Mejores proveedores para la gestión de DKIM y SPF

Resumen ejecutivo: Esta guía aborda los requisitos ahora obligatorios para la autenticación de correos electrónicos con SPF y DKIM tras las acciones de cumplimiento por parte de Google, Yahoo y Microsoft en 2024-2025. Explica cómo estos protocolos funcionan junto con DMARC para proteger los dominios del spoofing y garantizar la entregabilidad del correo, resaltando a la vez errores comunes como el límite de 10 consultas DNS de SPF y la rotación inadecuada de claves DKIM.

La guía posiciona a Red Sift OnDMARC como una solución integral que simplifica la gestión mediante Dynamic SPF y seguimiento de DKIM integrado, logrando normalmente la aplicación total de DMARC en un plazo de 6 a 8 semanas.

Puntos clave:

• La autenticación de correo electrónico ya no es opcional: Google, Yahoo y Microsoft ahora rechazan o ponen en cuarentena correos de envíos masivos que no estén autenticados con SPF, DKIM y DMARC. No cumplir impacta directamente en la entregabilidad y los ingresos.
• El límite de 10 consultas en SPF sorprende a la mayoría de las organizaciones: Usar solo 3-5 servicios de correo de terceros puede superar este límite, provocando fallos aleatorios de autenticación. Las soluciones de Dynamic SPF eliminan este problema sin los riesgos de aplanamiento manual.
• Las claves DKIM requieren gestión activa: Ahora el estándar mínimo es de 2048 bits, y M3AAWG recomienda la rotación cada seis meses. Muchas organizaciones aún utilizan claves obsoletas de 1024 bits desde hace años, generando vulnerabilidades de seguridad.
• La alineación es la pieza que falta: SPF y DKIM pueden aprobarse pero DMARC aún falla si ninguno se alinea con tu dominio visible "From". Por eso la alineación DKIM es clave para remitentes masivos, ya que sobrevive mejor al reenvío que SPF.

Configurar correctamente SPF y DKIM ya no es opcional. Con Google, Yahoo y Microsoft ahora aplicando requisitos estrictos de autenticación para remitentes masivos, las organizaciones que no gestionen adecuadamente estos protocolos enfrentarán fallos de entregabilidad, vulnerabilidades de seguridad y posibles daños a la marca.

Se estima que se envían 3.4 mil millones de correos de phishing cada día [1]. El correo sigue siendo el vector de ataque preferido de los ciberdelincuentes, con el 94% del malware entregado por archivos adjuntos [2]. Por eso los principales proveedores de bandeja de entrada han establecido límites claros.

Desde febrero de 2024, Google y Yahoo requieren que los remitentes masivos (quienes envían más de 5,000 correos diarios) autentiquen sus mensajes tanto con SPF como con DKIM, con al menos uno alineado para cumplir con DMARC [3]. Microsoft se sumó en mayo de 2025, rechazando directamente los correos que no cumplen [4]. Esto no son sugerencias, son requisitos.

Esta guía cubre:

• Cómo funcionan juntos SPF y DKIM para autenticar tu correo
• Los errores comunes que rompen SPF y DKIM (y cómo corregirlos)
• Qué buscar en un proveedor de autenticación de correo
• Por qué DMARC une todo el sistema
• Cómo Red Sift OnDMARC simplifica el proceso

Sender Policy Framework (SPF) es la lista de invitados de tu dominio para el envío de correo. Es un registro DNS que indica a los servidores receptores qué direcciones IP están autorizadas para enviar correos usando tu dominio [5].

Cuando llega un correo, el servidor receptor verifica el registro SPF del dominio en la dirección return-path. Si la IP emisora está en la lista, el SPF pasa. Si no, falla.

SPF tiene una limitación crítica que frustra a la mayoría de organizaciones: el límite de 10 consultas DNS [6]. Cada include, a, mx, ptr y redirect en tu registro SPF agrega al conteo. Si lo excedes, los servidores receptores devuelven un "permerror" y tus correos empiezan a fallar al azar en autenticación.

