est\u00e1n alineadas.<\/li>\n\n\n\n Si alguien est\u00e1 intentando suplantar tu dominio.<\/li>\n<\/ul>\n\n\n\nEs una fase de monitorizaci\u00f3n. No es el final del camino, pero es un primer paso muy prudente.<\/p>\n\n\n\n
En empresas que usan muchos sistemas \u2014web, CRM, facturaci\u00f3n, newsletter, formularios, soporte\u2014 empezar con p=none<\/code> ayuda a evitar sustos.<\/p>\n\n\n\nCu\u00e1ndo pasar a p=quarantine<\/code> o p=reject<\/code><\/h3>\n\n\n\nCuando ya has revisado los informes y has corregido errores, puedes endurecer la pol\u00edtica.<\/p>\n\n\n\n
La evoluci\u00f3n habitual ser\u00eda:<\/p>\n\n\n\n
p=none<\/code><\/pre>\n\n\n\nDespu\u00e9s:<\/p>\n\n\n\n
p=quarantine<\/code><\/pre>\n\n\n\nY finalmente:<\/p>\n\n\n\n
p=reject<\/code><\/pre>\n\n\n\np=quarantine<\/code> indica a los servidores receptores que los mensajes que fallen deber\u00edan tratarse como sospechosos. Pueden acabar en spam o cuarentena.<\/p>\n\n\n\np=reject<\/code> indica que los mensajes que no pasen DMARC deber\u00edan rechazarse.<\/p>\n\n\n\nEsta \u00faltima pol\u00edtica es potente, pero hay que usarla con cabeza. Configurar un p=reject<\/code> sin revisar puede bloquear correos v\u00e1lidos de la empresa si tienes sistemas leg\u00edtimos mal autorizados.<\/p>\n\n\n\nPor eso me gusta verlo como una escalera, no como un interruptor.<\/p>\n\n\n\n
Primero observas.
C\u00f3mo usar los informes DMARC para detectar problemas<\/h3>\n\n\n\n DMARC permite recibir informes sobre los correos que se env\u00edan en nombre de tu dominio. Estos informes pueden ser muy \u00fatiles, aunque para un usuario no t\u00e9cnico pueden resultar dif\u00edciles de leer directamente.<\/p>\n\n\n\n
Aun as\u00ed, la idea principal es muy valiosa: puedes saber qui\u00e9n est\u00e1 enviando correo como tu dominio y si esos env\u00edos est\u00e1n pasando SPF, DKIM y DMARC.<\/p>\n\n\n\n
Esto ayuda a detectar:<\/p>\n\n\n\n
\nServicios olvidados.<\/li>\n\n\n\n Configuraciones incompletas.<\/li>\n\n\n\n Proveedores antiguos.<\/li>\n\n\n\n Intentos de suplantaci\u00f3n.<\/li>\n\n\n\n Correos leg\u00edtimos que necesitan ajustes.<\/li>\n\n\n\n Problemas de alineaci\u00f3n entre dominio visible y dominio autenticado.<\/li>\n<\/ul>\n\n\n\nEn un negocio, esta informaci\u00f3n vale oro. No solo est\u00e1s configurando un registro t\u00e9cnico: est\u00e1s ganando visibilidad sobre c\u00f3mo se usa tu dominio en el correo.<\/p>\n\n\n\n
C\u00f3mo comprobar si SPF, DKIM y DMARC est\u00e1n bien configurados<\/h2>\n\n\n\n Despu\u00e9s de configurar los registros, toca comprobar. No basta con publicarlos y olvidarse.<\/p>\n\n\n\n
La comprobaci\u00f3n es importante porque un peque\u00f1o error en DNS puede hacer que el registro no funcione como esperas.<\/p>\n\n\n\n
Comprobaci\u00f3n desde cPanel<\/h3>\n\n\n\n Si usas cPanel, revisa si tienes una secci\u00f3n llamada Email Deliverability<\/strong> o Entregabilidad de correo<\/strong>.<\/p>\n\n\n\nDesde ah\u00ed, algunos proveedores permiten comprobar si SPF y DKIM est\u00e1n correctamente configurados. En algunos casos incluso ofrecen una opci\u00f3n de reparaci\u00f3n autom\u00e1tica.<\/p>\n\n\n\n
Esto puede ser muy \u00fatil cuando el dominio usa las DNS del propio hosting, porque el panel puede generar los registros adecuados.<\/p>\n\n\n\n
Aun as\u00ed, revisa siempre qu\u00e9 est\u00e1 haciendo el sistema. No des por hecho que todo est\u00e1 bien solo porque el panel muestre un bot\u00f3n de reparaci\u00f3n.<\/p>\n\n\n\n
