¿Qué es DKIM y SPF? ¿Y cómo configurarlo?

Esto es serio. Se trata de la capacidad de entrega de su correo electrónico. Sé por experiencia propia que estos acrónimos pueden sonar poco familiares, asustar y parecer totalmente desinteresados. O tal vez te suenen, pero nunca te preocupaste lo suficiente como para comprobar lo que realmente son.

De cualquier manera, es hora de aprender un poco sobre lo que es SPF & DKIM y cómo configurarlos en tus registros DNS para tu servidor de correo, si quieres tener un mejor control sobre la entregabilidad de tu correo electrónico.

Este post se publicó por primera vez el 1 de septiembre de 2016, y se actualizó el 14 de julio de 2020.

Haré todo lo posible para explicarlo con palabras sencillas, que sean entendidas no sólo por los programadores.

¿Qué es SPF? ¿Cómo funciona el SPF?

En términos sencillos, Sender Policy Framework (SPF) es un mecanismo de seguridad creado para evitar que los malos envíen correos electrónicos en su nombre. El mecanismo tiene que ver con la comunicación entre servidores DNS… ¡y este es el punto en el que todo empieza a dar miedo! Pero que no cunda el pánico. Trataré de mantenerlo lo más simple posible.

Digamos que has enviado un correo electrónico a Bob. Pero, ¿cómo sabe el servidor DNS de Bob que el correo electrónico fue enviado por usted? El problema es que no lo sabe. A menos que tenga SPF configurado en su servidor DNS.

SPF define qué direcciones IP pueden utilizarse para enviar correos electrónicos desde su dominio. Así que imaginemos dos posibles «conversaciones» del servidor. Para hacerlo todo más fácil, vamos a suponer que tu nombre es Mike.

Escenario 1 – No tienes SPF configurado.

Servidor de Mike: Hola, servidor de Bob. Tengo un nuevo mensaje de Mike.
Servidor de Bob: Hola servidor de Mike. ¿Cuál es tu SPF?
Servidor de Mike: Sí, sobre el SPF… A quién le importa, realmente. No tengo ninguno. Confía en mí, es de Mike.
Servidor de Bob: Si no tienes SPF, no puedo estar seguro de que fue Mike quien envió esto. Dame las IPs permitidas de Mike, para que pueda compararlas con las tuyas.
Servidor de Mike: No tengo la lista de IPs permitidas de Mike.
Servidor de Bob: Entonces no quiero tu mensaje. Entrega denegada. Lo siento, amigo…

Escenario 2 – Sí tienes configurado el SPF.

Servidor de Mike: Hola, servidor de Bob. Tengo un nuevo mensaje de Mike.
Servidor de Bob: Hola servidor de Mike. ¿Cuál es tu SPF?
Servidor de Mike: Ahí tienes, aquí está mi SPF. Hay toda una lista de IPs que el propio Mike declaró como las que se pueden usar en su nombre.
Servidor de Bob: Ok, déjame ver… Y el mensaje que tienes para mí es enviado desde la IP 64.233.160.19. Ok, está en la lista. Todo parece estar bien. Dame el mensaje, se lo mostraré a Bob. Gracias!

Mis disculpas a todos los lectores expertos en tecnología de este blog por esta simplificación ignorante. Por favor, perdonadnos a los tontos, y tened en cuenta que os envidiamos vuestras mentes superanalíticas.

En cualquier caso, la moraleja de estos dos breves diálogos es: configura tu SPF. Si no lo hace, puede parecer un mal tipo, y no todos sus correos electrónicos serán entregados.

¿Qué aplicaciones debe incluir en su SPF?

La idea general es asegurarse de que todas las aplicaciones que envían correos electrónicos en su nombre (y están usando su propio SMTP, no el suyo) están incluidas en su SPF. Por ejemplo, si utilizas Google Apps para enviar correos electrónicos desde tu dominio, debes incluir a Google en tu SPF. Aquí están las instrucciones de Google sobre cómo hacerlo.

Pero es importante asegurarse, si Google es la única aplicación que debes «permitir» en tu SPF. Por ejemplo, estamos utilizando HelpScout para gestionar nuestros correos electrónicos de apoyo y MailChimp para enviar nuestros boletines de noticias. Incluimos ambas en nuestro SPF.

