El año pasado, los correos electrónicos falsos costaron a empresas y particulares más de 10.000 millones de dólares. Cada tres segundos, alguien hace clic en un correo electrónico de phishing. Estos ataques se producen porque el correo electrónico tiene un gran problema: cualquiera puede hacerse pasar por otro.
Cuando envías un correo electrónico, no hay forma de demostrar que realmente lo has enviado tú. Los estafadores aprovechan este punto débil para enviar millones de correos falsos cada día. Se hacen pasar por bancos, empresas o incluso tu jefe.
Sin la protección adecuada, los proveedores de correo electrónico no pueden distinguir los mensajes reales de los falsos. SPF, DKIM y DMARC solucionan este problema. Piense en ellos como una comprobación de identificación en tres partes para cada correo electrónico que envíe.
En este artículo, explicaré cómo DMARC, SPF y DKIM trabajan juntos para verificar su correo saliente y asegurarse de que sus mensajes siempre llegan.
¿Necesito realmente SPF, DKIM y DMARC para mi correo electrónico?
Sí, necesitas los tres, y he aquí por qué esto ya no es opcional.
A partir de febrero de 2024, Google y Yahoo hicieron obligatorios estos protocolos para cualquiera que envíe más de 5.000 correos electrónicos al día. Pero incluso si solo envías 10 correos al mes, los necesitas. Sin una autenticación de correo adecuada, hasta el 76% de tus correos legítimos podrían acabar en carpetas de spam o ser rechazados por completo.
Las cifras dan miedo. Según el Informe sobre Delitos en Internet 2024 del FBI, sólo el año pasado las estafas de Business Email Compromise (BEC) costaron a las víctimas 2.900 millones de dólares. Eso sólo en Estados Unidos. Estos ataques funcionan porque la mayoría de los dominios siguen sin utilizar la seguridad adecuada en el correo electrónico.
Si no tiene configurados SPF, DKIM y DMARC, los delincuentes pueden enviar correos electrónicos que parezcan proceder de usted. A continuación te explicamos qué hace cada uno y por qué no puedes saltarte ninguno de ellos:
- SPF detiene la suplantación de servidores. Crea una lista de servidores autorizados a enviar correo electrónico para su dominio. Pero SPF se rompe cuando los correos electrónicos se reenvían. Ese es el problema número uno.
- DKIM añade una firma. Cada correo electrónico recibe una firma cifrada única que demuestra que no ha sido modificado. Pero DKIM por sí solo no impide que alguien utilice su nombre de dominio. Ese es el segundo problema.
- DMARC lo conecta todo. Indica a los servidores receptores qué hacer cuando fallan SPF o DKIM. Sin DMARC, los otros dos no son más que sugerencias que los servidores pueden ignorar.
¿En resumidas cuentas? La autenticación del correo electrónico ya no consiste en seguir normas o evitar las carpetas de spam. Se trata de proteger su negocio, su reputación y a todos los que confían en sus correos electrónicos.
Arregle sus correos electrónicos de WordPress ahora
¿Dónde añado registros SPF, DKIM y DMARC?
Configurar SPF, DKIM y DMARC le llevará unos 15 minutos si sabe dónde buscar. Los tres se añaden como registros TXT en la configuración DNS de su dominio. El mismo lugar donde gestionas los servidores de nombres de tu sitio web y otros registros.
Encontrar sus registros DNS le llevará 30 segundos:
- Si compraste dominio + alojamiento juntos: Accede a tu cuenta de hosting (como Bluehost, SiteGround o HostGator). Busca "DNS Zone Editor" o "DNS Management" en tu panel de control.
- Si los has comprado por separado Vaya a su registrador de dominios (GoDaddy, Namecheap, Google Domains). Busca "Configuración de DNS" o "Gestionar DNS" en el panel de control de tu dominio.