Comprobaci\u00f3n con herramientas externas<\/h3>\n\n\n\n Tambi\u00e9n puedes usar herramientas externas para comprobar:<\/p>\n\n\n\n
\nSPF.<\/li>\n\n\n\n DKIM.<\/li>\n\n\n\n DMARC.<\/li>\n\n\n\n Registros DNS.<\/li>\n\n\n\n Cabeceras de correo.<\/li>\n\n\n\n Reputaci\u00f3n del dominio.<\/li>\n\n\n\n Entregabilidad.<\/li>\n<\/ul>\n\n\n\nEstas herramientas suelen pedirte el dominio y despu\u00e9s te muestran si los registros existen, si tienen errores o si hay advertencias.<\/p>\n\n\n\n
Otra forma pr\u00e1ctica es enviar un correo de prueba a una cuenta de Gmail o similar y revisar las cabeceras del mensaje. Ah\u00ed puedes ver si SPF, DKIM y DMARC aparecen como pass<\/code> o si alguno falla.<\/p>\n\n\n\nLo ideal es que el resultado sea algo parecido a:<\/p>\n\n\n\n
SPF: passSi alguno aparece como fail<\/code>, softfail<\/code> o neutral<\/code>, conviene revisar la configuraci\u00f3n.<\/p>\n\n\n\nQu\u00e9 revisar si los correos siguen llegando a spam<\/h3>\n\n\n\n Puede pasar que tengas SPF, DKIM y DMARC configurados y aun as\u00ed algunos correos lleguen a spam.<\/p>\n\n\n\n
Eso no significa necesariamente que los registros no sirvan. La entregabilidad depende de m\u00e1s factores:<\/p>\n\n\n\n
\nReputaci\u00f3n del dominio.<\/li>\n\n\n\n Reputaci\u00f3n de la IP.<\/li>\n\n\n\n Contenido del mensaje.<\/li>\n\n\n\n Enlaces incluidos.<\/li>\n\n\n\n Historial de env\u00edos.<\/li>\n\n\n\n Volumen de correo.<\/li>\n\n\n\n Quejas de usuarios.<\/li>\n\n\n\n Listas negras.<\/li>\n\n\n\n Configuraci\u00f3n del servidor.<\/li>\n\n\n\n Uso correcto del SMTP.<\/li>\n<\/ul>\n\n\n\nAun as\u00ed, SPF, DKIM y DMARC son una base imprescindible. Si fallan, partes con desventaja.<\/p>\n\n\n\n
Mi forma de verlo es sencilla: no garantizan por s\u00ed solos la bandeja de entrada, pero sin ellos est\u00e1s dejando se\u00f1ales importantes sin cubrir.<\/p>\n\n\n\n
Errores comunes al configurar SPF, DKIM y DMARC<\/h2>\n\n\n\n Configurar SPF, DKIM y DMARC no es especialmente complicado, pero s\u00ed requiere orden. La mayor\u00eda de problemas aparecen por improvisar.<\/p>\n\n\n\n
Estos son los errores que conviene evitar.<\/p>\n\n\n\n
Tener varios registros SPF<\/h3>\n\n\n\n Solo debe haber un registro SPF por dominio. Si tienes varios, los servidores receptores pueden interpretar la configuraci\u00f3n como inv\u00e1lida.<\/p>\n\n\n\n
La soluci\u00f3n no es crear otro SPF, sino fusionar correctamente todos los servicios autorizados en uno solo.<\/p>\n\n\n\n
Copiar registros sin adaptarlos<\/h3>\n\n\n\n Copiar un registro de una gu\u00eda puede servir para entender la estructura, pero no para usarlo directamente.<\/p>\n\n\n\n
Cada dominio tiene su propio proveedor de correo, sus herramientas externas y sus servicios de env\u00edo. Tu SPF, tu DKIM y tu DMARC deben reflejar tu caso real.<\/p>\n\n\n\n
No tener en cuenta la web<\/h3>\n\n\n\n Muchos problemas de entregabilidad vienen de formularios de contacto, WordPress, WooCommerce o sistemas que env\u00edan desde el servidor web.<\/p>\n\n\n\n
El buz\u00f3n principal puede estar perfecto, pero si la web env\u00eda mal, seguir\u00e1s teniendo problemas.<\/p>\n\n\n\n
Activar DKIM solo en una parte<\/h3>\n\n\n\n Si usas varias plataformas de env\u00edo, revisa DKIM en cada una. No des por hecho que activar DKIM en el hosting cubre autom\u00e1ticamente todo.<\/p>\n\n\n\n
