Última actualización: julio de 2026
En resumen: los tres estándares fundamentales —SPF, DKIM y DMARC— constituyen la base de la autenticación de correo moderna. Nuestra comparativa técnica de los 25 proveedores de la matriz revela que, mientras el hosting compartido suele preactivar SPF o incluir asistentes sencillos y generación de claves DKIM en 1 clic, los servicios DNS puros requieren la entrada manual de cada registro. Abajo encontrarás la tabla completa con los métodos exactos de activación y enlaces a las guías para todos los 25 proveedores.
Antes de que tus correos atraviesen la capa de transporte (MTA-STS y DANE), los servidores de recepción comprueban que el remitente es auténtico. Esa verificación se basa en tres mecanismos clave explicados en SPF, DKIM y DMARC explicados:
- SPF (Sender Policy Framework): Define mediante un registro TXT en el DNS qué direcciones IP y qué servidores tienen permiso para enviar correos en nombre de tu dominio.
- DKIM (DomainKeys Identified Mail): Firma criptográficamente (
1024 o 2048 bits) los mensajes salientes para que los destinatarios verifiquen que el contenido no fue manipulado en el trayecto. - DMARC (Domain-based Message Authentication): Unifica SPF y DKIM e indica a los servidores receptores mediante una política DNS qué hacer con los correos no autenticados (
none,quarantineoreject).
La facilidad para desplegar estos estándares —ya sea mediante preactivación automática, asistentes o configuración manual— varía de forma considerable según el proveedor.
Tabla completa: configuración SPF, DKIM y DMARC en los 25 proveedores
La tabla siguiente muestra cómo gestionan la configuración de SPF, DKIM y DMARC los 25 proveedores de nuestra matriz técnica, junto con enlaces directos a sus guías paso a paso.
| Proveedor | Configuración SPF | Método de activación DKIM | Configuración DMARC | Guías y acceso |
|---|---|---|---|---|
| All-Inkl | Asistente TXT / Manual en el KAS | Activación en 1 clic en el panel KAS (generar clave) | Registro TXT en el DNS del KAS | SPF · DKIM · DMARC |
| checkdomain | Asistente TXT en el Domain Center | Generar clave en el panel de correo | Registro TXT en el editor DNS | SPF · DKIM · DMARC |
| domainfactory | Plantilla / Manual en el editor DNS | Activación en 1 clic en el menú de correo | Registro TXT en el editor DNS | SPF · DKIM · DMARC |
| Google Workspace | Manual (include:_spf.google.com) | Generar clave TXT en la Consola de Administración | Registro TXT tras verificar la alineación | SPF · DKIM · DMARC |
| Hetzner DNS | Manual por TXT (acceso DNS total) | Manual (publicar el CNAME/TXT del proveedor de correo) | Registro TXT manual en la consola CCP | SPF · DKIM · DMARC |
| IONOS | Preactivado (o TXT manual) | Interruptor en 1 clic bajo ajustes de correo | Registro TXT en la gestión de dominios | SPF · DKIM · DMARC |
| Mailcow | Generado automáticamente en la interfaz | Generado automáticamente (RSA/Ed25519) | Propuesta automática en la interfaz | SPF · DKIM · DMARC |
| Microsoft 365 | Manual (include:spf.protection.outlook.com) | Generar 2 registros CNAME en Microsoft Defender | Registro TXT tras la publicación CNAME | SPF · DKIM · DMARC |
| Netcup | Asistente / Manual en el CCP | Generar clave en ajustes de correo del CCP | Registro TXT en el editor DNS del CCP | SPF · DKIM · DMARC |
| Strato | Interruptor en el menú DNS / plantilla | Activación automática o en 1 clic | Registro TXT bajo gestión de dominios | SPF · DKIM · DMARC |
| united-domains | Asistente TXT / registro DNS | Crear clave en la sección de correo | Registro TXT en el porfolio de dominios | SPF · DKIM · DMARC |
| Cloudflare | Manual por TXT (sin modo proxy) | Publicación manual CNAME/TXT | Registro TXT en el panel DNS | SPF · DKIM · DMARC |
| Amazon Route 53 | Manual por TXT en la Hosted Zone | Entrada manual CNAME/TXT | Registro TXT en la zona de Route 53 | SPF · DKIM · DMARC |
| Gandi | Plantilla SPF estándar / LiveDNS | Generar clave DKIM en la pestaña Correo | Añadir registro TXT en LiveDNS | SPF · DKIM · DMARC |
| OVHcloud | Asistente (MX Plan / Email Pro) | Automático o 1 clic en el área de cliente | Añadir registro TXT en la zona DNS | SPF · DKIM · DMARC |
| GoDaddy | Asistente / Manual en el Administrador DNS | CNAME/TXT (según plan Microsoft 365 o cPanel) | Registro TXT en la gestión DNS | SPF · DKIM · DMARC |
| o2switch | Plantilla / cPanel Zone Editor | Activación en 1 clic mediante cPanel (Email Deliverability) | Añadir registro TXT en cPanel | Resumen de proveedores |
| LWS | Plantilla en el panel LWS | Activación en 1 clic en el área de correo LWS | Registro TXT en el gestor DNS LWS | Resumen de proveedores |
| Infomaniak | Preactivado / Infomaniak Manager | Activación en 1 clic en Seguridad de Correo | Añadir registro TXT en la zona DNS | Resumen de proveedores |
| DonDominio | Asistente TXT / Panel de Control | Generación en Gestión de Correo | Añadir registro TXT en la Zona DNS | SPF · DKIM · DMARC |
