Configurar bien el correo: SPF, DKIM y DMARC para principiantes (Parte 3 de 3)
Serie „Tu propio servidor – de 0 a seguro" · 3 partes:
- Configurar & asegurar un vServer Debian
- Instalar & configurar Froxlor
- Configurar bien el correo: SPF, DKIM & DMARC ← Estás aquí
Esta guía es la Parte 3 y cierra la serie. Presupone un servidor con servidor de correo, como el construido en la Parte 1 y la Parte 2.

Índice
- Requisitos previos
- ¿Qué son SPF, DKIM y DMARC?
- Paso 1: Configurar SPF
- Paso 2: Configurar DKIM (firmar en el propio servidor)
- Paso 3: Configurar DMARC
- Paso 4: Verificar y probar todo
- Errores frecuentes y soluciones
- Lista de comprobación
- Preguntas frecuentes (FAQ)
- Conclusión
- Fuentes
De un vistazo: SPF, DKIM y DMARC son tres registros en el DNS de tu dominio. Demuestran que un correo proviene realmente de ti. Sin ellos, hoy tus mensajes acaban a menudo en el spam – o se rechazan por completo. Desde 2024, Google y Yahoo exigen esta autenticación, Microsoft desde 2025. La configuración lleva 20–30 minutos.
Si envías correos a través de tu propio servidor (p. ej. facturas o mensajes del formulario de contacto), no basta con „solo" operar un servidor de correo. También debes demostrar a los servidores receptores que el correo es auténtico. Para ello hay tres componentes. Los configuramos los tres – para principiantes y para copiar.
Requisitos previos
- Un servidor con servidor de correo (Postfix/Dovecot), p. ej. configurado mediante Froxlor en la Parte 2.
- El acceso a la gestión DNS de tu dominio – la zona en el proveedor del dominio (o en Froxlor, si gestionas allí el DNS) donde puedes crear „registros TXT".
- La dirección IP de tu servidor.
Importante – el orden correcto: Configura primero SPF y DKIM y espera a que ambos estén activos (al menos unas horas) antes de activar DMARC. Y arranca DMARC siempre con el ajuste suave
p=none.
¿Qué son SPF, DKIM y DMARC?
Tres imágenes sencillas:
- SPF es la lista de invitados. Define qué servidores pueden enviar correos en tu nombre. Si el servidor remitente no está en la lista, el correo es sospechoso.
- DKIM es la firma digital. Cada correo saliente se firma criptográficamente. El destinatario verifica que sea auténtico y no haya sido modificado por el camino.
- DMARC es el reglamento. Le dice al destinatario qué hacer si SPF o DKIM fallan: dejar pasar, mover al spam o rechazar. Y te envía informes.
Los tres son técnicamente solo registros TXT en el DNS – salvo la clave DKIM, que generamos en el servidor. Una explicación muy buena y detallada la ofrece la guía de Mailvergleich.de.
Paso 1: Configurar SPF
SPF es un único registro TXT que creas en el DNS de tu dominio. Ve a la gestión DNS y crea un nuevo registro:
Tipo: TXT
Nombre: @ (representa el dominio principal)
Valor: v=spf1 a mx ip4:SERVER-IP -all
Sustituye SERVER-IP por la IP de tu servidor. Qué significan las partes:
v=spf1– identificador de versión (siempre al principio).a mx– los servidores a los que apuntan los registros A y MX del dominio pueden enviar.ip4:SERVER-IP– esta IP concreta puede enviar.-all– todos los demás no pueden enviar (variante estricta). Si no estás seguro o usas servicios adicionales (newsletter, CRM), empieza con la variante más suave~ally pasa más tarde a-all.
¡Un solo registro SPF! Un dominio puede tener exactamente un registro TXT SPF. Si usas otros servicios, añade sus entradas
include:en este único registro, p. ej.v=spf1 a mx include:_spf.example.com -all.