Empezar DMARC con p=reject<\/code><\/h3>\n\n\n\nYa lo he dicho, pero merece repetirse: DMARC debe endurecerse con prudencia.<\/p>\n\n\n\n
Un p=reject<\/code> mal planteado puede bloquear correos leg\u00edtimos. No porque DMARC sea malo, sino porque la configuraci\u00f3n previa no estaba preparada.<\/p>\n\n\n\nNo revisar informes ni resultados<\/h3>\n\n\n\n Publicar DMARC y no mirar nada despu\u00e9s es quedarse a medias.<\/p>\n\n\n\n
Si vas a usar DMARC, aprov\u00e9chalo para entender qu\u00e9 est\u00e1 pasando con tu dominio.<\/p>\n\n\n\n
Pensar que esto se configura una vez y ya est\u00e1<\/h3>\n\n\n\n El correo cambia. Hoy usas una herramienta, ma\u00f1ana a\u00f1ades un CRM, pasado conectas una newsletter y dentro de unos meses cambias de hosting.<\/p>\n\n\n\n
Cada cambio puede afectar a SPF, DKIM o DMARC.<\/p>\n\n\n\n
Por eso, cada vez que a\u00f1adas un servicio que env\u00ede correos en nombre de tu dominio, revisa la autenticaci\u00f3n.<\/p>\n\n\n\n
Recomendaciones para empresas que usan correo corporativo<\/h2>\n\n\n\n Si usas correo corporativo con dominio propio, mi recomendaci\u00f3n es que trates SPF, DKIM y DMARC como parte natural de la configuraci\u00f3n inicial.<\/p>\n\n\n\n
No lo dejes para cuando empiecen los problemas.<\/p>\n\n\n\n
Una pyme puede depender much\u00edsimo del correo: ventas, soporte, administraci\u00f3n, facturaci\u00f3n, contratos, comunicaci\u00f3n interna y atenci\u00f3n al cliente. Si esos mensajes no llegan bien o si alguien consigue suplantar el dominio, el da\u00f1o no es solo t\u00e9cnico. Tambi\u00e9n afecta a la confianza.<\/p>\n\n\n\n
Para m\u00ed, el correo corporativo debe entenderse como una parte estrat\u00e9gica del negocio. No es solo una bandeja de entrada. Es una herramienta de comunicaci\u00f3n, ventas, soporte, administraci\u00f3n y reputaci\u00f3n.<\/p>\n\n\n\n
Mi orden recomendado ser\u00eda este:<\/p>\n\n\n\n
\nIdentifica todos los servicios que env\u00edan correo por tu dominio.<\/li>\n\n\n\n Revisa d\u00f3nde se gestionan las DNS.<\/li>\n\n\n\n Configura un SPF limpio, sin duplicidades.<\/li>\n\n\n\n Activa DKIM en el proveedor de correo.<\/li>\n\n\n\n Configura DKIM tambi\u00e9n en servicios externos si los usas.<\/li>\n\n\n\n Publica DMARC empezando con p=none<\/code>.<\/li>\n\n\n\nAnaliza los resultados.<\/li>\n\n\n\n Corrige servicios que fallen.<\/li>\n\n\n\n Avanza progresivamente a p=quarantine<\/code> o p=reject<\/code>.<\/li>\n\n\n\nRevisa la configuraci\u00f3n cada vez que a\u00f1adas una nueva herramienta de env\u00edo.<\/li>\n<\/ol>\n\n\n\nTambi\u00e9n recomiendo documentarlo. Algo tan simple como una tabla con los servicios autorizados puede ahorrarte muchos dolores de cabeza.<\/p>\n\n\n\n
Por ejemplo:<\/p>\n\n\n\nServicio<\/th> \u00bfEnv\u00eda correos?<\/th> \u00bfIncluido en SPF?<\/th> \u00bfTiene DKIM?<\/th> Observaciones<\/th><\/tr><\/thead> Hosting\/correo principal<\/td> S\u00ed<\/td> S\u00ed<\/td> S\u00ed<\/td> Buzones corporativos<\/td><\/tr> WordPress<\/td> S\u00ed<\/td> Revisar<\/td> Revisar<\/td> Formularios<\/td><\/tr> WooCommerce<\/td> S\u00ed<\/td> Revisar<\/td> Revisar<\/td> Pedidos y facturas<\/td><\/tr> CRM<\/td> S\u00ed<\/td> Revisar<\/td> Revisar<\/td> Emails comerciales<\/td><\/tr> Newsletter<\/td> S\u00ed<\/td> Revisar<\/td> Revisar<\/td> Campa\u00f1as<\/td><\/tr> Facturaci\u00f3n<\/td> S\u00ed<\/td> Revisar<\/td> Revisar<\/td> Env\u00edo de facturas<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\nEsta tabla parece b\u00e1sica, pero ayuda much\u00edsimo. Sobre todo cuando varias personas o proveedores han ido tocando la configuraci\u00f3n a lo largo del tiempo.<\/p>\n\n\n\n
