SPF: quién puede enviar
SPF es un registro TXT que enumera los servicios autorizados para enviar correo con tu dominio. Debe existir un solo registro SPF; si usas varias plataformas, integra sus mecanismos en la misma política.
DKIM: cómo se verifica el mensaje
DKIM añade una firma criptográfica a cada correo. El proveedor guarda la clave privada y publica la clave de verificación en DNS. Activa una clave suficientemente fuerte y rota los selectores cuando el proveedor lo recomiende.
DMARC: qué hacer si algo falla
DMARC comprueba que SPF o DKIM estén alineados con el dominio visible del remitente y permite pedir reportes. Empieza con una política de monitoreo, revisa las fuentes legítimas y avanza gradualmente a cuarentena o rechazo.
Orden recomendado
Primero inventaría todos los servicios que envían correo: buzones, CRM, facturación, formularios y newsletters. Configura SPF y DKIM, valida cada fuente, publica DMARC con reportes y endurece la política cuando ya no existan envíos legítimos sin autenticar.
La autenticación mejora la confianza, pero no garantiza la bandeja de entrada. También cuida reputación, consentimiento, bajas, contenido y volumen de envío.



