SPF y DMARC: las 2 pruebas de email que cada auditoría debería incluir
El sitio web de tu cliente es impecable. Pero sus emails llegan al spam. SPF y DMARC toman 30 segundos en verificar y pueden evitar desastres de entregabilidad — o ataques de phishing.
- SPF y DMARC son registros DNS que autentican los remitentes de email — sin ellos, cualquiera puede enviar emails haciéndose pasar por el dominio de tu cliente
- Desde febrero de 2024, Gmail y Outlook exigen SPF y DMARC para remitentes masivos — la ausencia de estos registros impacta directamente la entregabilidad
- Estas verificaciones toman 30 segundos y pueden evitar desastres: facturas perdidas, contactos fallidos, ataques de phishing a tus clientes
Imagina la escena: tu cliente te llama. Acaba de lanzar una campaña de email para presentar sus nuevos servicios. ¿Resultado? Cero respuestas. Los mensajes llegan al spam, o peor, estafadores envían emails fraudulentos desde su dominio a sus propios clientes.
La mayoría de las auditorías web verifican SSL, rendimiento, SEO, accesibilidad. Pero ignoran dos registros DNS que toman 30 segundos en verificar y que literalmente pueden salvar un negocio: SPF y DMARC.
No son detalles técnicos oscuros. Son escudos invisibles que protegen la credibilidad email de un dominio. Y desde febrero de 2024, Gmail y Outlook los exigen explícitamente. Si tu auditoría no los verifica, le falta algo esencial.
¿Qué es SPF? (Sender Policy Framework)
SPF es un registro DNS de tipo TXT que lista los servidores autorizados para enviar emails en nombre de un dominio. Cuando un servidor recibe un email que dice venir de tu-cliente.com, consulta el registro SPF de ese dominio para verificar si el servidor remitente está en la lista de remitentes autorizados.
Si el servidor no está en la lista, el email puede marcarse como spam o rechazarse. Así de simple.
Cómo funciona, paso a paso:
- Un email se envía desde server.hosting.com afirmando ser de tu-cliente.com
- El servidor destinatario consulta el DNS: ¿cuál es el registro SPF de tu-cliente.com?
- Compara la IP del servidor remitente con la lista SPF
- Si la IP está autorizada: el email pasa. Si no: spam o rechazo según la política
Ejemplo de registro SPF (Google Workspace):
v=spf1 include:_spf.google.com ~all
El mecanismo `~all` indica "fallo suave" para los emails no listados. El mecanismo `-all` es más estricto y los rechaza completamente. Evita `+all` que autoriza a cualquiera a enviar — es lo mismo que no tener SPF.
¿Qué es DMARC? (Domain-based Message Authentication, Reporting & Conformance)
DMARC va más allá que SPF solo. Se basa en SPF y DKIM (otro método de autenticación que firma criptográficamente los emails) para definir una política clara: ¿qué hacer cuando un email falla la autenticación?
Sin DMARC, aunque SPF diga "este email es sospechoso", cada servidor de correo decide por sí mismo qué hacer. Con DMARC, das instrucciones claras.
Las 3 políticas DMARC:
- p=none — Modo vigilancia: el email pasa pero recibes informes. Es el punto de partida recomendado.
- p=quarantine — Los emails sospechosos van al spam. Es el nivel intermedio.
- p=reject — Los emails no autenticados se rechazan completamente. Es el nivel máximo de protección.
Ejemplo de registro DMARC:
v=DMARC1; p=quarantine; rua=mailto:dmarc@votredomaine.com; pct=100
El atributo `rua` permite recibir informes agregados por email — te indican quién intenta enviar emails suplantando tu dominio. Una herramienta valiosa para detectar intentos de suplantación antes de que causen daños.
Por qué es crítico para tus clientes
La pregunta no es "¿es útil?" sino "¿cuál es el coste de no tenerlo?"
En febrero de 2024, Google y Microsoft anunciaron nuevos requisitos para los remitentes masivos de email. SPF y DMARC ya no son opcionales para llegar a las bandejas de Gmail y Outlook. Un dominio sin estos registros ve caer sus tasas de apertura y sus emails terminan sistemáticamente en spam.