Sobre SPF, DKIM y DMARC<\/h2>\n\n\n\n Configurar SPF, DKIM y DMARC es una de esas tareas que muchas empresas posponen porque \u201cel correo ya funciona\u201d. Pero esa frase puede ser enga\u00f1osa.<\/p>\n\n\n\n
Que un correo salga y llegue no significa que est\u00e9 bien autenticado. Tampoco significa que tu dominio est\u00e9 protegido frente a suplantaciones o que tus mensajes tengan todas las se\u00f1ales necesarias para generar confianza.<\/p>\n\n\n\n
SPF indica qu\u00e9 servidores pueden enviar correos por tu dominio. DKIM a\u00f1ade una firma digital que ayuda a demostrar que el mensaje no ha sido alterado. DMARC define qu\u00e9 hacer cuando algo falla y permite obtener visibilidad sobre qui\u00e9n est\u00e1 enviando en tu nombre.<\/p>\n\n\n\n
Los tres juntos forman una base s\u00f3lida para proteger el correo corporativo.<\/p>\n\n\n\n
No hacen magia. No garantizan que nunca tengas problemas de spam. No sustituyen a una buena configuraci\u00f3n del servidor, una reputaci\u00f3n cuidada o buenas pr\u00e1cticas de env\u00edo. Pero s\u00ed ayudan a mejorar la autenticaci\u00f3n, reducir la suplantaci\u00f3n y aumentar la confianza de los servidores receptores.<\/p>\n\n\n\n
En mi opini\u00f3n, cualquier empresa que use un dominio propio deber\u00eda tener estos registros correctamente configurados. Y no solo por una cuesti\u00f3n t\u00e9cnica, sino por reputaci\u00f3n.<\/p>\n\n\n\n
Cuando un cliente recibe un correo de una empresa, espera que sea aut\u00e9ntico. Si alguien consigue suplantar el dominio para enviar facturas falsas, avisos fraudulentos o mensajes maliciosos, el da\u00f1o puede ir mucho m\u00e1s all\u00e1 del email.<\/p>\n\n\n\n
Por eso merece la pena hacerlo bien: revisar todos los servicios, configurar SPF sin duplicidades, activar DKIM, publicar DMARC con prudencia y comprobar los resultados antes de endurecer la pol\u00edtica.<\/p>\n\n\n\n
El correo corporativo no es un detalle menor. Es una parte esencial de la confianza digital de cualquier negocio.<\/p>\n\n\n\n
Dudas de la comunidad<\/h2>\n\n\n\n\u00bfQu\u00e9 es SPF?<\/h3>\n\n\n\n SPF es un registro DNS que indica qu\u00e9 servidores est\u00e1n autorizados a enviar correos en nombre de tu dominio. Ayuda a evitar que servidores no autorizados env\u00eden emails falsificando tu direcci\u00f3n.<\/p>\n\n\n\n
\u00bfQu\u00e9 es DKIM?<\/h3>\n\n\n\n DKIM a\u00f1ade una firma digital al correo. Esa firma permite comprobar que el mensaje no ha sido alterado y que est\u00e1 asociado a un dominio autorizado.<\/p>\n\n\n\n
\u00bfQu\u00e9 es DMARC?<\/h3>\n\n\n\n DMARC es una pol\u00edtica que usa SPF y DKIM para decidir qu\u00e9 hacer cuando un correo no supera las comprobaciones de autenticaci\u00f3n. Tambi\u00e9n permite recibir informes sobre los env\u00edos realizados en nombre del dominio.<\/p>\n\n\n\n
\u00bfTengo que configurar los tres registros?<\/h3>\n\n\n\n S\u00ed, lo recomendable es configurar SPF, DKIM y DMARC. Cada uno cumple una funci\u00f3n diferente y juntos ofrecen una autenticaci\u00f3n m\u00e1s completa.<\/p>\n\n\n\n
\u00bfPuedo tener m\u00e1s de un registro SPF?<\/h3>\n\n\n\n No es recomendable. Lo correcto es tener un \u00fanico registro SPF que incluya todos los servicios autorizados para enviar correos por tu dominio.<\/p>\n\n\n\n
