Guia PepperTools
Tecnología y servidores

Configurar bien el correo: SPF, DKIM y DMARC para principiantes (Parte 3 de 3)

Parte 3 de la serie „Tu propio servidor – de 0 a seguro": configurar SPF, DKIM y DMARC para que tus correos se entreguen de forma segura y no acaben en el spam. Con registros DNS para copiar, OpenDKIM en tu servidor y herramientas de prueba gratuitas.

Configurar bien el correo: SPF, DKIM y DMARC para principiantes (Parte 3 de 3)

Configurar bien el correo: SPF, DKIM y DMARC para principiantes (Parte 3 de 3)

Serie „Tu propio servidor – de 0 a seguro" · 3 partes:

  1. Configurar & asegurar un vServer Debian
  2. Instalar & configurar Froxlor
  3. Configurar bien el correo: SPF, DKIM & DMARCEstás aquí

Esta guía es la Parte 3 y cierra la serie. Presupone un servidor con servidor de correo, como el construido en la Parte 1 y la Parte 2.

SPF, DKIM und DMARC für Einsteiger

Índice


De un vistazo: SPF, DKIM y DMARC son tres registros en el DNS de tu dominio. Demuestran que un correo proviene realmente de ti. Sin ellos, hoy tus mensajes acaban a menudo en el spam – o se rechazan por completo. Desde 2024, Google y Yahoo exigen esta autenticación, Microsoft desde 2025. La configuración lleva 20–30 minutos.

Si envías correos a través de tu propio servidor (p. ej. facturas o mensajes del formulario de contacto), no basta con „solo" operar un servidor de correo. También debes demostrar a los servidores receptores que el correo es auténtico. Para ello hay tres componentes. Los configuramos los tres – para principiantes y para copiar.

Requisitos previos

  • Un servidor con servidor de correo (Postfix/Dovecot), p. ej. configurado mediante Froxlor en la Parte 2.
  • El acceso a la gestión DNS de tu dominio – la zona en el proveedor del dominio (o en Froxlor, si gestionas allí el DNS) donde puedes crear „registros TXT".
  • La dirección IP de tu servidor.

Importante – el orden correcto: Configura primero SPF y DKIM y espera a que ambos estén activos (al menos unas horas) antes de activar DMARC. Y arranca DMARC siempre con el ajuste suave p=none.

¿Qué son SPF, DKIM y DMARC?

Tres imágenes sencillas:

  • SPF es la lista de invitados. Define qué servidores pueden enviar correos en tu nombre. Si el servidor remitente no está en la lista, el correo es sospechoso.
  • DKIM es la firma digital. Cada correo saliente se firma criptográficamente. El destinatario verifica que sea auténtico y no haya sido modificado por el camino.
  • DMARC es el reglamento. Le dice al destinatario qué hacer si SPF o DKIM fallan: dejar pasar, mover al spam o rechazar. Y te envía informes.

Los tres son técnicamente solo registros TXT en el DNS – salvo la clave DKIM, que generamos en el servidor. Una explicación muy buena y detallada la ofrece la guía de Mailvergleich.de.

Paso 1: Configurar SPF

SPF es un único registro TXT que creas en el DNS de tu dominio. Ve a la gestión DNS y crea un nuevo registro:

Tipo:    TXT
Nombre:  @            (representa el dominio principal)
Valor:   v=spf1 a mx ip4:SERVER-IP -all

Sustituye SERVER-IP por la IP de tu servidor. Qué significan las partes:

  • v=spf1 – identificador de versión (siempre al principio).
  • a mx – los servidores a los que apuntan los registros A y MX del dominio pueden enviar.
  • ip4:SERVER-IP – esta IP concreta puede enviar.
  • -alltodos los demás no pueden enviar (variante estricta). Si no estás seguro o usas servicios adicionales (newsletter, CRM), empieza con la variante más suave ~all y pasa más tarde a -all.