¿Debería incluir también a Woodpecker en mi SPF?

No. Como he mencionado, debería recordar poner en su registro SPF las aplicaciones que envían correos electrónicos en su nombre, pero que utilizan su propio SMTP. Woodpecker utiliza su SMTP para enviar sus correos electrónicos, por lo que es más un cliente de correo electrónico en línea con superpoderes que una aplicación de envío masivo de correos electrónicos.

Dicho esto, la entregabilidad de los correos electrónicos enviados desde Woodpecker depende de la reputación de su dominio. La configuración de SPF y DKIM le ayudará a proteger la buena reputación de su dominio, y así mejorar la entregabilidad de sus correos electrónicos.

¿Cómo configurar el registro SPF en su servidor paso a paso?

El primer paso es comprobar cuál es su registro SPF actual. Puedes hacerlo utilizando herramientas como:

• MxToolbox
• Google Apps Toolbox

Cuando escribas tu dominio allí (por ejemplo, yo escribiría woodpecker.co), las herramientas realizarán algunas pruebas y te mostrarán tu SPF actual, o una notificación de que aún no ha sido configurado.

Dependiendo de tu host de dominio, los pasos serán diferentes. Básicamente, se trata de pegar una línea de texto correctamente estructurada en el lugar adecuado de la consola.

Por ejemplo, si utilizas Google Apps para enviar todos los correos electrónicos desde tu dominio, la línea tendría este aspecto:

«v=spf1 include:_spf.google.com ~all»

La parte «v=spf1» del registro se llama versión, y las que vienen después se llaman mecanismos.

Ahora veamos qué significa exactamente cada parte.

1. v=spf1 este elemento identifica el registro como un SPF
2. include:_spf.google.com este mecanismo incluye servidores de correo que son servidores autorizados
3. ~all este indica que si se recibe un correo electrónico de un servidor no autorizado (que no aparece en el mecanismo «include:»), se etiqueta como soft fail, lo que significa que se puede dejar pasar, pero podría marcarse como spam o sospechoso.

Pero si utilizas más aplicaciones (por ejemplo, algo para enviar tu boletín de noticias, algo para enviar tus mensajes de soporte, etc.), la línea será un poco más larga, porque tendrás que incluir todas las otras aplicaciones en ella. O si no utilizas Google Apps sino un servidor de otro host, por ejemplo, GoDaddy, la línea tendrá un aspecto diferente.

Aquí tienes cómo configurar el SPF para los hosts de dominio más comunes:

• Google
• Microsoft
• Zoho
• NameCheap
• GoDaddy
• Amazon SES

O puedes ver esta guía paso a paso en la que nuestra Jefa de Soporte, Julia, explica cómo hacerlo:

Si actualmente estás usando o probando Woodpecker y no estás seguro de si tu SPF está bien configurado, puedes comprobarlo directamente en la app: ve a CONFIGURACIÓN > CUENTAS DE CORREO ELECTRÓNICO > ENTREGA (en el lado izquierdo) o ponte en contacto con nosotros en para obtener ayuda individual.

Enviar correos electrónicos potentes &impulsar las respuestas

¿Qué es DKIM?

El estándar DomainKeys Identified Mail (DKIM) se ha creado por la misma razón que SPF: para evitar que los malos se hagan pasar por un remitente de correo electrónico. Es una forma de firmar adicionalmente sus correos electrónicos de una manera que permitirá al servidor del destinatario comprobar si el remitente era realmente usted o no.

Al configurar DKIM en su servidor DNS, está añadiendo una forma adicional de decir a sus receptores «sí, soy realmente yo quien está enviando este mensaje».

Toda la idea se basa en cifrar y descifrar la firma adicional, puesta en la cabecera de su mensaje. Para que eso sea posible, necesitas tener dos claves:

• la clave privada (que es única para tu dominio y está disponible exclusivamente para ti. Te permite encriptar tu firma en la cabecera de tus mensajes.)
• la clave pública (que añades a tus registros DNS utilizando el estándar DKIM, para permitir que el servidor de tu destinatario la recupere y desencripte tu firma oculta en la cabecera de tu mensaje).

