Email Deliverability Checklist: MX, SPF, DKIM, and DMARC

Por qué es importante la entregabilidad del correo electrónico

La entregabilidad del correo electrónico mide con qué fiabilidad los mensajes enviados desde su dominio llegan a la bandeja de entrada de los destinatarios en lugar de a sus carpetas de spam, o directamente no llegan. No es solo una cuestión técnica. Cada notificación transaccional, propuesta comercial, factura y respuesta de soporte depende de ella. Cuando la entregabilidad falla, las operaciones empresariales se ralentizan, se pierde ingresos y se deterioran las relaciones con los clientes.

La buena noticia es que la gran mayoría de los problemas de entregabilidad son evitables mediante la configuración correcta de cuatro sistemas basados en DNS: registros MX, SPF, DKIM y DMARC. Esta lista de verificación recorre cada uno de ellos para que pueda comprobar que su configuración es sólida, identificar deficiencias y saber exactamente qué debe corregir.

Paso 1 - Registros MX

Los registros MX indican a internet qué servidores aceptan el correo entrante de su dominio. Sin ellos, nadie puede enviarle correo. Incluso si solo envía y nunca recibe correo desde un dominio, debería tener registros MX configurados, o bien un registro MX nulo explícito (0 .) para indicar que el dominio no acepta correo, lo que evita confusiones en el manejo de rebotes.

Compruebe lo siguiente para cada uno de sus dominios:

• Existe al menos un registro MX que apunta a un nombre de host válido y resoluble.
• El destino del registro MX es un registro A, no un CNAME (un CNAME como destino MX viola el RFC 2181 y provoca fallos impredecibles).
• Si existen varios registros MX, tienen valores de prioridad diferentes para controlar el orden de conmutación por error.
• El TTL del registro MX está configurado en un valor razonable: 3600 segundos (1 hora) es un valor predeterminado habitual que permite una propagación oportuna durante los cambios sin generar tráfico DNS excesivo.

Utilice el Comprobador MX de DMARCFlow para verificar sus registros MX con una consulta DNS en tiempo real y detectar automáticamente cualquiera de los problemas anteriores.

Paso 2 - Registro SPF

SPF (Sender Policy Framework) es un registro TXT en su DNS que enumera todas las direcciones IP y servicios autorizados para enviar correo electrónico en nombre de su dominio. Cuando un servidor receptor recibe un mensaje que dice provenir de su dominio, comprueba su registro SPF para verificar que la IP remitente figura en la lista aprobada. Si no es así, el mensaje falla SPF.

Lista de verificación de SPF:

• Existe exactamente un registro SPF como registro TXT en la raíz de su dominio (tener dos o más registros SPF provoca un error permanente: permerror).
• Se han incluido todos los servicios de envío de correo de este dominio: su servidor de correo, su plataforma de marketing, su CRM, su proveedor de correo transaccional y cualquier otro servicio que envíe correo con su dirección De.
• El registro permanece dentro del límite de 10 consultas DNS. Cada mecanismo include:, a, mx y ptr cuenta hacia este límite. Superar las 10 consultas provoca un permerror que hace fallar SPF para todos los destinatarios.
• El registro termina con ~all (softfail: tratar los remitentes no listados como sospechosos pero entregar el correo) o -all (fail: rechazar los remitentes no listados). Use -all una vez que esté seguro de que su registro está completo; ofrece una protección más sólida contra la suplantación de identidad.

Un ejemplo mínimo para un dominio que solo envía a través de Google Workspace:

v=spf1 include:_spf.google.com -all

Paso 3 - Firma DKIM

DKIM (DomainKeys Identified Mail) añade una firma criptográfica a cada mensaje saliente. El servidor receptor recupera su clave pública desde DNS y la utiliza para verificar la firma. Una firma válida demuestra que el mensaje fue enviado por una parte autorizada y que el contenido no fue modificado en tránsito.

Lista de verificación de DKIM:

• La firma DKIM está habilitada en su plataforma de correo (Google Workspace, Microsoft 365, su servicio de correo transaccional, etc.). La mayoría de los proveedores ofrecen una opción de activación con un solo clic en su consola de administración.
• Está utilizando una clave de 2048 bits. Las claves de 1024 bits se consideran débiles y algunos sistemas receptores importantes ya no confían en las firmas que las usan.
• El registro TXT DNS para su selector DKIM existe y contiene la clave pública correcta. El selector se especifica en la etiqueta s= del encabezado DKIM-Signature de su correo saliente, y el registro se encuentra en [selector]._domainkey.sudiominio.com.
• Para cada servicio de envío que admita DKIM, se configura y verifica una clave y un selector DKIM independientes. No comparta una única clave DKIM entre varios sistemas de envío no relacionados.