Así de rápido se acumulan las consultas:

• Google Workspace: 4 consultas DNS
• Microsoft 365: 2-3 consultas DNS
• Plataformas de automatización de marketing: 3-7 cada una
• Envío de correos desde CRM: 2-4 consultas DNS

La mayoría de organizaciones de tamaño medio usan al menos 3-5 herramientas enviando correos en su nombre. Al sumarlas, superas las 10 consultas antes de darte cuenta.

• SPF flattening convierte los nombres de host a direcciones IP, que no cuentan para el límite. ¿El problema? Los proveedores de correo actualizan sus IPs con frecuencia. Cuando lo hacen, tu registro aplanado queda desactualizado y la autenticación falla [7].
• Macros SPF ofrecen una solución más sofisticada al resolver dinámicamente en tiempo real. Sin embargo, algunas infraestructuras receptoras no soportan macros completamente, provocando resultados inconsistentes [8].
• Delegación a subdominios crea registros SPF separados para distintos servicios, moviéndolos a subdominios. Funciona, pero significa que tu dirección "From" muestra el subdominio en vez de tu dominio principal.
• Soluciones Dynamic SPF como Dynamic SPF de Red Sift consolidan todos los remitentes autorizados en un solo include que se resuelve en tiempo real. No hay actualizaciones manuales de DNS, ni problemas de compatibilidad con macros, ni complejidad de subdominios.

Siguiendo las recomendaciones de M3AAWG [9]:

• Publica registros SPF en todos los dominios emisores, incluidos los estacionados
• Utiliza ~all (softfail) en vez de -all (hardfail) para permitir la evaluación DMARC
• Audita los registros SPF trimestralmente para eliminar includes sin uso
• Registra todos los servicios externos que envían en tu nombre
• Prueba los cambios en modo de monitoreo antes de aplicar la política

DomainKeys Identified Mail (DKIM) añade una firma criptográfica a tus correos salientes [10]. Esta firma prueba dos cosas: el correo realmente procede de tu dominio y el contenido no se ha alterado en tránsito.

Cuando envías un correo, tu servidor crea una firma única usando una clave privada. Esta se añade a la cabecera del mensaje. El servidor receptor obtiene la clave pública de tu DNS y verifica que la firma coincida.

La fuerza de la clave importa. Las claves de 1024 bits fueron estándar durante años, pero ya no se consideran seguras. Ahora se recomienda un mínimo de 2048 bits RSA [11]. Algunas organizaciones ya implementan claves de 4096 bits para mayor seguridad.

La rotación es esencial. Según las directrices de M3AAWG [12], las claves DKIM deben rotarse al menos cada seis meses. Los remitentes de alto riesgo, como bancos, deberían hacerlo mensualmente. Sin embargo, muchas organizaciones configuran DKIM una vez y no lo revisan más. Investigadores han encontrado organizaciones usando claves de 1024 bits desde 2015 [13].

La convención de nombres de selectores facilita rastrear la clave activa. Usar selectores descriptivos como "ene2026" ayuda a auditar la rotación y saber qué servicios firman con qué clave [14].

• Usar claves de al menos 2048 bits (migra desde 1024 bits de inmediato)
• Rotar las claves como mínimo cada seis meses
• Mantener dos claves activas durante la rotación para evitar huecos de autenticación
• Firmar todos los correos salientes, incluidos los transaccionales
• Alinear el dominio de firmado DKIM con el "From" para DMARC
• Usar selectores distintos para cada servicio emisor
• Documentar tu calendario de rotación de claves y convención de nombres de selectores

SPF y DKIM son protocolos esenciales, pero no están diseñados para funcionar en conjunto. Ahí entra DMARC (Domain-based Message Authentication, Reporting, and Conformance).

DMARC exige que al menos uno, SPF o DKIM, pase Y se alinee con el dominio en el encabezado "From" [15]. Esta es la diferencia crítica. Puedes tener SPF y DKIM aprobados por separado, pero si ninguno se alinea con tu visible "From", DMARC falla.

