Por qué tus correos caen en spam: SPF, DKIM y DMARC explicados

Por qué tus correos caen en spam: SPF, DKIM y DMARC
Contenido del artículo

No solo vendemos licencias

Implementamos la configuración técnica completa de tu dominio. Agencia Google Partner.

Ver planes y precios →

El portero invisible


Cada vez que envías un correo, ocurre algo que no ves. Antes de entregarlo, el servidor del destinatario hace una pregunta silenciosa: "¿esta persona es realmente quien dice ser?"

Y esa pregunta no es paranoia. Cualquiera puede escribir un correo poniendo tu dirección en el remitente. El protocolo de correo original, diseñado hace décadas, no verificaba nada. Por eso existen los sistemas de autenticación de dominio: SPF, DKIM y DMARC.

Si tu dominio no los tiene configurados, el servidor receptor no puede confirmar que tus mensajes son legítimos. Y ante la duda, no los rechaza: los manda a spam. Ahí es donde tus cotizaciones dejan de leerse.

Lo peor de este problema es que no genera ningún aviso. Tu correo dice "enviado". No hay error, no hay rebote. Simplemente del otro lado nadie lo ve. Y tú asumes que al cliente no le interesó.


SPF: quién puede enviar en tu nombre


SPF (Sender Policy Framework) es la primera capa, y la más sencilla de entender.

Es un registro que publicas en el DNS de tu dominio y que dice, básicamente: "los únicos servidores autorizados a enviar correo en mi nombre son estos". Una lista blanca pública.

Piénsalo como el registro de visitas de un edificio. Cuando llega un mensaje que dice venir de tu dominio, el servidor receptor consulta la lista. Si el remitente está autorizado, sigue adelante. Si no aparece, enciende una alerta.

Aquí surge el descuido más común de las empresas: olvidar declarar todos los sistemas que envían correo. Tu plataforma de correo es uno, sí. Pero también tu web cuando envía formularios, tu sistema de facturación cuando despacha comprobantes, tu plataforma de email marketing. Si alguno no está en el SPF, sus mensajes quedan bajo sospecha.


DKIM: la firma que nadie puede falsificar


SPF verifica desde dónde salió el correo. Pero no dice nada sobre el mensaje en sí. Ahí entra DKIM (DomainKeys Identified Mail).

DKIM añade una firma digital criptográfica a cada correo que envías. El servidor receptor toma esa firma, la contrasta con una clave pública que tú publicaste en tu DNS, y confirma dos cosas de una sola vez:

  • Autenticidad: el mensaje salió realmente de tu dominio, no de alguien que se hace pasar por ti.
  • Integridad: el contenido no fue alterado en el trayecto entre tu servidor y el destinatario.

Es la diferencia entre una carta con remitente escrito a mano (SPF) y una carta con un sello lacrado que solo tú puedes hacer (DKIM). Ambas cosas suman, pero la segunda es mucho más difícil de imitar.


DMARC: la política que decide qué hacer


Ya tienes dos verificaciones. Pero falta algo importante: ¿qué debe hacer el servidor receptor cuando un correo no las supera?

Sin instrucciones, cada servidor decide por su cuenta. Gmail hará una cosa, Outlook otra, y el servidor corporativo de tu cliente una tercera. El resultado es impredecible.

DMARC (Domain-based Message Authentication, Reporting and Conformance) es la política que zanja esa decisión. Tú publicas la instrucción y todos la obedecen:

Política: ninguna

Entrega el mensaje igual, pero envíame un informe. Se usa al inicio, para observar sin bloquear nada.

Política: cuarentena

Si no supera las verificaciones, mándalo a spam. Un punto intermedio de protección.

Política: rechazo

Si no supera las verificaciones, no lo entregues. La protección máxima contra la suplantación de tu dominio.

Los informes

DMARC te envía reportes de quién está enviando correo en nombre de tu dominio. Así detectas suplantaciones.

DMARC mal configurado es peor que no tenerlo. Si activas la política de rechazo sin haber declarado antes todos tus sistemas de envío en SPF y DKIM, tus propios correos legítimos empezarán a rebotar. Por eso siempre se implementa de forma progresiva: primero observar, luego cuarentena, después rechazo.


Los tres trabajando juntos


Cada uno responde una pregunta distinta. Juntos forman la cadena completa de confianza:

Registro Qué responde
SPF ¿Este servidor está autorizado a enviar por este dominio?
DKIM ¿El mensaje salió de este dominio y llegó sin alterarse?
DMARC Si algo falla, ¿qué hago con este mensaje?
Los tres Base técnica de confianza que los filtros de spam exigen

Tener solo SPF es una casa con la puerta cerrada pero las ventanas abiertas. Tener los tres, correctamente configurados, es lo que los proveedores de correo esperan de un dominio serio en 2026.


