arrobaMail
Tutorial · Intermedio

Configurar SPF, DKIM y DMARC paso a paso

Guía práctica para autenticar tu dominio de envío en arrobaMail: qué hace cada registro, cómo publicarlos en tu DNS, cómo verificarlos y cómo endurecer DMARC.

Por Equipo editorial de arrobaMailPublicado 14 de junio de 202620 min8 pasos

Autenticar tu dominio es lo que les dice a Gmail, Outlook y Yahoo que los emails que salen "en tu nombre" son realmente tuyos. Desde 2024, los grandes buzones lo exigen a quienes envían a volumen: sin SPF, DKIM y DMARC, tu alcance se recorta. No garantiza el inbox —nada lo hace—, pero es la base sin la cual lo demás ni siquiera se evalúa a tu favor.

Suena técnico, pero son tres registros de texto que se publican una vez. Y si no manejás el DNS de tu dominio, tranquilo: te mostramos qué es y qué valores pasarle a tu proveedor de hosting para que lo haga por vos. Esta guía te lleva por los tres registros, la verificación y el endurecimiento posterior.

¿Recién arrancás? Verificá primero tu remitente —son 5 minutos y con eso ya podés enviar—: Verificar tu remitente en 5 minutos. Esta guía es el paso siguiente: autenticar el dominio para llevar tu entregabilidad al máximo. Es la parte más técnica, pero la hacés una sola vez (o se la pasás a tu proveedor).

Antes de empezar

  • Un dominio propio (ej. tudominio.com), no una casilla gratuita.
  • Acceso al panel DNS de tu dominio (donde lo registraste o tu proveedor de hosting).
  • Los valores de SPF y DKIM que te indica arrobaMail para tu cuenta.

Los 8 pasos

  1. 1

    Entendé qué hace cada registro

    SPF autoriza servidores; DKIM firma el mensaje; DMARC pone la regla y reporta.

  2. 2

    Verificá tu casilla de remitente

    Certificás el email desde el que vas a enviar dentro de arrobaMail.

  3. 3

    Entrá al panel DNS de tu dominio

    Es donde vas a publicar los registros; suele estar en tu registrador o hosting.

  4. 4

    Publicá el registro SPF

    Un TXT que declara qué servidores pueden enviar en tu nombre.

  5. 5

    Publicá el registro DKIM

    Un TXT (o CNAME) con la clave pública que firma tus envíos.

  6. 6

    Publicá el registro DMARC en modo monitoreo

    Empezás con p=none para observar sin bloquear nada.

  7. 7

    Verificá la propagación

    Confirmás que los tres registros están bien publicados y resueltos.

  8. 8

    Leé los reportes y endurecé la política

    Con datos, subís DMARC a quarantine y luego reject.

1. Entendé qué hace cada registro

Antes de tocar nada, conviene tener claro el rol de cada uno —así, si algo falla, sabés dónde mirar:

  • SPF (Sender Policy Framework). Es una lista pública de "quién está autorizado a enviar emails usando mi dominio". Si llega un correo de un servidor que no está en la lista, es sospechoso.
  • DKIM (DomainKeys Identified Mail). Es una firma digital en cada email. Garantiza dos cosas: que el mensaje salió de un emisor autorizado y que nadie lo modificó en el camino.
  • DMARC. Es la regla que une a los dos anteriores: le dice al buzón qué hacer si un correo no pasa SPF ni DKIM (dejarlo pasar, mandarlo a spam o rechazarlo) y, además, te envía reportes de quién está enviando en tu nombre.

La forma simple de recordarlo: SPF autoriza, DKIM firma, DMARC pone la regla y te avisa.

2. Verificá tu casilla de remitente

Dentro de arrobaMail, certificá primero el email desde el que vas a enviar (la "verificación de remitente"). Es un paso rápido —un código o enlace de confirmación a esa casilla— y es independiente del DNS, pero es el punto de partida: arrobaMail te va a mostrar, junto a esa casilla, los valores exactos de SPF y DKIM que tenés que publicar para tu cuenta. Anotalos o dejá esa pantalla abierta; los vas a usar en los próximos pasos.

3. Entrá al panel DNS de tu dominio

Los registros se publican en el DNS de tu dominio, no dentro de arrobaMail. El DNS suele administrarse donde compraste el dominio (tu registrador) o en tu proveedor de hosting/Cloudflare. Buscá una sección llamada "DNS", "Zona DNS" o "Registros DNS".

Tip · ¿Qué es el DNS?

Pensá el DNS como la guía de tu dominio

El DNS es donde se anotan unos registros que le dicen a internet cómo tratar tu dominio y tu correo. Se administra donde compraste el dominio o en tu proveedor de hosting —no dentro de arrobaMail—.

¿No lo manejás vos o no sabés entrar? No hace falta que lo hagas solo: copiá los valores que te da arrobaMail y pedile el cambio a tu proveedor de hosting o a quien administra tu dominio. Para ellos es un trámite de dos minutos.