Paso 2: Configurar DKIM (firmar en el propio servidor)
A diferencia de un buzón alquilado, DKIM debes generarlo en tu propio servidor. Usamos para ello OpenDKIM, que se integra en Postfix y firma cada correo saliente.
2.1 Instalar OpenDKIM:
sudo apt install -y opendkim opendkim-tools
2.2 Generar la clave (sustituye tu-dominio.es):
sudo mkdir -p /etc/opendkim/keys/tu-dominio.es
sudo opendkim-genkey -b 2048 -d tu-dominio.es -D /etc/opendkim/keys/tu-dominio.es -s mail -v
sudo chown -R opendkim:opendkim /etc/opendkim
2.3 Configurar OpenDKIM. Abre la configuración principal:
sudo nano /etc/opendkim.conf
Añade al final:
Canonicalization relaxed/simple
Mode sv
Socket inet:8891@localhost
KeyTable /etc/opendkim/KeyTable
SigningTable /etc/opendkim/SigningTable
ExternalIgnoreList /etc/opendkim/TrustedHosts
InternalHosts /etc/opendkim/TrustedHosts
Crea las tres tablas:
echo "mail._domainkey.tu-dominio.es tu-dominio.es:mail:/etc/opendkim/keys/tu-dominio.es/mail.private" | sudo tee /etc/opendkim/KeyTable
echo "*@tu-dominio.es mail._domainkey.tu-dominio.es" | sudo tee /etc/opendkim/SigningTable
printf "127.0.0.1\nlocalhost\ntu-dominio.es\n" | sudo tee /etc/opendkim/TrustedHosts
2.4 Conectar OpenDKIM con Postfix. Abre la configuración de Postfix:
sudo nano /etc/postfix/main.cf
Añade al final:
milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891
Reinicia los servicios:
sudo systemctl restart opendkim postfix
2.5 Publicar el registro DNS DKIM. OpenDKIM ha escrito tu clave pública en un archivo. Muéstralo:
sudo cat /etc/opendkim/keys/tu-dominio.es/mail.txt
Ves un valor largo con la forma v=DKIM1; k=rsa; p=.... Crea con él un registro TXT en el DNS:
Tipo: TXT
Nombre: mail._domainkey
Valor: v=DKIM1; k=rsa; p=MIIBI... (el valor p= completo del archivo)
Una ayuda ilustrada paso a paso para DKIM la encuentras también en saschafix.de.
Paso 3: Configurar DMARC
DMARC conecta SPF y DKIM y establece la regla. Crea otro registro TXT en el DNS:
Tipo: TXT
Nombre: _dmarc
Valor: v=DMARC1; p=none; rua=mailto:dmarc@tu-dominio.es; fo=1
Significado:
p=none– observar, pero no bloquear nada. Así empiezas siempre, para ver si todo funciona limpio sin poner en peligro los correos legítimos.rua=mailto:dmarc@tu-dominio.es– a esta dirección los destinatarios envían informes diarios. Crea este buzón.fo=1– informes de error más detallados.
Endurecer gradualmente: Cuando tras una o dos semanas los informes muestren que tus correos reales superan SPF/DKIM, aumenta la severidad – primero a p=quarantine (correos sospechosos al spam), luego a p=reject (correos sospechosos rechazados):
v=DMARC1; p=quarantine; rua=mailto:dmarc@tu-dominio.es; fo=1
¡Nunca empieces con
p=reject! De lo contrario arriesgas que también se rechacen correos legítimos (p. ej. de servicios de newsletter o CRM).
Paso 4: Verificar y probar todo
Los cambios DNS necesitan algo de tiempo (a menudo minutos, a veces hasta 24 horas). Luego verifica tu configuración con herramientas gratuitas:
- MXToolbox – verifica los registros SPF, DKIM y DMARC individualmente (elige arriba „SPF Record Lookup", „DKIM Lookup", „DMARC Lookup").