Alineación SPF significa que el dominio en el return-path (remitente envelope) coincide con el "From". Muchos servicios de terceros usan su propio dominio en el return-path para gestionar rebotes, rompiendo la alineación SPF.

Alineación DKIM significa que el dominio en la firma DKIM (valor d=) coincide con el dominio "From". Suele ser más confiable porque sobrevive al reenvío, lo que a menudo rompe SPF.

Por esto Google, Yahoo y Microsoft exigen DKIM para remitentes de envíos masivos. SPF por sí solo no basta para cumplir los nuevos estándares de autenticación.

Las políticas DMARC progresan en tres niveles:

• p=none: Solo monitoreo. Recibe reportes pero no afecta la entrega.
• p=quarantine: Los correos fallidos van a spam/basura.
• p=reject: Bloquea completamente los correos fallidos.

Pasar del monitoreo a la aplicación suele tomar de 4 a 8 semanas [16]. Las organizaciones necesitan ese tiempo para identificar todos los emisores legítimos, configurar sus SPF/DKIM y resolver problemas de alineación antes de aplicar la política.

Tu proveedor debe solucionar el límite de 10 consultas DNS sin crear nuevos problemas. Las soluciones basadas en aplanamiento manual fallan cuando las IP cambian. Las que usan macros pueden no ser compatibles con todas las infraestructuras receptoras.

Dynamic SPF de Red Sift OnDMARC utiliza un solo include dinámico que autentica a todos los remitentes aprobados en tiempo real. Sin actualizaciones de DNS ni preocupaciones de compatibilidad con macros ni errores aleatorios de autenticación.

Busca proveedores que:

• Admitan claves de 2048 bits (idealmente 4096 bits)
• Automatizan la rotación de claves según un calendario definido
• Mantienen múltiples claves activas durante las transiciones
• Rastrean el uso de selectores a través de todos los servicios emisores
• Te alerten sobre claves débiles o próximas a expirar

SPF y DKIM existen en función de DMARC. El proveedor debe ofrecer:

• Reportes agregados mostrando tasas de éxito/fallo en autenticación
• Reportes forenses con detalles de fallas granulares
• Visibilidad clara de qué servicios autentican correctamente (y cuáles no)
• Guía accionable para resolver inconvenientes

Gestionar registros SPF, DKIM y DMARC exige cambios frecuentes de DNS. Los proveedores que permiten gestionar todos los registros desde su plataforma eliminan la necesidad de acceso DNS adicional y reducen errores de configuración.

OnDMARC permite configurar registros SPF, DKIM, DMARC, BIMI y MTA-STS desde una sola interfaz. Un cambio DNS basta para empezar; el resto se gestiona desde la plataforma.

La autenticación de correo no es solo un trámite técnico. Impacta directamente en los ingresos y la postura de seguridad de tu organización.

Si SPF o DKIM fallan, tus correos pueden no llegar a sus destinatarios. Las campañas de marketing fracasan, las ventas no reciben respuesta y las comunicaciones al cliente terminan en spam. El impacto financiero se multiplica rápidamente.

Piénsalo: si tu organización envía 50,000 correos al mes y una mala autenticación produce una caída del 10% en entregabilidad, 5,000 mensajes no llegan. Para equipos de ventas o marketing, son oportunidades y dinero perdidos.

Wise, la empresa internacional de transferencias de dinero, alcanzó una tasa de entrega del 99% tras implementar OnDMARC [20]. Esa mejora se logró configurando bien SPF y DKIM en todos sus emisores.

Los ataques de phishing que suplantan tu dominio dañan algo más que la reputación: erosionan la confianza de tus clientes, te exponen a responsabilidades y pueden facilitar fraudes empresariales (BEC) de millones.

El Internet Crime Complaint Center del FBI reportó 21,442 denuncias BEC en 2024, con pérdidas de $2.77 mil millones [21]. Muchos de estos ataques comienzan con suplantación de dominio que una autenticación adecuada prevendría.

