La guía completa de Red Sift sobre la seguridad del correo electrónico

El Sender Policy Framework (SPF) es un protocolo de autenticación de correo electrónico diseñado para impedir que los atacantes envíen correos que aparenten provenir de tu dominio. Una política SPF indica a los servidores de correo de destino qué fuentes de envío son legítimas para tu dominio, ayudando así a prevenir el robo de identidad, el phishing y la suplantación de dominio. A partir de 2026, SPF será un requisito fundamental para las organizaciones que envíen correos electrónicos masivos.

Tu política SPF se publica en tu Domain Name System (DNS) como un registro TXT e indica qué servidores de correo (direcciones IP) están autorizados para enviar correos electrónicos en tu nombre. Cuando se envía un correo, el servidor de destino revisa esta política para confirmar si la dirección IP de envío está permitida. Si lo está, el mensaje se entrega; si no, puede marcarse como spam o ser rechazado.

Una consulta SPF (lookup) indica el proceso en el que el DNS de destino debe "buscar" las direcciones IP listadas en el comando include de tu registro para verificar si coinciden con la dirección IP desde la que se está enviando tu correo electrónico.

Un SPF include es un mecanismo en los registros SPF mediante el cual el propietario de un dominio puede incluir los registros SPF de otros dominios dentro de su propia política SPF. Esto facilita la gestión y garantiza que las políticas de envío de los dominios incluidos sean consideradas durante la validación de los correos enviados desde el dominio principal.

El límite de consultas SPF representa el número máximo de búsquedas que un DNS de destino puede realizar para un dominio. Este límite está fijado en 10.

Puedes incluir una cantidad ilimitada de direcciones IP individuales en tu registro sin generar búsquedas adicionales de DNS, ya que son visibles directamente en el registro.

Sin embargo, esta regla no se aplica a los comandos include: cada include implica una búsqueda adicional en el DNS de destino. Todas estas búsquedas cuentan para el límite máximo de 10.

Por ejemplo, puedes especificar 3 direcciones IP directamente en tu registro SPF, un comando include para Google (con 4 IP) y uno para Mimecast (con 6 IP). Para las IP directas no son necesarias búsquedas, pero para los includes de Google y Mimecast sí. En ese caso, alcanzas el máximo de 10 consultas.

En realidad, 10 consultas no suelen ser suficientes porque la mayoría de empresas utiliza múltiples herramientas para enviar correos, cada una con su propio comando include que a su vez contiene direcciones IP y, por lo tanto, genera otras consultas. Si superas el límite, probablemente la autenticación fallará y tu tasa de entrega se verá afectada. A partir de 2026, se recomiendan soluciones SPF dinámicas para gestionar esta limitación, evitando la administración manual y el aplanamiento constante de los registros SPF.

Una de las principales razones por las que el registro SPF de tus correos falla es el mensaje de error "demasiadas consultas DNS". La especificación SPF limita el número de búsquedas DNS a un máximo de 10. Si tu registro genera más de 10, SPF fallará. Los mecanismos SPF que cuentan para el límite son: a, ptr, mx, include, redirect y exists. Los mecanismos "ip4", "ip6" y "all" no cuentan para este límite.

Si todo esto te parece demasiado técnico, aquí tienes un ejemplo: G Suite por sí sola requiere cuatro consultas DNS, Hubspot para marketing necesita otras siete, ¡y ya has superado el límite! Al rebasar el umbral, corres el riesgo de que algunos de tus correos no pasen los controles. Por eso, desde 2026, las organizaciones confían en una gestión SPF dinámica en lugar de mantener y "aplanar" los registros manualmente.

DKIM significa DomainKeys Identified Mail y es un protocolo de autenticación de correo electrónico que impide que los mensajes sean alterados durante el tránsito, una práctica utilizada frecuentemente en el phishing y el fraude.

DKIM es un estándar más reciente y complejo que SPF. Se basa en la criptografía asimétrica para firmar ciertas partes del correo electrónico. La clave privada se mantiene segura en el servidor remitente y es invisible para el usuario final. La clave pública se publica en el DNS del dominio remitente para permitir la verificación de la firma del correo.

En la práctica, esto significa que, al crear un correo electrónico, los encabezados y el contenido se firman con la clave privada del remitente. Esta firma digital se inserta en el encabezado del mensaje. Al recibirlo (si DKIM está activo), el servidor de destino recupera la clave pública y verifica que el correo haya sido efectivamente firmado por el remitente. Una verificación exitosa demuestra que el dominio remitente es realmente el origen y que encabezados y contenido no han sido alterados durante el tránsito.

Una firma DKIM es un valor criptográfico único que se inserta en el encabezado de cada correo saliente. Este valor se genera a partir de la clave privada DKIM del remitente y permite al servidor receptor obtener la clave pública del DNS y verificar que el mensaje provenga de una fuente autorizada y no haya sido modificado durante el tránsito.

Una clave DKIM consiste en un par de claves que se utiliza para la autenticación DKIM. La clave privada se guarda de manera segura en el servidor de correo saliente y genera la firma DKIM para cada correo enviado. La clave pública se publica como un registro TXT en el DNS del dominio remitente, permitiendo que los servidores receptores verifiquen la firma y aseguren la integridad y autenticidad del correo.

Todos los detalles técnicos sobre DKIM están disponibles en nuestra guía técnica de configuración.

Sí. DKIM (DomainKeys Identified Mail) es un protocolo de autenticación fundamental para el correo electrónico, protege contra spoofing, phishing y manipulación de correos. Cada correo enviado se firma con una firma criptográfica que permite a los servidores receptores verificar que el contenido no haya sido alterado y que provenga de un dominio autorizado. DKIM también es parte integral de la verificación DMARC y funciona junto a SPF para asegurar la alineación de dominios y elevar la seguridad del correo. Los principales proveedores de email han hecho DKIM obligatorio para correos masivos, haciéndolo imprescindible para la entrega desde 2026.

SPF (Sender Policy Framework) verifica que un correo provenga de una dirección IP autorizada por el registro SPF del dominio remitente. DKIM (DomainKeys Identified Mail) utiliza una firma criptográfica, verificada mediante una clave pública publicada en el DNS, para garantizar que el contenido del mensaje no haya sido alterado y que el correo haya sido realmente enviado por un dominio autorizado. SPF se enfoca en la autorización de envío, mientras que DKIM asegura la integridad y autenticidad del mensaje.