Toma como ejemplo Juego de Tronos para hacerte una idea general de DKIM. Ned Stark envía un cuervo con un mensaje al rey Robert. Todo el mundo podría coger un papel, escribir un mensaje y firmarlo Ned Stark. Pero hay una forma de autentificar el mensaje: el sello. Ahora, todo el mundo sabe que el sello de Ned es un lobo huargo (esa es la clave pública). Pero sólo Ned tiene el sello original y puede ponerlo en sus mensajes (esa es la clave privada).

Establecer DKIM es sólo poner la información sobre la clave pública en los registros de tu servidor. También es un registro txt que hay que poner en el lugar adecuado.

Una vez que lo hayas configurado, cada vez que alguien reciba un correo tuyo, el servidor del receptor intentará descifrar tu firma oculta utilizando la clave pública. Si tiene éxito, esto autenticará adicionalmente su mensaje y, en consecuencia, aumentará la capacidad de entrega de todos sus correos electrónicos.

¿Cómo configurar el registro DKIM en su servidor paso a paso?

Primero, necesita generar la clave pública. Para ello, debe acceder a la consola de administración de su proveedor de correo electrónico. Los siguientes pasos pueden variar dependiendo de tu proveedor de correo electrónico.

Si utilizas Google Apps para enviar tus correos electrónicos, aquí tienes las instrucciones paso a paso. Los usuarios de correo electrónico de Google Apps deben saber que, por defecto, las firmas DKIM están desactivadas, por lo que deben activarlas manualmente en su consola de administración de Google.

Cuando tengas la clave pública, coge el registro txt generado y pégalo en el lugar adecuado en tus registros DNS.

Por último, tienes que activar la firma de correo electrónico para empezar a enviar correos electrónicos que incluyan tu firma cifrada con tu clave privada. A continuación te explicamos cómo hacerlo, si utilizas Google Apps para enviar tus correos electrónicos.

Aquí tienes cómo configurar DKIM en algunos de los otros hosts de dominio:

• Microsoft
• Zoho
• NameCheap

Para más detalles, mira una guía en vídeo que explica cómo hacerlo:

Si actualmente usas Woodpecker y no tienes un informático al que pedirle ayuda con la configuración de SPF y DKIM, puedes ponerte en contacto con nosotros en para recibir ayuda individual.

Si desea comprobar si su SPF y DKIM están configurados correctamente, puede hacerlo en la aplicación: vaya a CONFIGURACIÓN > CUENTAS DE CORREO ELECTRÓNICO > ENTREGA (en el lado izquierdo).

Configura el SPF & DKIM y mejora tu entregabilidad

Si envías muchos correos electrónicos, ya sea para marketing o para ventas entrantes o salientes, la reputación de tu dominio es crucial y debes cuidarla muy bien. No quieres que tu dominio entre en una lista negra y que tus correos acaben en el spam. Configurar correctamente los registros SPF y DKIM en tu servidor DNS es un paso necesario para la seguridad de tu dominio y la alta entregabilidad de tus mensajes.

Configurarlo puede parecer complicado, pero sin duda merece la pena el esfuerzo. Yo en tu lugar, iría a mi cuenta de Woodpecker y comprobaría si mi SPF y DKIM están bien configurados ahora mismo o pediría a mis informáticos que lo hicieran (si no eres usuario de Woodpecker). Y si resulta que la respuesta es «no», les pediría que me ayudaran. Y no dejaría que me engatusaran. No con este.

Consulta también estos cuatro posts sobre la entregabilidad del correo electrónico:

• ¿Qué podemos hacer para aumentar nuestra entregabilidad del correo electrónico en frío? >>
• ¿Por qué configuramos un buzón independiente para las campañas salientes? >>
• Respuestas a 8 preguntas frecuentes sobre la entregabilidad del correo electrónico >>
• 14 comprobaciones de entregabilidad que debe realizar antes de enviar su campaña de correo electrónico en frío >>

Envíe correos electrónicos potentes &impulse las respuestas

Cathy Patalas

Directora de Crecimiento de Woodpecker.co

Cathy empezó este blog hace mucho tiempo, aunque parece que fue ayer.