- Si utilizas Cloudflare o similar: Accede a tu panel de Cloudflare, selecciona tu dominio y, a continuación, haz clic en la pestaña "DNS" del menú de la izquierda. Aquí tienes un ejemplo de Cloudflare:
El orden de instalación es importante (la mayoría de la gente se equivoca):
En primer lugar, añada SPF → Espere 1 hora → Añada DKIM → Espere 1 hora → Añada DMARC.
¿Por qué este orden?
DMARC comprueba si SPF y DKIM funcionan. Si añades DMARC primero, falla inmediatamente y puede bloquear tus correos. Muchos proveedores ni siquiera le permitirán añadir DMARC hasta que SPF pase la validación.
Lo que realmente añadirá:
- SPF: Un registro TXT que comienza por "v=spf1" (tarda 2 minutos)
- DKIM: Uno o dos registros TXT con cadenas de caracteres largas (tarda 3 minutos)
- DMARC: Un registro TXT en "_dmarc.sudominio.com" (tarda 2 minutos)
Tiempo hasta que funcionen:
- FPS: Activo en 5-30 minutos
- DKIM: Activo en 1-4 horas
- DMARC: Activo en 1-24 horas (pero necesita que SPF/DKIM funcione primero)
Errores comunes de configuración que lo rompen todo:
- Tener dos registros SPF (combinarlos en uno)
- Nombre del selector DKIM incorrecto (compruebe el formato exacto de su proveedor de correo electrónico)
- Iniciar DMARC con p=reject (empezar siempre con p=none, luego aumentar)
- Añadir registros al subdominio equivocado
- Espacios adicionales o comillas en los valores de registro
Prueba rápida tras la configuración:
Envía un correo electrónico de prueba a Gmail y comprueba las cabeceras del mensaje (haz clic en los tres puntos y luego en Mostrar original). Busca estas líneas:
- SPF: PASS
- DKIM: PASS
- DMARC: PASS
¿Qué son DMARC, SPF y DKIM?
¿Qué es DMARC?
DMARC ayuda a evitar la suplantación de dominios y genera informes de correo electrónico si se detecta actividad sospechosa. Son las siglas de Domain-based Authentication, Reporting, and Conformance, así que la pista está en parte en el nombre.
En un nivel básico, su registro DMARC actúa como pegamento entre sus registros SPF y DKIM. Y hace 3 cosas:
- Compara la IP remitente con el remitente autorizado para el dominio mediante SPF y DKIM. Así es como estos 3 registros trabajan juntos para evitar que los correos electrónicos de WordPress vayan al spam.
- Si esa comprobación falla, indica al servidor de correo electrónico lo que debe hacer. Por ejemplo, el correo puede ser rechazado o puesto en cuarentena.
- DMARC también puede generar informes de correo electrónico si detecta correos electrónicos que no están autenticados correctamente. En el registro DMARC, puede especificar la dirección de correo electrónico que recibirá estos informes. Se le enviarán en forma de archivos XML.
Si recibe informes DMARC, no se preocupe. Tu registro DMARC está haciendo el trabajo que se supone que debe hacer. Es importante no ignorar los informes porque podrían ser un signo de que alguien está abusando de tu dominio para enviar spam. Puedes reenviar el informe a tu proveedor de servicios de correo electrónico si necesitas ayuda para entender el contenido.
Cómo añadir un registro DMARC
Si su proveedor de correo electrónico le proporciona un registro DMARC específico, deberá añadirlo a sus DNS. Si tu proveedor no te dice qué incluir, consulta nuestro artículo sobre qué es un registro DMARC y cómo crearlo. Incluye un registro DMARC genérico que puedes copiar y pegar, y funcionará en cualquier dominio.
La única vez que no Necesitas DMARC cuando envías desde un dominio que no controlas. Por ejemplo, una cuenta de Gmail con un dominio @gmail.com no necesita DMARC, pero sí una cuenta de Google Workspace con un nombre de dominio personalizado.
¿Qué es el FPS?
El registro SPF es un registro TXT en su DNS. Su nombre significa Sender Policy Framework. SPF se encarga de comprobar que una dirección IP está autorizada a enviar correos electrónicos desde el dominio remitente. Funciona un poco como el remite de una carta.