- mail-tester.com – envía un correo de prueba real a la dirección mostrada; el objetivo es una puntuación de al menos 8/10.
- Verificar la cabecera de Gmail: envíate un correo a una cuenta de Gmail, ábrelo, haz clic en los tres puntos → „Mostrar original". Allí debería aparecer „PASS" para SPF, DKIM y DMARC.
La prueba DKIM directamente en el servidor puedes hacerla además así:
sudo opendkim-testkey -d tu-dominio.es -s mail -vvv
Si aparece „key OK", la clave está publicada correctamente.
Errores frecuentes y soluciones
| Problema | Causa | Solución |
|---|---|---|
| Los correos siguen yendo al spam | DNS aún no propagado | esperar unas horas, verificar con MXToolbox |
| SPF „PermError" | más de un registro SPF | unir todas las entradas en un registro SPF |
| DKIM „fail" | valor p= incorrecto/incompleto | adoptar exactamente el valor completo de mail.txt (sin saltos de línea) |
| DMARC sin efecto | error de escritura en el nombre | el registro debe llamarse exactamente _dmarc |
| Sin informes DMARC | el buzón rua no existe | crear la dirección dmarc@tu-dominio.es |
Lista de comprobación
- [ ] Registro TXT SPF presente (exactamente uno), termina en
-allo~all - [ ] OpenDKIM instalado, conectado con Postfix, servicios reiniciados
- [ ] Registro TXT DKIM (
mail._domainkey) publicado,opendkim-testkeyindica „key OK" - [ ] Registro TXT DMARC (
_dmarc) conp=noneactivo - [ ] mail-tester.com muestra ≥ 8/10
- [ ] Gmail „Mostrar original": SPF, DKIM, DMARC = PASS
- [ ] Tras una o dos semanas DMARC aumentado a
quarantine/reject
Preguntas frecuentes (FAQ)
¿No basta solo con SPF? No. Google, Yahoo y Microsoft exigen al menos SPF o DKIM, pero para la mejor protección y entregabilidad configura los tres.
¿Qué diferencia hay entre ~all y -all? ~all („soft fail") marca a los remitentes no listados solo como sospechosos, -all („hard fail") los rechaza estrictamente. En caso de duda empieza con ~all y pasa más tarde a -all.
¿Son los informes DMARC relevantes para la protección de datos? Los informes agregados (rua) no contienen el contenido de los correos, sino estadísticas sobre direcciones IP y resultados de autenticación. Los informes forenses (ruf) pueden contener más – muchos renuncian por ello a ruf por motivos del RGPD.
¿Debo mantenerlo regularmente? Una vez configurado, funciona. Al principio revisa los informes DMARC y aumenta la severidad gradualmente.
Conclusión
En tres pasos has asegurado tus correos: SPF define quién puede enviar, DKIM firma cada mensaje, DMARC determina la regla y entrega informes. El orden es importante – primero SPF y DKIM, luego DMARC, y arrancar DMARC siempre con p=none. Tras la prueba en mail-tester.com sabes que tus correos llegan.
Así la serie está completa: en la Parte 1 configuraste un servidor seguro, en la Parte 2 instalaste Froxlor y aquí aseguraste el envío de correos.
¿No quieres operar todo esto tú mismo, sino que prefieres una solución llave en mano o un desarrollo a medida? PepperTools te apoya – contacta a través del formulario.
Fuentes
- Mailvergleich.de: configurar SPF, DKIM & DMARC
- saschafix.de: configurar SPF, DKIM & DMARC
- Google Workspace: autenticación de correo
- MXToolbox (herramientas de prueba) · mail-tester.com
- OpenDKIM (página del proyecto)
Actualizado a junio de 2026. Los comandos y requisitos de los grandes proveedores de correo pueden cambiar – sus indicaciones oficiales y la documentación del software usado son la referencia.
Gestiona facturas con mas facilidad
Easy Invoice combina presupuestos, facturas y gestion de clientes en la nube.
Probar Easy Invoice