El portero invisible
Cada vez que envías un correo, ocurre algo que no ves. Antes de entregarlo, el servidor del destinatario hace una pregunta silenciosa: "¿esta persona es realmente quien dice ser?"
Y esa pregunta no es paranoia. Cualquiera puede escribir un correo poniendo tu dirección en el remitente. El protocolo de correo original, diseñado hace décadas, no verificaba nada. Por eso existen los sistemas de autenticación de dominio: SPF, DKIM y DMARC.
Si tu dominio no los tiene configurados, el servidor receptor no puede confirmar que tus mensajes son legítimos. Y ante la duda, no los rechaza: los manda a spam. Ahí es donde tus cotizaciones dejan de leerse.
Lo peor de este problema es que no genera ningún aviso. Tu correo dice "enviado". No hay error, no hay rebote. Simplemente del otro lado nadie lo ve. Y tú asumes que al cliente no le interesó.
SPF: quién puede enviar en tu nombre
SPF (Sender Policy Framework) es la primera capa, y la más sencilla de entender.
Es un registro que publicas en el DNS de tu dominio y que dice, básicamente: "los únicos servidores autorizados a enviar correo en mi nombre son estos". Una lista blanca pública.
Piénsalo como el registro de visitas de un edificio. Cuando llega un mensaje que dice venir de tu dominio, el servidor receptor consulta la lista. Si el remitente está autorizado, sigue adelante. Si no aparece, enciende una alerta.
Aquí surge el descuido más común de las empresas: olvidar declarar todos los sistemas que envían correo. Tu plataforma de correo es uno, sí. Pero también tu web cuando envía formularios, tu sistema de facturación cuando despacha comprobantes, tu plataforma de email marketing. Si alguno no está en el SPF, sus mensajes quedan bajo sospecha.
DKIM: la firma que nadie puede falsificar
SPF verifica desde dónde salió el correo. Pero no dice nada sobre el mensaje en sí. Ahí entra DKIM (DomainKeys Identified Mail).
DKIM añade una firma digital criptográfica a cada correo que envías. El servidor receptor toma esa firma, la contrasta con una clave pública que tú publicaste en tu DNS, y confirma dos cosas de una sola vez:
- Autenticidad: el mensaje salió realmente de tu dominio, no de alguien que se hace pasar por ti.
- Integridad: el contenido no fue alterado en el trayecto entre tu servidor y el destinatario.
Es la diferencia entre una carta con remitente escrito a mano (SPF) y una carta con un sello lacrado que solo tú puedes hacer (DKIM). Ambas cosas suman, pero la segunda es mucho más difícil de imitar.
DMARC: la política que decide qué hacer
Ya tienes dos verificaciones. Pero falta algo importante: ¿qué debe hacer el servidor receptor cuando un correo no las supera?
Sin instrucciones, cada servidor decide por su cuenta. Gmail hará una cosa, Outlook otra, y el servidor corporativo de tu cliente una tercera. El resultado es impredecible.
DMARC (Domain-based Message Authentication, Reporting and Conformance) es la política que zanja esa decisión. Tú publicas la instrucción y todos la obedecen:
Política: ninguna
Entrega el mensaje igual, pero envíame un informe. Se usa al inicio, para observar sin bloquear nada.
Política: cuarentena
Si no supera las verificaciones, mándalo a spam. Un punto intermedio de protección.
Política: rechazo
Si no supera las verificaciones, no lo entregues. La protección máxima contra la suplantación de tu dominio.
Los informes
DMARC te envía reportes de quién está enviando correo en nombre de tu dominio. Así detectas suplantaciones.
DMARC mal configurado es peor que no tenerlo. Si activas la política de rechazo sin haber declarado antes todos tus sistemas de envío en SPF y DKIM, tus propios correos legítimos empezarán a rebotar. Por eso siempre se implementa de forma progresiva: primero observar, luego cuarentena, después rechazo.
Los tres trabajando juntos
Cada uno responde una pregunta distinta. Juntos forman la cadena completa de confianza:
| Registro | Qué responde |
|---|---|
| SPF | ¿Este servidor está autorizado a enviar por este dominio? |
| DKIM | ¿El mensaje salió de este dominio y llegó sin alterarse? |
| DMARC | Si algo falla, ¿qué hago con este mensaje? |
| Los tres | Base técnica de confianza que los filtros de spam exigen |
Tener solo SPF es una casa con la puerta cerrada pero las ventanas abiertas. Tener los tres, correctamente configurados, es lo que los proveedores de correo esperan de un dominio serio en 2026.
Otras causas del spam (que no son técnicas)
La autenticación del dominio elimina las causas técnicas. Pero hay otras dos que conviene conocer, porque ninguna configuración las resuelve:
Cómo saber si tu dominio los tiene bien
El diagnóstico más rápido no requiere herramientas: envía un correo a una cuenta de Gmail, otra de Outlook y otra de Yahoo que no sean tuyas. Revisa en cuál cae en spam. Si cae en dos o más, el problema es de dominio, no de contenido.
Después, hay una diferencia importante que conviene entender:
- Recibes las cuentas creadas y las credenciales
- El dominio queda sin registros de autenticación
- Tus correos salen, pero sin verificación
- Los filtros deciden sin información sobre ti
- Se configuran SPF, DKIM y DMARC en tu DNS
- Se declaran todos tus sistemas de envío
- DMARC se aplica de forma progresiva y verificada
- Se comprueba la entrega en los principales proveedores
Esa distinción es la que separa un servicio de otro. Cualquiera puede venderte licencias de correo. La configuración técnica del dominio es lo que hace que esas licencias sirvan de algo.
Y si estás evaluando cambiar de plataforma, revisa correo de hosting o Google Workspace para entender cuál necesitas, y cómo migrar sin perder nada para saber qué esperar del proceso.
No solo vendemos licencias. Vendemos entregabilidad.
Configuramos SPF, DKIM y DMARC en el DNS de tu dominio, declaramos todos tus sistemas de envío y verificamos la entrega en los principales proveedores de correo. Como Agencia Google Partner, con soporte local y factura peruana.
Ninguna configuración garantiza la entrega absoluta, porque la decisión final la toma el servidor receptor. Lo que sí hacemos es eliminar las causas técnicas del rechazo y darle a tu dominio la base de confianza que los filtros exigen.