Cuando tu dominio está protegido con SPF, DKIM y DMARC en modo enforcement, los atacantes no pueden enviar correos como si fueran tuyos. Sus mensajes son rechazados antes de llegar a clientes, socios o empleados.

Agencias gubernamentales y organismos reguladores mandatan cada vez más la autenticación de correo. NIST recomienda DMARC como parte de sus directrices federales. El National Cyber Security Centre del Reino Unido también lo aconseja. La Comisión Europea publicó guías sobre autenticación de correo para organizaciones miembro.

Para sectores regulados como salud y finanzas, la autenticación adecuada de correo no es opcional; es parte de demostrar diligencia para proteger comunicaciones sensibles.

OnDMARC aborda la autenticación como un sistema integral, gestionando SPF, DKIM y DMARC de manera unificada.

• Gestión SPF: Dynamic SPF elimina el límite de 10 consultas mediante un solo include dinámico. Todos los emisores pasan por un mecanismo que se actualiza automáticamente. Al no usar macros, es más compatible con infraestructuras legadas [17].
• Gestión DKIM: OnDMARC rastrea claves DKIM en todos los emisores, alerta sobre firmas débiles o ausentes y da guía para configuraciones correctas. Se integra con los principales proveedores para una configuración fluida.
• Aplicación DMARC: Las organizaciones que utilizan OnDMARC logran enforcement total de DMARC (p=reject o p=quarantine) en promedio en 6-8 semanas [18]. La plataforma analiza los reportes DMARC y propone acciones prescriptivas.
• Más allá de la autenticación: OnDMARC incluye DNS Guardian para monitoreo de subdomain takeover y ataques SubdoMailing, así como soporte BIMI integrado con provisión de VMC para logotipos verificados en bandeja de entrada.

Proveedores de correo como SendGrid y Amazon SES firman DKIM para los correos que entregan pero no gestionan tus registros SPF ni dan reportes DMARC. Aún necesitas gestionar la autenticación de todos tus emisores.

Servicios de aplanamiento SPF como AutoSPF y SafeSPF resuelven el límite de consultas pero implican delegar tu SPF a la infraestructura de un tercero; cualquier interrupción afecta la entrega.

Plataformas solo DMARC ofrecen reportes pero pueden no abordar la configuración subyacente de SPF/DKIM. Obtienes visibilidad pero no herramientas de corrección.

Herramientas gratuitas de MxToolbox, URIports y otros ayudan a validar pero no gestionan, automatizan ni aplican políticas de manera continua.

Identifica todos los servicios que envían correos con tu dominio. Incluye:

• Correo corporativo (Microsoft 365, Google Workspace)
• Plataformas de marketing automation
• Sistemas CRM con capacidades de envío
• Servicios de correo transaccional
• Plataformas de RRHH y selección
• Sistemas de soporte al cliente
• Software financiero y contable

Audita tu registro SPF actual buscando includes sin uso y el conteo de consultas DNS. Comprueba la configuración DKIM de cada emisor.

Crea un inventario de servicios emisores que incluya:

• Nombre y proveedor del servicio
• Volumen y tipo de correo (marketing, transaccional, interno)
• Mecanismo SPF actual
• Selector DKIM y longitud de clave
• Estado de alineación (alineado con tu dominio From o no)

Este inventario es tu fuente de la verdad para autenticaciones.

Añade o actualiza claves DKIM para cada emisor. Prioriza claves de 2048 bits y documenta la convención de nombres de selectores.

Para configurar DKIM con las principales plataformas:

• Microsoft 365: Usa registros CNAME apuntando a la infraestructura DKIM de Microsoft; soporta rotación automática entre dos selectores.
• Google Workspace: Genera claves en el panel de administración y publica registros TXT en DNS. Considera selectores personalizados para facilidad de gestión.
• Plataformas de marketing: Requieren agregar registros CNAME o TXT. Verifica que soportan alineación DKIM con tu dominio From.

Optimiza tu registro SPF o implementa Dynamic SPF para permanecer bajo el límite y autorizar a todos los emisores legítimos.

