Glosario

Qué son SPF / DKIM / DMARC: el trío que protege tu dominio del correo falsificado

SPF, DKIM y DMARC son tres ajustes de DNS que permiten a los receptores verificar si el correo de tu dominio es genuino. Sin ellos no frenas el phishing en tu nombre. El papel de cada uno y cómo configurarlos con seguridad (empieza DMARC en p=none).

Publicado 2026-06-08 Actualizado 2026-06-08 3 min de lectura

«Salen correos de phishing en nombre de tu dominio sin que lo sepas»: SPF / DKIM / DMARC frenan eso. Aquí tienes el papel de cada uno y cómo configurarlos con seguridad.

El papel de cada uno

Ajuste	Papel (en una línea)
SPF	Declara en DNS qué servidores pueden enviar por este dominio
DKIM	Añade una firma criptográfica que prueba que el correo está inalterado y proviene de una fuente legítima
DMARC	Declara qué hacer si SPF/DKIM fallan y recibe informes (la clave que une a los tres)

Cómo se verifica el correo

Los receptores (Gmail, etc.) comprueban SPF y DKIM en un mensaje entrante y luego aplican tu política DMARC para decidir «aceptar / poner en cuarentena / rechazar».

Correo entrante (en nombre de tu dominio)

↓ el receptor verifica

SPF: ¿está autorizado el servidor de envío?

DKIM: ¿es válida la firma, sin manipular?

↓ coteja los resultados con la política DMARC

DMARC: si falla → aceptar / poner en cuarentena / rechazar

El receptor comprueba SPF/DKIM y luego la política DMARC toma la decisión. Los tres deben encajar para funcionar.

Así que SPF y DKIM por sí solos pueden «comprobar pero no hacer nada»; solo con una política DMARC «frenan» de verdad la falsificación.

Cómo configurarlos con seguridad

Un único registro SPF correcto

Autoriza a todos los remitentes legítimos (los tuyos, servicios de correo, etc.). Mantén un registro SPF por dominio (varios registros tienden a romperlo).

Habilita la firma DKIM

Activa DKIM en tu plataforma de correo y publica la clave pública en DNS, para que el correo legítimo quede firmado.

Empieza DMARC en p=none

No rechaces de inmediato. Empieza con p=none (solo monitorizar) + informes para confirmar que el correo legítimo no se descarta.

Endurece gradualmente

Cuando los informes muestren que no se pierde ningún remitente legítimo, pasa a p=quarantine → p=reject, llegando finalmente a «la falsificación se rechaza».

La visión de este sitio: también estás protegiendo a tus usuarios

SPF/DKIM/DMARC no es solo que tu correo llegue: protege a tus usuarios del phishing que suplanta tu dominio. El phishing es, en última instancia, una entrada para robar credenciales y claves. Muchos dominios se quedan en SPF/DKIM y nunca suben DMARC a aplicación (reject). No te conformes con p=none: lee los informes y sube hasta reject para que tenga efecto.

Sigue leyendo

Fundamentos: Qué tiene de peligroso .env y las claves de API (proteger credenciales)
Glosario: Qué es .env

FAQ

Q¿Para qué sirven SPF / DKIM / DMARC?

Para que los receptores (Gmail, etc.) puedan verificar si el correo de tu dominio es genuino. Sin ellos, cualquiera puede enviar phishing falsificado en tu nombre sin control, y la reputación de tu dominio se resiente.

Q¿Cuál es la diferencia entre los tres?

SPF declara 'qué servidores pueden enviar por este dominio', DKIM es una 'firma criptográfica que prueba que no se manipuló', y DMARC es 'qué hacer si SPF/DKIM fallan, además de los informes'. DMARC ata SPF/DKIM juntos y les da capacidad real.

Q¿A qué debo prestar atención al configurar?

Autoriza a todos los remitentes legítimos (servicios de correo, etc.) antes de endurecer. Especialmente DMARC: saltar directamente a reject puede descartar correo legítimo, así que empieza en p=none (solo monitorizar), lee los informes y luego pasa a p=quarantine → p=reject.