Sin SPF ni DMARC, cualquiera puede enviar emails haciéndose pasar por tu-cliente.com. Los estafadores pueden contactar a los clientes de tu cliente, sus proveedores, su banco — usando su nombre de dominio. El daño reputacional puede ser irreversible.
Los proveedores de email mantienen puntuaciones de reputación para cada dominio. Un dominio sin SPF/DMARC acumula menos "confianza". A largo plazo, incluso los emails legítimos terminan en spam. Es un problema que empeora con el tiempo.
Los 3 errores más comunes
Error n°1: Ningún registro SPF
El caso más frecuente, especialmente en dominios antiguos o poco mantenidos. El dominio envía emails (via Gmail, Mailchimp, o el CMS) sin ningún registro SPF. Cada email no autenticado es un riesgo de entregabilidad y phishing.
Error n°2: SPF demasiado permisivo con +all
Un registro SPF que termina en `+all` literalmente permite que cualquier servidor envíe emails para ese dominio. Es peor que no tener SPF: da una falsa sensación de seguridad. Busca `+all` en los registros SPF de tus clientes — es una alerta roja.
Error n°3: DMARC bloqueado en p=none indefinidamente
Empezar con `p=none` es el enfoque correcto (modo vigilancia). Pero muchos dominios se quedan ahí para siempre. Sin pasar a `p=quarantine` y luego a `p=reject`, DMARC no ofrece protección real — observa sin actuar nunca.
Cómo verificar SPF y DMARC en 30 segundos
No se necesitan herramientas sofisticadas. Dos comandos de línea de comandos (o herramientas web) son suficientes:
Verificar SPF con dig:
Verificar DMARC con dig:
Herramientas online gratuitas:
- MXToolbox (mxtoolbox.com) — analiza SPF, DMARC y DKIM con explicaciones
- Google Admin Toolbox (toolbox.googleapps.com) — herramienta oficial de Google
- DMARC Analyzer (dmarcanalyzer.com) — análisis y generador de registros
Qué buscar:
- SPF presente: el registro TXT empieza por v=spf1
- SPF sin +all: el mecanismo final debe ser ~all o -all
- DMARC presente: el registro TXT de _dmarc. empieza por v=DMARC1
- DMARC no bloqueado en none para siempre: idealmente p=quarantine o p=reject
Cómo Orilyt va a probar SPF y DMARC
Las verificaciones SPF y DMARC forman parte del Lote 1 de los nuevos tests multi-CMS de Orilyt, actualmente en desarrollo.
Estos tests serán completamente externos: una simple consulta DNS, sin acceso de administrador, sin plugin, compatible con todos los CMS (WordPress, Wix, Squarespace, Shopify, sitios a medida...). Si el dominio existe, el test funciona.
- Verificación DNS externa: no se necesita acceso al sitio
- Compatible con todos los CMS: WordPress, Webflow, Shopify, sitios a medida
- Incluido automáticamente en cada auditoría Orilyt
- Recomendación FIA generada: Hecho, Impacto, Acción — lista para presentar al cliente
El objetivo: que cada informe Orilyt incluya automáticamente una sección "Email y Seguridad" con el estado SPF y DMARC, y una recomendación clara si alguno está ausente o mal configurado.
La auditoría email: el quick win que nadie revisa
SPF y DMARC son probablemente las verificaciones más ignoradas en una auditoría web tradicional. No son visibles en el navegador, no afectan la puntuación PageSpeed, y sin embargo tienen un impacto directo en el negocio: emails perdidos, suplantación de identidad, reputación dañada.
Para un freelance o una agencia, incluir estas verificaciones en cada auditoría es tanto una ventaja competitiva como un servicio real a los clientes. ¿Cuántas pymes tienen registros SPF inexistentes o mal configurados? La respuesta te sorprendería.
La buena noticia: corregirlos lleva 10 minutos en el panel del proveedor de hosting. Pero primero hay que detectarlos. Eso es exactamente lo que Orilyt hará automáticamente en cada auditoría.