Publica un registro DMARC en p=none para empezar a recibir reportes sin afectar la entrega. Usa el tag rua con un correo que controles (o el de tu proveedor DMARC) para recibirlos.

Revisa reportes DMARC para identificar:

• Emisores legítimos no autenticando correctamente
• Errores de alineación (SPF/DKIM pasan pero no están alineados)
• Orígenes desconocidos o no autorizados de envío
• Patrones de volumen que sugieran intentos de suplantación

Corrige los problemas de autenticación. Puede requerir coordinar con terceros para configurar DKIM personalizado o ajustar dominios return-path.

Problemas comunes que encontrarás:

• Servicios de terceros usando su propio dominio para DKIM en vez del tuyo
• Plataformas de marketing cuyo return-path rompe la alineación SPF
• Sistemas legados sin soporte DKIM
• Shadow IT enviando correos sin conocimiento del área IT

Pasa de p=none a p=quarantine para evaluar sin bloquear todo lo que falla y monitorea la entrega a spam.

Empieza con un bajo porcentaje con el tag pct (ejemplo: pct=10) aplicando la política solo a parte de los correos fallidos. Aumenta gradualmente.

Cuando estés seguro de autenticar todos los correos legítimos, pasa a p=reject.

Tras llegar a la aplicación, sigue monitorizando. Nuevos servicios, cambios de configuración y actualizaciones de terceros pueden romper la autenticación. La vigilancia continua previene sorpresas en la entregabilidad.

• Síntomas: SPF pasa para algunos destinatarios y falla para otros. Los reportes DMARC muestran resultados inconsistentes.
• Causa probable: Se superó el límite de 10 consultas. Algunos servidores evalúan el SPF completo antes de llegar al límite y pasan; otros llegan al límite primero y devuelven permerror.
• Solución: Audita tu SPF para eliminar includes innecesarios. Quita servicios que ya no usas. Implementa Dynamic SPF o delegación a subdominios para mantenerte dentro del límite.

• Síntomas: Tras migrar de plataforma de correo (ej. de una herramienta de marketing a otra), DKIM empieza a fallar.
• Causa probable: Las antiguas claves DKIM siguen en DNS, pero la plataforma nueva usa otros selectores. O no está configurada para firmar con tu dominio.
• Solución: Genera nuevas claves DKIM en la plataforma nueva. Publícalas en DNS con el selector que indica la plataforma. Verifica que la plataforma firme con el valor d= de tu dominio y no el suyo. Elimina las claves antiguas tras confirmar la nueva configuración.

• Síntomas: El reporte DMARC muestra SPF y DKIM aprobados, pero DMARC falla igualmente.
• Causa probable: Ni SPF ni DKIM están alineados con tu dominio From. Se autentica, pero de forma que no ayuda a DMARC.
• Solución: Revisa el dominio return-path (para alineación SPF) y el valor d= en firmas DKIM (alineación DKIM). Trabaja con el proveedor para configurar dominios personalizados que coincidan con tu From.

• Síntomas: La verificación DKIM falla con errores "firma inválida". La clave está correctamente publicada en DNS.
• Causa probable: El contenido del correo electrónico fue modificado durante el tránsito. Las listas de correo que agregan pies de página, los gateways de seguridad de correo que reescriben URLs o los servicios de reenvío pueden romper las firmas DKIM.
• Solución: Esto suele estar fuera de tu control. Asegúrate de tener alineación SPF como respaldo. Considera implementar ARC (Authenticated Received Chain) si tu organización modifica correos electrónicos en tránsito.

La gestión de SPF y DKIM ha pasado de ser algo conveniente a ser un requisito obligatorio. Google, Yahoo y Microsoft ahora hacen cumplir estrictas normas de autenticación, y los correos electrónicos no conformes enfrentan el rechazo en lugar de simples penalizaciones de entregabilidad.

Los retos son reales: el límite de 10 consultas en SPF genera un mantenimiento constante, la rotación de claves DKIM requiere una coordinación cuidadosa y alinear todo para DMARC añade otra capa de complejidad.

