SPF, DKIM y DMARC no son casillas de verificación que se configuran una sola vez y se olvidan. Son sistemas vivos — y cuando están mal configurados (que suele ser el caso), las consecuencias no son solo técnicas. Son operativas. Financieras. Y devastadoras para la reputación.

En DMARC Flow auditamos cientos de dominios. Y lo que encontramos es consistente:

Por qué eso es peligroso

  • Registros que existen — pero no funcionan
  • Políticas que se aplican — sin verificar nada primero
  • Empresas que asumen que están protegidas — cuando en realidad están completamente expuestas

Este artículo lo explica en detalle.

SPF: el registro que falla sin previo aviso

SPF (Sender Policy Framework) le indica al mundo quién tiene permiso para enviar correo en su nombre. Pero hay límites — y la mayoría de los equipos los superan sin saberlo:

  • ¿Más de 10 consultas DNS? Su registro SPF falla silenciosamente
  • ¿Múltiples registros SPF? Solo el primero cuenta — el resto se ignoran
  • ¿Servicios clave ausentes (como SendGrid, HubSpot o Mailchimp)? Su correo legítimo falla la autenticación

¿El resultado? La entregabilidad cae. Los puntajes de spam se disparan. Su dominio queda marcado sin que usted lo sepa.

DKIM: el saboteador silencioso

DKIM (DomainKeys Identified Mail) usa una clave privada para firmar los mensajes, demostrando que provienen de una fuente aprobada. Pero esto es lo que vemos constantemente:

  • Registros DKIM publicados, pero sin firma activa
  • Claves de 1024 bits cuando deberían ser de 2048
  • Dominios "From" que no coinciden con el dominio DKIM — rompiendo la alineación con DMARC
  • Múltiples selectores utilizados de forma inconsistente entre plataformas

A diferencia de SPF, los fallos de DKIM suelen ser invisibles. Hasta que intenta aplicar DMARC. Entonces su correo empieza a rebotar.

DMARC: la política que solo funciona cuando todo lo demás está bien

DMARC (Domain-based Message Authentication, Reporting, and Conformance) le permite controlar qué sucede cuando SPF o DKIM fallan. Pero DMARC asume que usted ha configurado todo correctamente. ¿Si no es así?

  • ¿Una política DMARC establecida en reject con DKIM roto? Su correo no pasará
  • ¿Una política establecida en none sin dirección de informes? Nunca sabrá qué está fallando
  • ¿SPF y DKIM desalineados? La aplicación de DMARC falla aunque los registros existan

Vemos equipos que aplican las políticas demasiado pronto, sin comprobar sus flujos de correo reales. El resultado es a menudo un colapso silencioso en la entregabilidad — los boletines van a la carpeta de no deseados, el correo de alcance queda bloqueado, las facturas desaparecen.

Cómo hacerlo bien: una estrategia de configuración real

  1. Audite SPF, DKIM y DMARC — compruebe la sintaxis, la alineación y el número de consultas DNS
  2. Enumere cada servicio de envío — no solo su ESP, sino también CRM, facturación, automatización y herramientas de soporte
  3. Envíe correos de prueba y valídelos con herramientas como MXToolbox o MailTester
  4. Empiece con p=none para DMARC — recopile informes, interprételos y encuentre desalineaciones
  5. Corrija todos los fallos antes de avanzar
  6. Escale la aplicación — primero a quarantine, luego a reject
  7. Monitorice de forma continua — las amenazas a los dominios evolucionan, y también sus sistemas de envío

La seguridad no es un interruptor. Es un sistema.

Por qué construimos DMARC Flow

La mayoría de las plataformas de seguridad del correo le dejan en un panel y le piden que se las arregle solo. En DMARC Flow adoptamos un enfoque diferente:

  • Configuramos SPF, DKIM y DMARC correctamente desde el primer día
  • Monitorizamos su dominio en tiempo real
  • Traducimos los informes en acciones sencillas
  • Le guiamos desde la monitorización hasta la protección total
  • Y lo hacemos todo sin sistemas de tickets, paneles complicados ni alertas vagas

Creemos que la protección debe ser proactiva, humana y fiable — no confusa y reactiva.

Reflexión final: ¿está protegido o simplemente lo espera?

Si nunca ha revisado sus registros de autenticación de correo en detalle — hay una alta probabilidad de que algo esté mal. Y si su política está establecida en none, sigue estando completamente expuesto a la suplantación, el phishing y el daño a la reputación.

¿Quiere saberlo con certeza? Analice su dominio ahora — es gratuito. Le diremos exactamente qué funciona, qué no, y cómo solucionarlo. Porque en el correo electrónico, la confianza es su moneda. Y una vez que la pierde — recuperarla es muy costoso.

Compruebe su dominio ahora
Análisis instantáneo gratuito de problemas DMARC/SPF/DKIM.
Análisis gratuito