Si no tiene un registro SPF, es probable que sus correos de WordPress se marquen como spam. En algunos casos, serán descartados.
Por ejemplo, Gmail bloquea los correos electrónicos sin autenticación SPF. Así que la falta de un registro SPF es una causa común de que WordPress no envíe correos electrónicos.
De hecho, WordPress podría estar generando correos electrónicos y enviándolos sin ningún problema. Pero es probable que los correos se descarten más adelante porque no hay ningún registro SPF que los valide.
No utilice más de un registro SPF
Crear un registro SPF es importante, y su proveedor le dará instrucciones sobre qué añadir exactamente a su DNS.
Cuando hagas esto, ten en cuenta que también es importante que sólo tengas un registro SPF en tu dominio, por lo que primero deberás comprobar si existen reglas.
Por ejemplo, puede que ya haya creado un registro SPF para su proveedor de marketing por correo electrónico. Si luego quieres añadir otro para tu proveedor de correo electrónico transaccional, tendrás que combinar esos registros SPF en uno solo.
Consulte nuestra guía sobre cómo combinar varios registros SPF para conocer la forma más sencilla de hacerlo.
¿Qué es DKIM?
Su registro DKIM se encarga de verificar su dominio mediante una clave. Son las siglas de DomainKeys Identified Mail.
El principal objetivo de DKIM es demostrar que el contenido no ha cambiado entre el remitente y el destinatario. Así que DKIM es un poco como poner tu propia firma en cada correo electrónico que envías.
En su DNS, tendrá una parte del registro DKIM: la clave pública. Y el servidor de correo tiene la clave privada para que coincida. Comparando estas 2 claves, los servidores de correo pueden comprobar que el correo electrónico procede realmente de usted.
Posteriormente, el registro DMARC comprueba esta verificación y decide si el correo electrónico es legítimo.
Cómo añadir un registro DKIM
Para añadir un registro DKIM a sus DNS, deberá ponerse en contacto con su proveedor de correo electrónico para averiguar qué debe incluir. La mayoría de los proveedores incluyen instrucciones en su documentación de configuración.
Si está utilizando WP Mail SMTP, también tenemos instrucciones detalladas para todos nuestros proveedores de correo electrónico compatibles:
| Mailers disponibles en todas las versiones | Mailers en WP Mail SMTP Pro |
|---|---|
| SendLayer | Amazon SES |
| SMTP.com | Microsoft 365 / Outlook.com |
| Brevo (antes Sendinblue) | Zoho Mail |
| Espacio de trabajo de Google / Gmail | |
| Mailgun | |
| Matasellos | |
| SendGrid | |
| SparkPost | |
| Otros SMTP |
A veces puede ser necesario dividir un registro DKIM en dos líneas. Tenemos una guía sobre cómo dividir un registro DKIM que explica cómo hacerlo.
Por último, echemos un vistazo rápido a una forma sencilla de comprobar sus registros DNS en WordPress.
Cómo comprobar DMARC, SPF, DKIM en WP Mail SMTP
Si está enviando correos electrónicos desde WordPress, querrá asegurarse de que DMARC, SPF y DKIM están correctamente configurados en su dominio. WP Mail SMTP te lo pone fácil.
Puede enviar un correo electrónico de prueba en cualquier momento para asegurarse de que sus correos electrónicos de WordPress están funcionando, y esto también comprobará estos 3 importantes registros DNS al mismo tiempo.
Si el plugin detecta que alguno de tus registros DNS falta o está roto, te lo hará saber de inmediato.
Y para su total tranquilidad, también verá alertas de Domain Checker en la pantalla de Site Health. Y ya está. Ahora ya sabe cómo DMARC, SPF y DKIM trabajan juntos para mejorar la entregabilidad del correo electrónico.
Preguntas frecuentes sobre los registros SPF, DKIM y DMARC
¿Tienes más preguntas sobre los registros DNS y la entregabilidad del correo electrónico? Las trataré a continuación.
¿Cómo se crea un registro DMARC?