¡Un solo registro SPF! Un dominio puede tener exactamente un registro TXT SPF. Si usas otros servicios, añade sus entradas include: en este único registro, p. ej. v=spf1 a mx include:_spf.example.com -all.

Paso 2: Configurar DKIM (firmar en el propio servidor)

A diferencia de un buzón alquilado, DKIM debes generarlo en tu propio servidor. Usamos para ello OpenDKIM, que se integra en Postfix y firma cada correo saliente.

2.1 Instalar OpenDKIM:

sudo apt install -y opendkim opendkim-tools

2.2 Generar la clave (sustituye tu-dominio.es):

sudo mkdir -p /etc/opendkim/keys/tu-dominio.es
sudo opendkim-genkey -b 2048 -d tu-dominio.es -D /etc/opendkim/keys/tu-dominio.es -s mail -v
sudo chown -R opendkim:opendkim /etc/opendkim

2.3 Configurar OpenDKIM. Abre la configuración principal:

sudo nano /etc/opendkim.conf

Añade al final:

Canonicalization   relaxed/simple
Mode               sv
Socket             inet:8891@localhost
KeyTable           /etc/opendkim/KeyTable
SigningTable       /etc/opendkim/SigningTable
ExternalIgnoreList /etc/opendkim/TrustedHosts
InternalHosts      /etc/opendkim/TrustedHosts

Crea las tres tablas:

echo "mail._domainkey.tu-dominio.es tu-dominio.es:mail:/etc/opendkim/keys/tu-dominio.es/mail.private" | sudo tee /etc/opendkim/KeyTable
echo "*@tu-dominio.es mail._domainkey.tu-dominio.es" | sudo tee /etc/opendkim/SigningTable
printf "127.0.0.1\nlocalhost\ntu-dominio.es\n" | sudo tee /etc/opendkim/TrustedHosts

2.4 Conectar OpenDKIM con Postfix. Abre la configuración de Postfix:

sudo nano /etc/postfix/main.cf

Añade al final:

milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891

Reinicia los servicios:

sudo systemctl restart opendkim postfix

2.5 Publicar el registro DNS DKIM. OpenDKIM ha escrito tu clave pública en un archivo. Muéstralo:

sudo cat /etc/opendkim/keys/tu-dominio.es/mail.txt

Ves un valor largo con la forma v=DKIM1; k=rsa; p=.... Crea con él un registro TXT en el DNS:

Tipo:    TXT
Nombre:  mail._domainkey
Valor:   v=DKIM1; k=rsa; p=MIIBI...   (el valor p= completo del archivo)

Una ayuda ilustrada paso a paso para DKIM la encuentras también en saschafix.de.

Paso 3: Configurar DMARC

DMARC conecta SPF y DKIM y establece la regla. Crea otro registro TXT en el DNS:

Tipo:    TXT
Nombre:  _dmarc
Valor:   v=DMARC1; p=none; rua=mailto:dmarc@tu-dominio.es; fo=1

Significado:

  • p=noneobservar, pero no bloquear nada. Así empiezas siempre, para ver si todo funciona limpio sin poner en peligro los correos legítimos.
  • rua=mailto:dmarc@tu-dominio.es – a esta dirección los destinatarios envían informes diarios. Crea este buzón.
  • fo=1 – informes de error más detallados.

Endurecer gradualmente: Cuando tras una o dos semanas los informes muestren que tus correos reales superan SPF/DKIM, aumenta la severidad – primero a p=quarantine (correos sospechosos al spam), luego a p=reject (correos sospechosos rechazados):

v=DMARC1; p=quarantine; rua=mailto:dmarc@tu-dominio.es; fo=1

¡Nunca empieces con p=reject! De lo contrario arriesgas que también se rechacen correos legítimos (p. ej. de servicios de newsletter o CRM).