Otras causas del spam (que no son técnicas)


La autenticación del dominio elimina las causas técnicas. Pero hay otras dos que conviene conocer, porque ninguna configuración las resuelve:

1
La reputación de la IP
Si envías desde un servidor cuya dirección IP está asociada a envíos masivos o abusivos, tus correos heredan esa desconfianza. Es un argumento de peso para no compartir infraestructura de envío con desconocidos.
2
La reputación del dominio
Se construye con el tiempo: cuántas personas abren tus correos, cuántas los marcan como spam, cuántas direcciones inexistentes contactas. Un dominio nuevo empieza sin historial y debe ganárselo.
3
El contenido del mensaje
Asuntos con exceso de mayúsculas o signos de exclamación, enlaces acortados, adjuntos sospechosos o correos que son solo una imagen sin texto activan los filtros heurísticos.
4
El comportamiento de envío
Pasar de enviar veinte correos diarios a mil de golpe es una señal de alarma. Los volúmenes crecen de forma gradual o levantan sospechas.

Cómo saber si tu dominio los tiene bien


El diagnóstico más rápido no requiere herramientas: envía un correo a una cuenta de Gmail, otra de Outlook y otra de Yahoo que no sean tuyas. Revisa en cuál cae en spam. Si cae en dos o más, el problema es de dominio, no de contenido.

Después, hay una diferencia importante que conviene entender:

Comprar licencias
  • Recibes las cuentas creadas y las credenciales
  • El dominio queda sin registros de autenticación
  • Tus correos salen, pero sin verificación
  • Los filtros deciden sin información sobre ti
Implementación técnica
  • Se configuran SPF, DKIM y DMARC en tu DNS
  • Se declaran todos tus sistemas de envío
  • DMARC se aplica de forma progresiva y verificada
  • Se comprueba la entrega en los principales proveedores

Esa distinción es la que separa un servicio de otro. Cualquiera puede venderte licencias de correo. La configuración técnica del dominio es lo que hace que esas licencias sirvan de algo.

Y si estás evaluando cambiar de plataforma, revisa correo de hosting o Google Workspace para entender cuál necesitas, y cómo migrar sin perder nada para saber qué esperar del proceso.


No solo vendemos licencias. Vendemos entregabilidad.

Configuramos SPF, DKIM y DMARC en el DNS de tu dominio, declaramos todos tus sistemas de envío y verificamos la entrega en los principales proveedores de correo. Como Agencia Google Partner, con soporte local y factura peruana.

Ninguna configuración garantiza la entrega absoluta, porque la decisión final la toma el servidor receptor. Lo que sí hacemos es eliminar las causas técnicas del rechazo y darle a tu dominio la base de confianza que los filtros exigen.

Ver planes y precios →

* Asesoría técnica sin costo. Respuesta en 24 h.

Aceleremos tus resultados hoy

¿Quieres que revisemos tu caso? Agenda una asesoría de 25 min y te mostramos por dónde empezar.

+351

Sitios Web Optimizados

Estructuras de alta conversión diseñadas para el mercado peruano.

+972

Campañas Gestionadas

Optimización de pauta en Google y Meta enfocada en ROAS.

17

Años de Trayectoria

Agencia certificada impulsando negocios reales con resultados medibles.


Revisamos tu web, campañas actuales y oportunidades rápidas de mejora.
Diagnóstico inicial sin costo. Cupos limitados por mes.

Resolvemos tus dudas

Preguntas frecuentes sobre entregabilidad de correo

Las causas más frecuentes son tres. La primera es que tu dominio no tiene configurados los registros de autenticación (SPF, DKIM y DMARC), por lo que los servidores receptores no pueden verificar que tus mensajes son legítimos. La segunda es la reputación del servidor de envío: si la dirección IP desde la que sales está asociada a envíos masivos o abusivos, tus correos heredan esa desconfianza. La tercera tiene que ver con el contenido y el comportamiento del envío: asuntos engañosos, enlaces sospechosos o volúmenes inusuales activan los filtros.

SPF (Sender Policy Framework) es un registro que se publica en el DNS de tu dominio y declara qué servidores están autorizados a enviar correo en tu nombre. Cuando un servidor recibe un mensaje que dice venir de tu dominio, consulta ese registro y verifica si el servidor emisor está en la lista. Si no lo está, el mensaje se considera sospechoso. Es la primera capa de verificación y la más básica.

DKIM (DomainKeys Identified Mail) añade una firma digital a cada correo que envías. El servidor receptor usa una clave pública publicada en tu DNS para verificar esa firma y confirmar dos cosas: que el mensaje salió realmente de tu dominio y que no fue alterado en el camino. Mientras SPF valida desde qué servidor se envió, DKIM valida la integridad del mensaje en sí. Se complementan.

DMARC (Domain-based Message Authentication, Reporting and Conformance) es la política que le indica al servidor receptor qué hacer cuando un correo no supera las verificaciones de SPF o DKIM: aceptarlo igual, enviarlo a spam o rechazarlo por completo. Además genera informes sobre quién está enviando correo en nombre de tu dominio, lo que permite detectar suplantaciones. Sin DMARC, cada servidor decide por su cuenta qué hacer con los mensajes dudosos.

No existe garantía absoluta de entrega, porque la decisión final la toma el servidor receptor evaluando múltiples señales: reputación del dominio y de la IP, contenido del mensaje, historial de envíos y comportamiento de los destinatarios. Lo que sí hace una configuración correcta de SPF, DKIM y DMARC es eliminar las causas técnicas de rechazo y darle a tu dominio la base de confianza que los filtros exigen. Sin esa configuración, la probabilidad de caer en spam aumenta de forma significativa.