Puedes copiar y pegar un registro DMARC y añadirlo a la zona DNS de tu dominio. Hay un ejemplo de registro DMARC en nuestra guía sobre cómo crear un registro DMARC y añadirlo a tu dominio.
¿Cómo añado registros SPF para WordPress y WP Mail SMTP?
En primer lugar, busca la configuración DNS en tu proveedor de dominios (como GoDaddy o Namecheap). Añade un nuevo registro TXT con tu nombre de dominio como host. Para el valor, comience con "v=spf1" e incluya su servidor de correo.
Para WP Mail SMTP, el registro exacto depende del mailer que elija. Si utiliza SendLayer, añada: "v=spf1 includesendlayer.net ~all". Para Gmail, utiliza: "v=spf1 include:_spf.google.com ~all".
¿El error que comete la mayoría de la gente? Añadir dos registros SPF. Sólo puede tener uno. Si necesitas varios servicios, combínalos de la siguiente manera: "v=spf1 includesendlayer.net include:_spf.google.com ~all". Guarda el registro y espera unos 15 minutos. Y ya está.
¿Por qué WP Mail SMTP necesita la configuración DKIM?
WP Mail SMTP necesita DKIM porque WordPress no firma los correos electrónicos por sí mismo. Cuando envías un email a través de WordPress, sale sin firmar. Los proveedores de correo electrónico como Gmail ven los correos sin firmar como sospechosos, incluso si son reales.
DKIM añade una firma especial a cada correo electrónico que envíe. Piense que es como el sello de lacre de una carta antigua. Esta firma demuestra dos cosas: que el correo electrónico procede realmente de su sitio web y que nadie lo ha modificado por el camino.
Sin DKIM, alrededor del 30% de sus correos de WordPress podrían ir a parar a las carpetas de spam. Con DKIM, la tasa de entrega supera el 95%. El plugin facilita la configuración de DKIM. Genera las claves por ti y te dice exactamente qué añadir a tus DNS.
¿Qué registro SPF debo utilizar para el alojamiento WP Engine?
Para WP Engine, utilice este registro SPF: "v=spf1 include:mail1.wpengine.com ~all"
Pero esto es lo que atrapa a la gente: si estás usando WP Engine para el alojamiento pero envías correos a través de un servicio diferente, necesitas el SPF de ese servicio en su lugar. Muchos usuarios de WP Engine envían correo a través de SendGrid o Mailgun. En ese caso, usarías sus registros SPF, no los de WP Engine.
Si necesita ambos, combínelos: "v=spf1 include:mail1.wpengine.com include:sendgrid.net ~all". Añada esto como un registro TXT en su DNS. No lo añada en el panel de control de WP Engine - va en la configuración DNS de su registrador de dominio.
¿Puedo utilizar DMARC sin SPF y DKIM?
Sí, DMARC funciona sólo con uno de ellos, pero es arriesgado. DMARC pasa cuando SPF o DKIM pasan y se alinean con su dominio. Así que, técnicamente, solo necesitas uno.
Pero he aquí por qué es una mala idea: SPF se rompe cuando los correos electrónicos se reenvían. DKIM puede romperse si su servicio de correo electrónico modifica los mensajes. Cuando sólo tienes uno y se rompe, DMARC falla por completo. Sus correos electrónicos son rechazados.
He visto a empresas perder miles de dólares por confiar únicamente en SPF. Un cliente reenvió su factura a contabilidad, SPF se rompió y la factura nunca llegó. Empiece con SPF y DKIM, y luego añada DMARC. Le llevará unos 20 minutos en total y le ahorrará muchos dolores de cabeza más adelante.
¿Cuál es la diferencia entre SPF, DKIM y DMARC?
SPF es una lista de servidores autorizados a enviar correo electrónico para su dominio. Es como decir "sólo estas oficinas de correos pueden enviar mi correo". ¿El problema? Comprueba el servidor, no el remitente real.
DKIM es una firma que demuestra que un correo electrónico no ha sido modificado. Cada correo electrónico recibe un sello cifrado único. Pero DKIM no impide que alguien utilice tu nombre de dominio en un servidor diferente.
