Última actualización: julio de 2026

En resumen: SPF, DKIM y DMARC no son tres opciones entre las que elegir — son un solo sistema. SPF y DKIM son dos comprobaciones independientes que ejecuta el receptor; DMARC es la política que decide qué pasa cuando ambas fallan. Necesitas los tres, y DMARC se despliega gradualmente.

La gente pregunta a menudo «¿SPF o DKIM?» como si hubiera que elegir uno. Ese es el marco equivocado. Cada uno responde a una pregunta distinta, y DMARC solo funciona cuando los dos están en su sitio. Este es el reparto del trabajo.

Qué comprueba realmente cada uno

EstándarPregunta que respondeDónde vive¿Sobrevive al reenvío?
SPF¿El servidor emisor tiene permiso para enviar por este dominio?Registro TXT (v=spf1 …)No
DKIM¿El mensaje fue firmado por el dominio y llegó sin alterar?Clave pública en DNS + firma en las cabeceras
DMARC¿Qué hago si ambas comprobaciones fallan — y están alineados los dominios?Registro TXT (v=DMARC1 …)n/a — es la política

SPF comprueba el camino

SPF mira el servidor que entregó el mensaje y pregunta si aparece en la lista publicada del dominio. Está ligado a la conexión, así que se rompe en cuanto un mensaje se reenvía — el servidor que reenvía no está en tu registro. No es un bug que se pueda arreglar; es inherente a cómo funciona SPF, y es una gran razón de que exista DKIM.

DKIM comprueba el mensaje

DKIM ignora el camino por completo. El mensaje lleva una firma criptográfica; el receptor obtiene tu clave pública del DNS y la verifica. Si cuadra, el mensaje pasó de verdad por tu infraestructura y no fue manipulado. Como la firma viaja con el mensaje, DKIM sigue pasando incluso después de un reenvío.

DMARC comprueba la alineación y decide

Aquí viene la parte sutil. SPF y DKIM validan cada uno un dominio — pero no necesariamente el dominio que un humano ve en el campo «From». DMARC añade la alineación: exige que el dominio validado por SPF o DKIM coincida con el dominio From visible. Un mensaje pasa DMARC si al menos una de las comprobaciones SPF o DKIM pasa y se alinea. Después, tu política DMARC — p=none, p=quarantine o p=reject — decide el destino de todo lo que falla.

Por eso DMARC sin SPF y DKIM no tiene sentido: no hay nada que evaluar.

Por qué necesitas SPF y DKIM, no uno de los dos

Como fallan en situaciones distintas, se cubren mutuamente:

  • Un mensaje que envías directamente a un destinatario: SPF y DKIM pasan ambos.
  • Un mensaje que es reenviado: SPF se rompe, pero DKIM sobrevive — DMARC sigue pasando por la rama DKIM.
  • Una lista de correo que reescribe el mensaje: DKIM puede romperse, pero si reescribe el remitente del sobre, SPF puede sostener el aprobado.

Ejecutar solo uno deja a DMARC haciendo fallar correo legítimo justo en esos casos límite. Dos comprobaciones independientes significan que una puede fallar sin costarte la entrega.

La rampa hacia la aplicación

El mayor error es saltar directamente a p=reject. Hazlo a ciegas y rebotarás correo legítimo de una herramienta de newsletters o un CRM que habías olvidado. El camino seguro tiene tres etapas:

  1. p=none — observar. Publica DMARC en modo observación. No bloqueas nada, pero los receptores empiezan a enviarte informes agregados. Léelos durante unas semanas y construye la lista completa de todo lo que envía legítimamente en tu nombre.
  2. p=quarantine — aplicación suave. El correo que falla va al spam en vez de a la bandeja de entrada. Sigue mirando los informes. Arregla cualquier fuente legítima que aún falle — normalmente un include de SPF que falta o una firma DKIM nunca activada.
  3. p=reject — aplicación completa. El correo que falla se rechaza directamente. Esa es la meta: nadie puede suplantar tu dominio hasta una bandeja de entrada. Llega ahí solo cuando los informes estén limpios.

También puedes empezar quarantine y reject con una etiqueta de porcentaje para un despliegue gradual. El principio es el mismo: deja que los informes te digan cuándo es seguro apretar.

Dónde configurarlo

Los tres registros viven en tu DNS, así que los pasos exactos dependen de dónde estén tu DNS y tus buzones. Elige tu proveedor en las guías por proveedor — cada una recorre SPF, DKIM y DMARC para ese panel de control concreto. O empieza por el resumen de la pila completa si también quieres la capa de transporte (TLS, MTA-STS, DANE).

Verifica el resultado

El escáner MXAudit gratuito comprueba los tres a la vez: si tu registro SPF es sintácticamente válido y está dentro del límite de 10 lookups, si tus claves DKIM resuelven y en qué está fijada tu política DMARC. Es la forma más rápida de confirmar que los tres funcionan realmente juntos — no solo que existen.

Más información