Por qué tu correo acaba en spam: SPF, DKIM y DMARC explicados

Mandas un presupuesto a un cliente y nunca lo recibe. O peor: alguien envía facturas falsas en nombre de tu empresa y tus contactos pican. Detrás de casi todos estos casos hay lo mismo: un dominio mal configurado en SPF, DKIM y DMARC. Son tres registros de tu DNS que le dicen al mundo quién puede enviar correo en tu nombre. Sin ellos, los servidores de Gmail, Outlook y compañía no tienen forma de distinguir tu correo legítimo de una suplantación, y ante la duda, lo mandan a spam o lo bloquean. Te explicamos qué hace cada uno y qué deberías revisar, sin tecnicismos innecesarios.

El problema: cualquiera puede escribir tu dirección en el «De»

El protocolo de correo nació sin autenticación. Por diseño, cualquier servidor del mundo puede enviar un mensaje poniendo tunombre@tuempresa.com en el remitente, igual que cualquiera puede escribir tu dirección en el sobre de una carta. No hay nada que lo impida de serie. SPF, DKIM y DMARC son la capa que se añadió después para cerrar ese agujero: permiten que el servidor que recibe el mensaje compruebe si quien lo envía está realmente autorizado por tu dominio. Si no implementas estos mecanismos, le pones fácil tanto a los suplantadores como a los filtros antispam, que penalizan al correo no autenticado.

SPF: qué servidores pueden enviar por ti

SPF (Sender Policy Framework) es una lista pública de los servidores autorizados a enviar correo con tu dominio. Se publica como un registro en tu DNS. Cuando llega un mensaje, el servidor de destino mira el dominio del remitente, consulta esa lista y comprueba si el servidor que se lo está enviando aparece en ella. Si no aparece, el correo es sospechoso.

El fallo más habitual en PYMEs es tener SPF, pero incompleto: se contrata una herramienta de email marketing, una plataforma de facturación o un CRM que envía notificaciones, y nadie añade ese nuevo emisor al registro. Resultado: esos correos legítimos fallan la comprobación y acaban en spam. SPF solo es útil si refleja todos tus emisores reales.

DKIM: una firma que demuestra que el mensaje es tuyo

DKIM (DomainKeys Identified Mail) añade una firma criptográfica a cada mensaje que sale de tu dominio. Funciona con un par de claves: una privada, que vive en tu servidor de correo y firma los envíos, y una pública, que publicas en tu DNS para que cualquiera pueda verificar esa firma. El servidor de destino comprueba dos cosas: que el mensaje viene de quien dice venir y que nadie lo ha manipulado por el camino. Mientras SPF valida el servidor de origen, DKIM valida el mensaje en sí. Por eso se complementan: tener los dos da una señal mucho más fuerte de legitimidad que tener solo uno.

DMARC: qué hacer cuando algo no cuadra

SPF y DKIM comprueban, pero no deciden qué pasa si fallan. Esa decisión la toma DMARC. Es la política que le dices al mundo: «si un correo con mi dominio no pasa SPF ni DKIM, recházalo» (o ponlo en cuarentena, o solo avísame). DMARC es lo que de verdad frena la suplantación de tu dominio, porque sin él un atacante puede mandar correos falsos y, aunque fallen las comprobaciones, nadie ha indicado que se bloqueen.

DMARC tiene otra ventaja: los informes. Configurado correctamente, recibes resúmenes de quién está enviando correo con tu dominio, lo que te permite detectar intentos de suplantación y emisores legítimos que aún no habías autorizado. Es la herramienta que cierra el círculo.

Qué deberías revisar en tu dominio

  • ¿Tienes registro SPF y refleja todos los servicios que envían correo en tu nombre (correo, marketing, facturación, CRM)?
  • ¿Está DKIM activo en tu servidor de correo y publicada su clave pública en el DNS?
  • ¿Existe una política DMARC y está haciendo algo más que «solo observar»?
  • ¿Estás recibiendo y leyendo los informes DMARC, o se pierden sin que nadie los mire?
  • ¿Cuando contratas un servicio nuevo que envía correos, alguien actualiza estos registros?

Si respondes «no lo sé» a varias, es probable que tengas un problema de entregabilidad o de seguridad latente. Mantener esta configuración alineada de forma continua es justo el tipo de tarea que cubre un servicio de correo empresarial gestionado: que tu correo llegue y que nadie pueda suplantarte.

Preguntas frecuentes

¿Necesito los tres o me basta con uno?

Los tres trabajan juntos. SPF y DKIM comprueban el correo desde dos ángulos distintos, y DMARC decide qué hacer cuando algo falla y te informa. Implementar solo uno deja huecos: lo recomendable es tener los tres bien configurados y coherentes entre sí.

¿Esto afecta a mi posicionamiento o solo a la entregabilidad?

Afecta directamente a la entregabilidad: que tus correos lleguen a la bandeja de entrada y no a spam. No es un factor SEO, pero sí impacta de lleno en ventas y atención al cliente, porque un presupuesto o una respuesta que no llega es una oportunidad perdida.

¿Por qué empezó a fallar si antes funcionaba?

Lo habitual es un cambio que rompió la coherencia: un proveedor de correo nuevo, una herramienta de envíos que se añadió sin actualizar SPF, o un endurecimiento de los filtros de Gmail y Outlook, que cada vez exigen más autenticación. Conviene revisar la configuración cuando algo cambia en tu infraestructura de correo.

¿Puedo comprobarlo yo mismo?

Puedes hacer una primera comprobación con herramientas online que leen tus registros públicos. Interpretar los resultados, configurar DMARC sin bloquear correo legítimo y mantenerlo en el tiempo ya requiere más criterio, sobre todo cuando hay varios emisores en juego.

¿Tus correos llegan donde deben?

Si no estás seguro de cómo está configurado tu dominio, merece la pena revisarlo antes de que un correo importante se pierda o alguien suplante tu identidad. En Elimática gestionamos el correo corporativo de extremo a extremo, incluida la autenticación SPF, DKIM y DMARC. Cuéntanos tu caso y revisamos juntos cómo está tu dominio.