Ir al contenido

SPF, DKIM y DMARC

Los tres protocolos de autenticación de email (SPF, DKIM y DMARC) le dicen a los servidores receptores que tus correos son legítimos. Sin ellos, Gmail, Outlook y Yahoo pueden enviarlos a spam o rechazarlos directamente.


SPF (Sender Policy Framework) lista los servidores autorizados a enviar correo desde tu dominio. Los servidores receptores verifican que el IP del remitente esté en esa lista.

Agrega (o modifica) el TXT record en la raíz de tu dominio:

_Nombre_: tuempresa.com (o @)
_Tipo_: TXT
_Valor_: v=spf1 include:mailerdash.com ~all

Si ya tienes un SPF existente (por ejemplo de Google Workspace o otro proveedor), no crees un segundo TXT — agrega el include al registro existente:

v=spf1 include:_spf.google.com include:mailerdash.com ~all

DKIM (DomainKeys Identified Mail) firma cada correo con una clave privada. El servidor receptor verifica la firma usando la clave pública publicada en tu DNS.

Delegación por CNAME (un solo paso, para siempre)

Sección titulada «Delegación por CNAME (un solo paso, para siempre)»

MailerDash usa CNAME delegation: tú publicas un CNAME una sola vez y la plataforma rota la llave interna sin que tengas que tocar tu DNS nunca más.

_Nombre_: <selector>._domainkey.tuempresa.com
_Tipo_: CNAME
_Valor_: <el valor CNAME exacto que te da el dashboard>

Cuando verificas tu dominio, el dashboard te indica el selector exacto y el valor del CNAME. Publica ese record una vez y listo — las rotaciones de clave son transparentes para ti.


DMARC (Domain-based Message Authentication, Reporting and Conformance) define qué debe hacer el servidor receptor cuando un correo falla SPF o DKIM, y te manda reportes de uso.

_Nombre_: _dmarc.tuempresa.com
_Tipo_: TXT
_Valor_: v=DMARC1; p=none; rua=mailto:dmarc-reports@tuempresa.com
CampoDescripción
p=noneMonitoreo sin acción — los correos que fallen igual llegan. Ideal para empezar.
p=quarantineCorreos que fallen van a spam. Actívalo cuando tengas confianza en tu configuración.
p=rejectCorreos que fallen se rechazan. Máxima protección, actívalo después de verificar reportes.
rua=mailto:...Dirección donde recibirás reportes XML diarios de los servidores receptores.
  1. Semana 1–2: publica p=none con rua para recibir reportes sin impacto.
  2. Semana 3–4: revisa los reportes, confirma que tus correos legítimos pasan SPF y DKIM.
  3. Mes 2: sube a p=quarantine.
  4. Mes 3+: sube a p=reject si los reportes muestran alineación correcta.

Una vez publicados los records, puedes verificar con herramientas online:

  • MXToolbox (mxtoolbox.com) — lookup SPF, DKIM y DMARC
  • mail-tester.com — envía un correo de prueba y recibes un score de configuración
  • Google Postmaster Tools — monitoreo de reputación de dominio para tráfico a Gmail

RecordNombre DNSTipoValor
SPFtuempresa.comTXTv=spf1 include:mailerdash.com ~all
DKIM<selector>._domainkey.tuempresa.comCNAMEel destino exacto que te da el dashboard
DMARC_dmarc.tuempresa.comTXTv=DMARC1; p=none; rua=mailto:...

El selector y el CNAME exactos los obtienes en el dashboard al verificar tu dominio, o consultando GET /v1/domains.


Siguiente paso: Verificar tu dominio para completar el alta en la plataforma.

Referencia API: Plataforma — Dominios