← Recursos

Configuración y Uso de Registros SPF, DKIM, DMARC y MX en el Correo Electrónico

Guía actualizada para configurar SPF, DKIM, DMARC y MX, reducir suplantación de dominio y mejorar la entregabilidad del correo empresarial.

Configuración y Uso de Registros SPF, DKIM, DMARC y MX en el Correo Electrónico

SPF, DKIM, DMARC y MX son registros DNS relacionados con la entrega y autenticación del correo empresarial. No eliminan todo el spam por sí solos, pero ayudan a reducir suplantación de dominio, mejorar trazabilidad y dar señales claras a los servidores que reciben correo.

SPF

SPF permite declarar qué servidores están autorizados para enviar correo usando el dominio en el envelope sender. Se publica como registro TXT.

example.com. TXT "v=spf1 include:_spf.example.net -all"

Conviene evitar listas demasiado amplias y revisar que no se excedan los límites de consultas DNS definidos por el estándar.

DKIM

DKIM firma mensajes salientes con una clave privada. El receptor valida la firma con la clave pública publicada en DNS, normalmente bajo un selector.

selector1._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=..."

DKIM ayuda a comprobar que el mensaje fue firmado por un dominio responsable y que partes firmadas del contenido no fueron alteradas.

DMARC

DMARC permite publicar una política para mensajes que no pasan SPF o DKIM con alineación de dominio. En 2026, DMARC quedó actualizado en RFC 9989, por lo que conviene tomar esa especificación como referencia vigente.

_dmarc.example.com. TXT "v=DMARC1; p=none; rua=mailto:dmarc@example.com; adkim=r; aspf=r"

Una implementación responsable suele empezar con p=none para observar reportes, corregir fuentes legítimas y después avanzar gradualmente a políticas más estrictas como quarantine o reject.

MX

Los registros MX indican qué servidores reciben correo para un dominio y con qué prioridad.

example.com. MX 10 mail.example.com.

El registro MX no autentica mensajes; su función principal es enrutar recepción de correo. La autenticación depende de SPF, DKIM, DMARC y de la configuración del servicio de correo.

Buenas prácticas

  • Documentar todos los servicios autorizados para enviar correo.
  • Firmar correo saliente con DKIM en cada plataforma legítima.
  • Activar DMARC primero en monitoreo y revisar reportes.
  • Eliminar proveedores antiguos de SPF cuando ya no se usen.
  • Probar cambios DNS antes de aplicar políticas estrictas.

Fuentes consultadas