SPF, DKIM y DMARC
Cuando envías un email, el servidor receptor necesita verificar que el email es legítimo y que realmente viene de quien dice venir. Para eso existen tres protocolos de autenticación que funcionan a través de registros DNS: SPF, DKIM y DMARC.
Si no los configuras correctamente, tus emails van a caer en spam o directamente van a ser rechazados.
SPF: quién puede enviar por ti
SPF (Sender Policy Framework -- protocolo que define los servidores autorizados para enviar email en nombre de tu dominio) funciona como una lista de remitentes autorizados.
Cuando Gmail recibe un email que dice venir de tudominio.com, lo primero que hace es buscar el registro SPF de tu dominio en DNS. El registro SPF lista todos los servidores que tienen permiso de enviar emails en tu nombre. Si el servidor que envió el email no está en la lista, falla la verificación.
Registro SPF para Resend
v=spf1 include:amazonses.com ~allQué significa cada parte:
| Parte | Significado |
|---|---|
v=spf1 | Versión del protocolo SPF |
include:amazonses.com | Autoriza a los servidores de Amazon SES (que Resend usa por debajo) |
~all | Softfail -- los emails de servidores no autorizados se marcan como sospechosos pero no se rechazan |
No dupliques registros SPF
Si tu dominio ya tiene un registro SPF existente (por ejemplo de Google Workspace o Microsoft 365), no crees un segundo registro SPF. Solo puede haber un registro SPF por dominio. Agrega Resend al registro existente:
v=spf1 include:_spf.google.com include:amazonses.com ~allSi creas dos registros SPF, ambos se invalidan y ninguno funciona.
DKIM: firma digital de tus emails
DKIM (DomainKeys Identified Mail -- sistema de firma criptográfica que verifica que el contenido del email no fue modificado durante el tránsito) agrega una firma digital a cada email que envías.
El proceso funciona así:
- Resend firma cada email con una clave privada (que solo Resend tiene)
- Tu registro DNS CNAME apunta a la clave pública correspondiente
- Cuando el servidor receptor recibe el email, usa la clave pública para verificar la firma
- Si la firma es válida, el email pasa la verificación DKIM
Registros DKIM para Resend
Resend genera dos registros CNAME únicos para tu dominio:
| Tipo | Nombre | Apunta a |
|---|---|---|
| CNAME | resend._domainkey.tudominio.com | (valor único generado por Resend) |
| CNAME | resend2._domainkey.tudominio.com | (valor único generado por Resend) |
No necesitas entender la criptografía detrás de DKIM. Resend genera las claves, firma los emails y tu solo agregas los registros DNS que te indican.
DMARC: qué hacer cuando algo falla
DMARC (Domain-based Message Authentication, Reporting and Conformance -- protocolo que define la política de acción cuando un email falla las verificaciones SPF o DKIM) le dice a los servidores receptores qué hacer cuando un email que dice venir de tu dominio falla SPF o DKIM.
Las tres políticas de DMARC
| Política | Qué hace | Cuándo usarla |
|---|---|---|
p=none | Solo reporta, no toma acción | Para empezar a monitorear sin afectar la entrega |
p=quarantine | Envía a spam los emails que fallen | Cuando ya verificaste que todo funciona bien |
p=reject | Rechaza completamente los emails que fallen | Protección máxima contra spoofing |
Registro DMARC recomendado
Empieza con p=none para monitorear:
v=DMARC1; p=none; rua=mailto:dmarc@tudominio.comDespués de unas semanas, cuando confirmes que no hay falsos positivos, sube a p=quarantine:
v=DMARC1; p=quarantine; rua=mailto:dmarc@tudominio.com| Parte | Significado |
|---|---|
v=DMARC1 | Versión del protocolo |
p=quarantine | Política: enviar a spam los que fallen |
rua=mailto:... | Dirección donde recibir reportes agregados |
El registro DMARC es un registro TXT que se agrega en _dmarc.tudominio.com.
BIMI: tu logo en la bandeja de entrada
BIMI (Brand Indicators for Message Identification -- estándar que permite mostrar el logo de tu marca junto a tus emails en la bandeja del receptor) es opcional y relativamente nuevo. Permite que tu logo aparezca junto a tus emails en clientes compatibles (Gmail, Apple Mail).
Requisitos para BIMI:
- DMARC configurado con
p=quarantineop=reject - Tu logo en formato SVG Tiny PS
- Un certificado VMC (Verified Mark Certificate) -- opcional pero recomendado para Gmail
v=BIMI1; l=https://tudominio.com/logo.svg; a=https://tudominio.com/vmc.pemBIMI no afecta la deliverability, pero mejora el reconocimiento de marca. Impleméntalo después de tener SPF, DKIM y DMARC funcionando correctamente.
Resumen
| Protocolo | Qué hace | Obligatorio | Tipo de registro |
|---|---|---|---|
| SPF | Define servidores autorizados para enviar | Sí | TXT en tudominio.com |
| DKIM | Firma criptográfica del email | Sí | CNAME (2 registros) |
| DMARC | Política cuando falla SPF/DKIM | Recomendado | TXT en _dmarc.tudominio.com |
| BIMI | Muestra tu logo en la bandeja | Opcional | TXT en default._bimi.tudominio.com |
Troubleshooting
Si tus emails siguen cayendo en spam después de configurar todo, usa estas herramientas para diagnosticar:
- MXToolbox: verifica registros SPF, DKIM, DMARC y otros registros DNS
- Google Postmaster Tools: monitorea la reputación de tu dominio en Gmail y ve reportes de autenticación
- mail-tester.com: envía un email de prueba y recibe un puntaje de spam con detalles de qué falla
Los problemas más comunes son:
- Registro SPF duplicado: solo puede haber un registro SPF por dominio
- Proxy de Cloudflare activado: los CNAME de DKIM no deben tener el proxy (nube naranja) activado
- Propagación DNS: los cambios pueden tardar hasta 48 horas en propagarse