DMARC es el jefe que comprueba si SPF o DKIM han pasado, y luego dice a los servidores receptores qué hacer con los fallos. Sin DMARC, los otros dos son sólo sugerencias. Los servidores pueden ignorarlas.
La verdad es simple: SPF dice quién puede enviar, DKIM prueba que los correos electrónicos son reales y DMARC hace cumplir las normas. Se necesitan las tres porque cada una corrige lo que las otras omiten.
¿Cómo puedo comprobar si SPF, DKIM y DMARC funcionan correctamente?
Envía un correo electrónico de prueba a una cuenta de Gmail que controles. Cuando llegue, abre el correo y haz clic en el menú de los tres puntos. Selecciona "Mostrar original" para ver los detalles técnicos.
Busca estas tres líneas:
- SPF: PASS (con su dominio)
- DKIM: PASS (muestra 'header.d' con tu dominio)
- DMARC: PASS
Si alguno muestra FAIL, tiene un problema. Los fallos SPF significan una configuración incorrecta del servidor. Los fallos DKIM significan que los registros DNS o las claves son incorrectos. Los fallos DMARC se producen cuando SPF y DKIM no coinciden con su dominio "De".
Para realizar pruebas rápidas, puede utilizar la función de prueba de correo electrónico de WP Mail SMTP. Envíe un correo electrónico a cualquier dirección de prueba y obtenga resultados instantáneos.
¿Necesito autenticarme tanto con SPF como con DKIM, o sólo con uno?
Deberías configurar ambos, aunque técnicamente uno es suficiente para la autenticación básica. Google y Yahoo ahora exigen ambas para cualquiera que envíe más de 5.000 correos electrónicos al día. Pero incluso los pequeños remitentes se benefician de usar ambas.
Esto es lo que ocurre con uno solo: SPF solo falla cuando alguien reenvía su correo electrónico. DKIM por sí solo no demuestra qué servidor envió el correo electrónico. Cuando tienes ambos, uno puede fallar y tu correo sigue llegando.
Un ejemplo real: Un cliente sólo tenía SPF. Su boletín funcionaba bien hasta que los suscriptores empezaron a reenviarlo a sus amigos. Todos los correos reenviados rebotaban. Añadir DKIM lo solucionó inmediatamente.
¿Cómo corrijo los fallos DMARC en WordPress?
Los fallos DMARC en WordPress suelen producirse porque la dirección "De" no coincide con su dominio. WordPress utiliza por defecto "[email protected]", pero su sitio puede enviar desde "[email protected]". Eso es un desajuste.
Arreglalo yendo a la configuración SMTP de WP Mail. Establezca el "De correo electrónico" a una dirección en su propio dominio. Nunca utilice Gmail, Yahoo u otras direcciones de correo electrónico gratuitas como remitente. A continuación, asegúrese de que su registro SPF incluye su servidor de correo real. Si utiliza SMTP.com, su SPF necesita "include:smtp.com".
Compruebe que DKIM está activo y que los registros DNS son correctos. El selector (normalmente "por defecto" o el nombre de su servicio) debe coincidir exactamente. Un solo carácter incorrecto lo rompe todo.
A continuación, compruebe su registro PTR
Mientras compruebas tu DNS, es una buena idea comprobar tu registro PTR. El registro PTR es un tipo especial de registro que también desempeña un papel en la prevención del spam. Para obtener más información, consulte nuestro artículo sobre Qué es un registro PTR (y si necesito uno).
Arregle sus correos electrónicos de WordPress ahora
¿Listo para arreglar tus correos electrónicos? Empieza hoy mismo con el mejor plugin SMTP para WordPress. Si no tienes tiempo para arreglar tus correos electrónicos, puedes obtener asistencia completa de White Glove Setup como compra adicional, y hay una garantía de devolución de dinero de 14 días para todos los planes de pago.
Si este artículo te ha ayudado, síguenos en Facebook y Twitter para más consejos y tutoriales sobre WordPress.