Paso 4: Verificar y probar todo

Los cambios DNS necesitan algo de tiempo (a menudo minutos, a veces hasta 24 horas). Luego verifica tu configuración con herramientas gratuitas:

  • MXToolbox – verifica los registros SPF, DKIM y DMARC individualmente (elige arriba „SPF Record Lookup", „DKIM Lookup", „DMARC Lookup").
  • mail-tester.com – envía un correo de prueba real a la dirección mostrada; el objetivo es una puntuación de al menos 8/10.
  • Verificar la cabecera de Gmail: envíate un correo a una cuenta de Gmail, ábrelo, haz clic en los tres puntos → „Mostrar original". Allí debería aparecer „PASS" para SPF, DKIM y DMARC.

La prueba DKIM directamente en el servidor puedes hacerla además así:

sudo opendkim-testkey -d tu-dominio.es -s mail -vvv

Si aparece „key OK", la clave está publicada correctamente.

Errores frecuentes y soluciones

ProblemaCausaSolución
Los correos siguen yendo al spamDNS aún no propagadoesperar unas horas, verificar con MXToolbox
SPF „PermError"más de un registro SPFunir todas las entradas en un registro SPF
DKIM „fail"valor p= incorrecto/incompletoadoptar exactamente el valor completo de mail.txt (sin saltos de línea)
DMARC sin efectoerror de escritura en el nombreel registro debe llamarse exactamente _dmarc
Sin informes DMARCel buzón rua no existecrear la dirección dmarc@tu-dominio.es

Lista de comprobación

  • [ ] Registro TXT SPF presente (exactamente uno), termina en -all o ~all
  • [ ] OpenDKIM instalado, conectado con Postfix, servicios reiniciados
  • [ ] Registro TXT DKIM (mail._domainkey) publicado, opendkim-testkey indica „key OK"
  • [ ] Registro TXT DMARC (_dmarc) con p=none activo
  • [ ] mail-tester.com muestra ≥ 8/10
  • [ ] Gmail „Mostrar original": SPF, DKIM, DMARC = PASS
  • [ ] Tras una o dos semanas DMARC aumentado a quarantine/reject

Preguntas frecuentes (FAQ)

¿No basta solo con SPF? No. Google, Yahoo y Microsoft exigen al menos SPF o DKIM, pero para la mejor protección y entregabilidad configura los tres.

¿Qué diferencia hay entre ~all y -all? ~all („soft fail") marca a los remitentes no listados solo como sospechosos, -all („hard fail") los rechaza estrictamente. En caso de duda empieza con ~all y pasa más tarde a -all.

¿Son los informes DMARC relevantes para la protección de datos? Los informes agregados (rua) no contienen el contenido de los correos, sino estadísticas sobre direcciones IP y resultados de autenticación. Los informes forenses (ruf) pueden contener más – muchos renuncian por ello a ruf por motivos del RGPD.

¿Debo mantenerlo regularmente? Una vez configurado, funciona. Al principio revisa los informes DMARC y aumenta la severidad gradualmente.

Conclusión

En tres pasos has asegurado tus correos: SPF define quién puede enviar, DKIM firma cada mensaje, DMARC determina la regla y entrega informes. El orden es importante – primero SPF y DKIM, luego DMARC, y arrancar DMARC siempre con p=none. Tras la prueba en mail-tester.com sabes que tus correos llegan.

Así la serie está completa: en la Parte 1 configuraste un servidor seguro, en la Parte 2 instalaste Froxlor y aquí aseguraste el envío de correos.

¿No quieres operar todo esto tú mismo, sino que prefieres una solución llave en mano o un desarrollo a medida? PepperTools te apoya – contacta a través del formulario.

Fuentes

Actualizado a junio de 2026. Los comandos y requisitos de los grandes proveedores de correo pueden cambiar – sus indicaciones oficiales y la documentación del software usado son la referencia.

Gestiona facturas con mas facilidad

Easy Invoice combina presupuestos, facturas y gestion de clientes en la nube.

Probar Easy Invoice

Versiones de idioma