\u00bfQu\u00e9 pol\u00edtica DMARC debo usar al principio?<\/h3>\n\n\n\n Lo m\u00e1s prudente suele ser empezar con:<\/p>\n\n\n\n
p=none<\/code><\/pre>\n\n\n\nAs\u00ed puedes monitorizar sin bloquear correos leg\u00edtimos. Despu\u00e9s, cuando todo est\u00e9 revisado, puedes avanzar a pol\u00edticas m\u00e1s estrictas.<\/p>\n\n\n\n
\u00bfCu\u00e1ndo conviene usar p=reject<\/code>?<\/h3>\n\n\n\nConviene usar p=reject<\/code> cuando ya has comprobado que todos los servicios leg\u00edtimos est\u00e1n correctamente autenticados con SPF y\/o DKIM. No es buena idea activarlo sin revisar antes.<\/p>\n\n\n\n\u00bfPor qu\u00e9 mis correos llegan a spam aunque tenga SPF?<\/h3>\n\n\n\n Porque SPF es solo una parte de la entregabilidad. Tambi\u00e9n influyen DKIM, DMARC, reputaci\u00f3n del dominio, IP de env\u00edo, contenido del mensaje, enlaces, historial de env\u00edos y comportamiento de los destinatarios.<\/p>\n\n\n\n
\u00bfD\u00f3nde se configuran SPF, DKIM y DMARC?<\/h3>\n\n\n\n Se configuran en la zona DNS del dominio. Puede ser desde cPanel, Cloudflare, el panel del hosting, el registrador del dominio o el proveedor DNS que est\u00e9s usando.<\/p>\n\n\n\n
\u00bfCu\u00e1nto tarda en propagarse un cambio DNS?<\/h3>\n\n\n\n Puede tardar desde unos minutos hasta varias horas. Depende del proveedor DNS, del TTL configurado y de la cach\u00e9 de los servidores.<\/p>\n\n\n\n
\u00bfSPF, DKIM y DMARC evitan todos los ataques de phishing?<\/h3>\n\n\n\n No evitan todos los ataques, pero reducen el riesgo de suplantaci\u00f3n directa del dominio y ayudan a los servidores receptores a detectar mensajes no autorizados.<\/p>\n\n\n\n
\u00bfDebo revisar SPF, DKIM y DMARC si uso WordPress?<\/h3>\n\n\n\n S\u00ed. Si WordPress env\u00eda correos mediante formularios, WooCommerce, plugins SMTP o notificaciones autom\u00e1ticas, conviene comprobar que esos env\u00edos est\u00e1n correctamente autenticados.<\/p>\n","protected":false},"excerpt":{"rendered":"
Durante mucho tiempo, muchas empresas han tratado el correo electr\u00f3nico como algo secundario: se crea una cuenta, se configura en Outlook, en Thunderbird o en el m\u00f3vil y listo. Mientras los mensajes entren y salgan, parece que todo est\u00e1 correcto. Pero, en mi opini\u00f3n, esa forma de verlo se ha quedado corta. Hoy el correo […]<\/p>\n","protected":false},"author":1,"featured_media":9371,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_aifi_custom_prompt":"","site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[952],"tags":[1228,524,1409],"class_list":["post-9370","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-guias","tag-correo-corporativo","tag-email","tag-spf"],"_links":{"self":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts\/9370","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/comments?post=9370"}],"version-history":[{"count":2,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts\/9370\/revisions"}],"predecessor-version":[{"id":9373,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts\/9370\/revisions\/9373"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/media\/9371"}],"wp:attachment":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/media?parent=9370"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/categories?post=9370"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/tags?post=9370"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}