SPF, DKIM y DMARC — autenticación DNS de correo
spf dkim dmarc dns · registros autenticacion correo · comprobar registro spf · registro txt dmarc
Cómo trabajan juntos los registros TXT SPF, DKIM y DMARC, cadenas de ejemplo, alineación básica y verificación de autenticación de correo con DNS Checker.
Por DN01 Network Team
La entregabilidad moderna depende de tres estándares basados en TXT: SPF lista quién puede enviar correo por su dominio, DKIM firma mensajes criptográficamente y DMARC indica a los receptores cómo tratar fallos y dónde enviar informes agregados.
Publique los tres tras incorporar Google Workspace, Microsoft 365 o cualquier relé SMTP. Verifique valores en vivo con el DNS Checker y monitorice reputación con el Blacklist Checker si el correo masivo empieza a diferirse.
SPF (Sender Policy Framework)
SPF TXT en el apex suele verse como `v=spf1 include:_spf.google.com ~all`. Los mecanismos incluyen ip4, include, a, mx y calificador all. Fallo duro (-all) es más estricto que fallo suave (~all).
Solo un TXT SPF por nombre. Fusione includes en lugar de añadir un segundo registro. RFC 7208 documenta sintaxis y límites (10 consultas DNS durante la evaluación SPF).
DKIM (DomainKeys Identified Mail)
DKIM publica una clave pública en TXT en `selector._domainkey.example.com`. El selector viene de su proveedor de correo. Las claves rotan — actualice DNS cuando el panel genere un selector nuevo.
La alineación significa que el dominio firmante coincide con el dominio del encabezado From (estricta) o el dominio organizacional (relajada). DKIM desalineado aún verifica criptográficamente pero puede no satisfacer DMARC.
DMARC (Domain-based Message Authentication)
DMARC vive en `_dmarc.example.com` como `v=DMARC1; p=none|quarantine|reject; rua=mailto:[email protected]`. Empiece con p=none para recopilar informes y luego endurezca la política.
DMARC solo pasa cuando SPF o DKIM se alinean con el dominio From y al menos uno pasa. Arreglar DMARC sin SPF/DKIM es imposible — configure primero la autenticación.
Lista de verificación
Consulte TXT en apex para SPF, TXT del selector para DKIM y `_dmarc` para política. Envíe un mensaje de prueba a un buzón que muestre cabeceras Authentication-Results. Vuelva a comprobar tras el TTL al rotar claves.
Use DIG con tipo TXT si necesita respuestas multi-cadena en bruto para adjuntos en tickets.
| Estándar | Ubicación | Fragmento de ejemplo |
|---|---|---|
| SPF | example.com TXT | v=spf1 include:send.example.net -all |
| DKIM | s1._domainkey.example.com TXT | v=DKIM1; k=rsa; p=MIGfMA0G... |
| DMARC | _dmarc.example.com TXT | v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected] |
Preguntas frecuentes
- ¿Pueden fallar SPF y DKIM y el correo seguir entregándose?
Sí — los receptores pueden aceptar con puntuación de spam. La política DMARC determina si los fallos causan cuarentena o rechazo.
- ¿Cuántos includes SPF son demasiados?
Más de diez consultas DNS durante la evaluación SPF rompe SPF según la especificación. Aplane includes o use macros SPF con cuidado.
- ¿Necesito DMARC desde el primer día?
Publique p=none con informes primero. Pase a quarantine/reject cuando SPF y DKIM se alineen de forma fiable.
- ¿Dónde encaja BIMI?
BIMI es branding opcional sobre DMARC con p=quarantine o reject y un certificado de marca verificado — fuera del alcance de la configuración básica.