Ahí vas a poder agregar registros de tipo TXT y CNAME. Si nunca lo tocaste, no te asustes: agregar un registro es como sumar una fila a una tabla. Eso sí, no borres registros existentes que no entiendas.

Tip: los cambios en el DNS no son instantáneos. Suelen propagarse en minutos, pero pueden tardar hasta varias horas. Paciencia: si recién publicaste, esperá antes de dar algo por roto.

4. Publicá el registro SPF

El SPF es un registro TXT en la raíz de tu dominio. arrobaMail te indica el valor exacto; tiene una forma parecida a esta:

v=spf1 include:_spf.arrobamail.com ~all

Puntos clave:

  • Un solo registro SPF por dominio. Si ya tenés uno (por ejemplo, de Google Workspace), no crees otro: agregás el include de arrobaMail dentro del que ya existe. Tener dos registros SPF invalida ambos.
  • El cierre importa. ~all (softfail) es lo habitual mientras te asegurás de que todo está bien. Nunca uses +all: autoriza a cualquiera a enviar en tu nombre.
  • Si querés entender cada parte, lo desarmamos en SPF en detalle.

5. Publicá el registro DKIM

El DKIM es la clave pública que permite verificar la firma de tus envíos. arrobaMail te da el valor y el selector (la "etiqueta" del registro; en arrobaMail suele ser fm). Según el caso, lo publicás como un TXT en fm._domainkey.tudominio.com o como un CNAME, tal como te lo indique la plataforma.

Copiá el valor tal cual, sin agregar ni sacar espacios ni saltos de línea: la clave es larga y un carácter de más la rompe. Si tu panel DNS parte los valores largos en varias líneas, no te preocupes —es visual—, lo importante es pegar el contenido exacto.

Más detalle y solución de problemas en DKIM en detalle.

6. Publicá el registro DMARC en modo monitoreo

El DMARC es un TXT en _dmarc.tudominio.com. Para empezar, publicalo en modo monitoreo (p=none): observa y reporta sin bloquear nada, así no arriesgás cortar envíos legítimos mientras verificás que SPF y DKIM funcionan. Un valor inicial típico:

v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com
  • p=none → no bloquea; solo reporta.
  • rua=mailto: → la casilla donde vas a recibir los reportes agregados (creala si no existe).

Dejalo en p=none al menos una o dos semanas para juntar datos antes de endurecer. Profundizamos en DMARC en detalle.

7. Verificá la propagación

Con los tres publicados, confirmá que quedaron bien. La forma más rápida es correr el diagnóstico de reputación de dominio: te muestra el estado de SPF, DKIM y DMARC en segundos, sin pedirte datos, y te marca en amarillo o rojo lo que falte ajustar.

Si algo no aparece todavía, dale tiempo a la propagación y volvé a chequear. Errores comunes en este punto: dos registros SPF conviviendo, el valor DKIM con un espacio de más, o el DMARC publicado en el host equivocado (tiene que ser _dmarc).

8. Leé los reportes y endurecé la política

Después de unos días en p=none, vas a empezar a recibir los reportes DMARC. Te van a mostrar qué servidores envían en tu nombre y si pasan o no la autenticación. Cuando veas que tus envíos legítimos (arrobaMail y cualquier otra herramienta que uses) pasan correctamente, podés endurecer la política en dos pasos:

  1. Pasá a p=quarantine: los correos que no autentican van a spam en vez de entrar.
  2. Cuando estés seguro, subí a p=reject: directamente se rechazan. Es el nivel que más protege tu dominio contra suplantación.

No saltes directo a reject sin pasar por el monitoreo: si un servicio legítimo tuyo no estaba bien configurado, lo cortarías sin enterarte.

Errores frecuentes a evitar

  • Dos registros SPF. Es el error más común y silencioso: invalida la autenticación. Unificá todo en uno solo.
  • Usar +all en SPF. Equivale a no tener SPF; autoriza a cualquiera.
  • Pegar el código DKIM con un espacio de más o cortado en dos. Es un texto largo: copialo y pegalo tal cual te lo da arrobaMail, sin agregar espacios ni partirlo en varias líneas. Un solo carácter cambiado lo invalida.
  • Ir directo a p=reject. Sin monitoreo previo, podés cortar tus propios envíos.
  • Desesperar por la propagación. Esperá unas horas antes de declarar que algo falló.

Próximos pasos

Con el dominio autenticado, tus campañas parten con la mejor base posible. Ahora:

  1. Creá y enviá tu primera campaña con la tranquilidad de que estás bien parado.
  2. Si querés entender la foto completa de la entregabilidad (reputación, calentamiento, Health Score), pasá por la sección de entregabilidad.

¿Dudas con un registro puntual? Corré el diagnóstico gratuito y fijate qué te marca.

Empezá con arrobaMail
en menos de 5 minutos.

Plan Gratuito, generaciones de IA incluidas, sin tarjeta de crédito y soporte real en español.

Probar gratis ahora
WhatsAppTe responde el equipo