Pero la solución no tiene por qué ser complicada. Plataformas como Red Sift OnDMARC consolidan la gestión de SPF, DKIM y DMARC en una sola interfaz, automatizan las tareas tediosas y proporcionan una guía clara para alcanzar el cumplimiento total.

Las organizaciones que hacen esto correctamente protegen sus dominios de suplantaciones, mejoran la entregabilidad de sus correos y se mantienen por delante de los requisitos cada vez más estrictos de los proveedores de bandeja de entrada. Quienes no lo hagan verán sus correos caer en la carpeta de spam, o ni siquiera llegar.

[1] SalesHive. "DKIM, DMARC, SPF: Mejores prácticas para la seguridad y entregabilidad del correo electrónico en 2025." https://saleshive.com/blog/dkim-dmarc-spf-best-practices-email-security-deliverability/ 

[2] Verizon. "2024 Data Breach Investigations Report." https://www.verizon.com/business/resources/reports/dbir/ 

[3] Yahoo. "Sender Best Practices." https://senders.yahooinc.com/best-practices/ 

[4] Microsoft. "Strengthening Email Ecosystem: Outlook's New Requirements for High-Volume Senders." https://techcommunity.microsoft.com/blog/microsoftdefenderforoffice365blog/strengthening-email-ecosystem-outlook's-new-requirements-for-high-volume-senders/4399730 

[5] IETF. "RFC 7208: Sender Policy Framework." https://datatracker.ietf.org/doc/html/rfc7208 

[6] Mailhardener. "El límite de consultas SPF explicado." https://www.mailhardener.com/blog/spf-lookup-limit-explained 

[7] URIports. "SPF Macros: Superando el límite de 10 consultas DNS." https://www.uriports.com/blog/spf-macros-max-10-dns-lookups/ 

[8] Mailhardener. "No aplanes tu registro SPF." https://www.mailhardener.com/blog/do-not-flatten-spf 

[9] M3AAWG. "Mejores prácticas recomendadas de autenticación de correo." https://www.m3aawg.org/sites/default/files/m3aawg-email-authentication-recommended-best-practices-09-2020.pdf 

[10] IETF. "RFC 6376: Firmas DKIM." https://datatracker.ietf.org/doc/html/rfc6376 

[11] Twilio SendGrid. "Claves DKIM de 2048 bits: longitud y mejores prácticas." https://www.twilio.com/en-us/blog/insights/2048-bit-dkim-keys 

[12] M3AAWG. "Prácticas recomendadas para la rotación de claves DKIM." https://www.m3aawg.org/DKIMKeyRotation 

[13] Suped. "¿Con qué frecuencia debes rotar tus claves DKIM y cuál es la mejor longitud?" https://www.suped.com/knowledge/email-authentication/dmarc/how-often-should-you-rotate-your-dkim-keys-and-what-key-length-is-best 

[14] Mailgun. "¿Cómo puedo rotar mi clave DKIM?" https://help.mailgun.com/hc/en-us/articles/16956951504539-How-can-I-rotate-my-DKIM-key 

[15] IETF. "RFC 7489: Domain-based Message Authentication, Reporting, and Conformance." https://datatracker.ietf.org/doc/html/rfc7489 

[16] Red Sift. "OnDMARC." https://redsift.com/pulse-platform/ondmarc 

[17] Red Sift. "SPF, DKIM & DMARC: Protocolos esenciales de correo electrónico explicados." https://redsift.com/guides/email-protocol-configuration-guide/all-you-need-to-know-about-spf-dkim-and-dmarc 

[18] Cisco. "Cisco Secure Email + Red Sift Domain Protection." https://docs.ces.cisco.com/docs/red-sift-cisco-secure-email 

[19] URIports. "SPF, DKIM y DMARC: Mejores prácticas." https://www.uriports.com/blog/spf-dkim-dmarc-best-practices/ 

[20] Red Sift. "OnDMARC Customer Success." https://redsift.com/customers/customer-success 

[21] Bright Defense. "200+ estadísticas de phishing para 2026." https://www.brightdefense.com/resources/phishing-statistics/