Como Configurar SPF, DKIM y DMARC: Guia Tecnica Paso a Paso 2026

Piensa en estos protocolos como el sistema de seguridad de tu email: **SPF (Sender Policy Framework)**: es una lista de servidores autorizados para enviar emails desde tu dominio. Le dice a Gmail: 'Solo estos servidores pueden enviar emails como @tudominio.com'. Sin SPF, cualquiera puede falsificar tu dominio. **DKIM (DomainKeys Identified Mail)**: es una firma digital que se agrega a cada email. Prueba que el email no fue modificado en transito y que realmente viene de ti. **DMARC (Domain-based Message Authentication, Reporting and Conformance)**: es la politica que dice que hacer cuando SPF o DKIM fallan. Puede monitorear (none), cuarentenar (quarantine) o rechazar (reject). **Los tres juntos** crean un sistema de confianza: SPF verifica el origen, DKIM verifica la integridad, y DMARC define la accion. Sin ellos, tu tasa de entrega cae hasta un 63%.

SPF se configura agregando un registro TXT a tus DNS. **Paso 1**: Identifica todos los servicios que envian email desde tu dominio (tu ESP como AutoNewsletter AI/Resend, Google Workspace, Microsoft 365, etc). **Paso 2**: Ve a tu panel de DNS (GoDaddy, Cloudflare, Namecheap, etc). **Paso 3**: Crea un registro TXT con: Host: @ (o tu dominio). Valor: `v=spf1 include:_spf.google.com include:amazonses.com include:resend.com ~all`. Incluye cada servicio con 'include:'. **Paso 4**: Importante: solo puedes tener UN registro SPF por dominio. Si ya tienes uno, editalo para agregar los includes nuevos. **Paso 5**: Verifica con tools como MXToolbox SPF Checker. **Errores comunes**: tener multiples registros SPF (solo el primero se lee), exceder 10 DNS lookups (limite de SPF), y usar '-all' (hard fail) en lugar de '~all' (soft fail) cuando estas empezando.

DKIM requiere generar claves y agregarlas a tus DNS. **Paso 1**: En tu ESP (Resend, Mailchimp, etc), busca la seccion de autenticacion/DKIM. El servicio te dara 1-3 registros DNS (tipo CNAME o TXT) para agregar. **Paso 2**: Ve a tu panel de DNS y agrega cada registro exactamente como te lo da tu ESP. Copia y pega, no escribas a mano (un caracter diferente y falla). **Paso 3**: Espera la propagacion DNS (puede tomar 15 minutos a 48 horas). **Paso 4**: Regresa a tu ESP y haz clic en 'Verificar'. Debe aparecer como verificado/activo. **Con Resend (que usa AutoNewsletter AI)**: Resend te da 3 registros CNAME. Agregarlos toma 5 minutos. **Tip**: si usas multiples ESPs, cada uno tendra su propio DKIM. A diferencia de SPF, puedes tener multiples registros DKIM sin problema. **Verificacion**: envia un email de prueba a mail-tester.com y revisa el score de DKIM.

DMARC se configura despues de SPF y DKIM. **Paso 1**: Agrega un registro TXT en tus DNS. Host: _dmarc (o _dmarc.tudominio.com). Valor inicial: `v=DMARC1; p=none; rua=mailto:dmarc-reports@tudominio.com`. **Paso 2**: Empieza con p=none (solo monitoreo). Esto te permite ver quien envia emails desde tu dominio sin bloquear nada. **Paso 3**: Durante 2-4 semanas, revisa los reportes que llegan a tu email de rua. Identifica envios legitimos y no autorizados. **Paso 4**: Una vez que confirmes que SPF y DKIM funcionan para todos tus envios legitimos, cambia a p=quarantine (emails que fallan van a spam). **Paso 5**: Despues de 2-4 semanas mas sin problemas, cambia a p=reject (emails que fallan se rechazan). **Timeline completo**: none (4 semanas) → quarantine (4 semanas) → reject. No saltes directamente a reject o bloquearas emails legitimos. **Bonus**: DMARC habilitado es prerequisito para BIMI (mostrar tu logo en el inbox de Gmail).