Paso 4 - Política DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance) vincula SPF y DKIM e indica a los servidores receptores qué hacer cuando un mensaje falla la autenticación. También genera informes para que pueda ver quién envía correo en nombre de su dominio.

Lista de verificación de DMARC:

• Existe un registro DMARC como registro TXT en _dmarc.sudiominio.com.
• La etiqueta rua= apunta a una dirección de correo electrónico (o un servicio como DMARCFlow) que recibirá informes XML agregados. Estos informes son esenciales para comprender el panorama de envíos y avanzar de forma segura entre las etapas de política.
• Ha progresado por las etapas de política en orden: comience con p=none (solo monitorización, sin aplicación), pase a p=quarantine (enviar los mensajes fallidos a spam) y finalmente avance a p=reject (bloquear directamente los mensajes fallidos) una vez que los informes confirmen que todo su correo legítimo supera la autenticación.
• Una política p=reject ofrece la protección más sólida contra la suplantación de identidad por correo electrónico y es requerida para la visualización del logotipo BIMI por parte de algunos proveedores de bandeja de entrada.

Un registro DMARC básico para comenzar la monitorización:

v=DMARC1; p=none; rua=mailto:dmarc-reports@sudiominio.com

Paso 5 - Comprobación de listas negras

Incluso un dominio perfectamente configurado puede acabar en una lista negra por una cuenta comprometida, una brecha de datos o un vecino en una IP compartida con comportamiento inadecuado. Aparecer en un DNSBL importante puede redirigir su correo directamente a las carpetas de spam o provocar su rechazo directo, saboteando silenciosamente todo el trabajo de autenticación realizado.

Compruebe regularmente su dominio de envío y sus direcciones IP de salida contra las principales listas negras utilizando el Comprobador de listas negras de DMARCFlow. Si encuentra una entrada, investigue la causa raíz, resuélvala y solicite la eliminación de cada lista donde aparezca.

Ejecutar todas las comprobaciones a la vez

Realizar las comprobaciones de MX, SPF, DKIM, DMARC y listas negras con una herramienta diferente para cada una lleva mucho tiempo. El Comprobador de entregabilidad de correo de DMARCFlow consolida todas estas verificaciones en una sola consulta. Introduzca su dominio y su IP de envío, y obtenga un informe completo de resultados que cubre todas las capas de su infraestructura de entregabilidad, con orientación concreta y accionable para cualquier problema encontrado.

Esto resulta especialmente útil al incorporar un nuevo dominio, migrar a un nuevo proveedor de correo o realizar una revisión periódica de salud para detectar desviaciones de configuración antes de que afecten a los usuarios.

Mantener la entregabilidad a lo largo del tiempo

Una configuración de entregabilidad saludable no es una tarea puntual: requiere atención continua a medida que su infraestructura y sus patrones de envío evolucionan:

• Rote las claves DKIM anualmente. Genere un nuevo par de claves de 2048 bits, publique la nueva clave pública en DNS bajo un nuevo selector, cambie su plataforma de correo para firmar con la nueva clave y elimine el selector antiguo del DNS después de unos días para permitir la entrega de los mensajes en tránsito firmados con la clave anterior.
• Actualice SPF al añadir nuevos servicios de envío. Cada vez que conecte una nueva herramienta de marketing, CRM o plataforma de automatización, compruebe si envía correo con su dominio en el encabezado De. Si es así, añada su mecanismo include de SPF al registro antes de habilitarlo. Omitir un solo servicio genera fallos de SPF para esos mensajes.
• Supervise los informes DMARC. Los informes agregados revelan nuevas fuentes de envío, configuraciones de reenvío que están rompiendo la alineación e intentos de suplantación de identidad. DMARCFlow analiza y visualiza automáticamente estos informes XML, lo que hace práctico revisarlos semanalmente en lugar de intentar interpretar archivos XML sin procesar.
• Compruebe el estado en listas negras tras cualquier incidente. Si experimenta un incidente de seguridad, un aumento repentino en las tasas de rebote o un informe de quejas de spam, ejecute inmediatamente una comprobación de listas negras para determinar si se han producido entradas como consecuencia.