| Dinahosting | Asistente en el Panel de Gestión | Activación en 1 clic bajo Seguridad de Correo | Registro TXT en el editor DNS | SPF · DKIM · DMARC |
| cdmon | Asistente en el Panel de Gestión | Generación en la sección Correo | Registro TXT en el DNS de cdmon | SPF · DKIM · DMARC |
| Raiola Networks | cPanel Zone Editor / plantilla | Activación en 1 clic en cPanel Email Deliverability | Añadir registro TXT mediante cPanel | SPF · DKIM · DMARC |
| Hostinger | Plantilla / zona DNS de hPanel | Activación en 1 clic bajo Cuentas de Correo en hPanel | Añadir registro TXT en hPanel | Resumen de proveedores |
| webgo | Plantilla TXT / Portal de cliente | Activación en 1 clic en Ajustes de Correo | Registro TXT en el editor DNS | Resumen de proveedores |
Análisis técnico por categoría de proveedores
1. Proveedores de hosting compartido
Para los proveedores que gestionan tanto el DNS como el alojamiento de buzones de correo (IONOS, Strato, Netcup, All-Inkl, domainfactory, united-domains, checkdomain, Hostinger, webgo, o2switch, LWS, Infomaniak, DonDominio, Dinahosting, cdmon, Raiola Networks), el objetivo principal es facilitar la configuración:
- Automatización de SPF: En IONOS, SPF está activado por defecto en todos los dominios con buzón de correo. Strato y All-Inkl proporcionan asistentes intuitivos o interruptores que añaden automáticamente los bloques de direcciones IP requeridos (
include:...). - Rutas de activación de DKIM: En entornos basados en cPanel (como o2switch o Raiola Networks), basta acceder a “Email Deliverability” para generar una clave
2048 bitsy publicarla en la zona DNS con 1 solo clic. En Netcup, All-Inkl o Infomaniak, la clave se activa en segundos desde el panel de gestión de correo. - Integración de DMARC: Al requerir DMARC una alineación exacta entre SPF y DKIM (
Alignment), este registro siempre se añade manualmente o mediante plantilla como registro TXT (_dmarc.tudominio.es) una vez que SPF y DKIM están activos y propagados.
2. Especialistas en DNS puro
Cuando tu dominio es administrado por un proveedor exclusivo de DNS (Hetzner DNS, Cloudflare, Amazon Route 53) pero tus buzones están alojados en otro servicio externo, posees control total sobre la zona, aunque debes realizar cada configuración a mano:
- Sin plantillas automáticas: El proveedor DNS no puede saber de antemano qué servicio de correo empleas, por lo que debes introducir manualmente el registro TXT de SPF facilitado por tu host de correo.
- Publicación de claves DKIM: Debes generar las claves DKIM o los selectores CNAME desde la consola de tu proveedor de correo y copiarlos con precisión en el panel DNS de Hetzner, Cloudflare (recordando desactivar el proxy y mantener en modo “DNS only”) o Route 53.
3. Suites empresariales en la nube: Microsoft 365 y Google Workspace
Las dos grandes suites en la nube para empresas exigen un proceso de configuración coordinado en dos interfaces independientes:
- Microsoft 365: Añades el mecanismo SPF estándar (
include:spf.protection.outlook.com) en tu zona DNS. Para DKIM, generas dos registros CNAME (selector1yselector2) dentro de Microsoft 365 Defender, los publicas en tu panel DNS, y activas la firma criptográfica en el portal de Microsoft tras la propagación. - Google Workspace: Publicas
include:_spf.google.compara SPF. Para DKIM, generas una clave TXT (google._domainkey) en la Consola de Administración de Google. Tras publicarla en el DNS y comprobar su disponibilidad, activas la firma de mensajes en la consola.
4. Servidores autoalojados: Mailcow
Al utilizar Mailcow, dispones del máximo nivel de automatización para administradores: Mailcow calcula y muestra exactamente en su interfaz web cómo deben ser los registros SPF, DKIM, DMARC, además de los de DANE y MTA-STS, para tu dominio. Solo necesitas copiar y pegar esos valores exactos en tu zona DNS pública.
Verifica tu configuración con MXAudit
Después de realizar cambios en tu zona DNS o en el panel de control de tu proveedor, verifica siempre tu configuración de autenticación con el escaner gratuito MXAudit. Esta herramienta ejecuta una inspección en tiempo real de tu zona DNS, valida la sintaxis de tu registro SPF, comprueba la accesibilidad de tu clave pública DKIM y confirma que tu política DMARC se aplica sin errores ni problemas de alineación.
Más información
- RFC 7208 — Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1 (consultado el 17 de julio de 2026)
- RFC 6376 — DomainKeys Identified Mail (DKIM) Signatures (consultado el 17 de julio de 2026)
- RFC 7489 — Domain-based Message Authentication, Reporting, and Conformance (DMARC) (consultado el 17 de julio de 2026)
- SPF, DKIM y DMARC explicados — Guía completa sobre cómo interactúan los tres mecanismos básicos
- Guías de seguridad de correo por proveedor — Resumen de los 25 proveedores y guías paso a paso