Comprobador de registros SPF/DKIM/DMARC
Introduce un dominio para consultar en tiempo real sus registros SPF, DMARC y DKIM, y diagnosticar la configuración de autenticación de correo contra la suplantación.
Consejos
- El orden habitual es SPF, luego DKIM y por último DMARC. Configura primero SPF y DKIM, y usa DMARC al final para indicar claramente a los receptores cómo actuar.
- No empieces DMARC directamente con p=reject. Recoge primero informes con p=none para identificar todos los orígenes de envío legítimos antes de endurecer la política paso a paso.
- Los dominios con muchos "include" en SPF pueden superar el límite de "10 consultas DNS / 255 caracteres" y provocar fallos de resolución, así que conviene depurar periódicamente los include innecesarios.
- Esta herramienta solo prueba selectores DKIM comunes, así que un resultado de "no encontrado" puede simplemente significar que se usa un selector distinto.
- Grandes receptores como Gmail y Outlook exigen desde 2024 SPF, DKIM y DMARC a los remitentes masivos, por lo que los dominios que envían boletines deberían revisar esta configuración con prioridad.
Preguntas frecuentes
A propósito — Cómo nacieron los tres pilares de la autenticación de correo
SPF, DKIM y DMARC surgieron en momentos y por motivos distintos. SPF, el primero en aparecer (hacia 2003), declara qué direcciones IP pueden enviar correo en nombre de un dominio, y se popularizó como respuesta a los spammers que falsificaban la dirección del remitente. Sin embargo, SPF es débil frente al reenvío: al reenviarse un mensaje, la IP de origen cambia y la autenticación se rompe.
DKIM (estandarizado hacia 2007) vino a compensar esa debilidad. En lugar de juzgar por la dirección IP como hace SPF, añade una firma digital a parte del cuerpo y las cabeceras del mensaje, que el receptor verifica con una clave pública publicada en el DNS; así, la autenticación sigue siendo válida tras el reenvío mientras la firma en sí no se altere.
Aun así, SPF y DKIM solo podían detectar que la autenticación había fallado; qué hacer con ese correo —entregarlo, marcarlo como spam o rechazarlo— quedaba enteramente a criterio del servidor receptor. DMARC, estandarizado en 2012, unificó estas instrucciones para el receptor. Además incorporó un mecanismo de informes (rua=) que devuelve los resultados de autenticación a los administradores del dominio emisor, permitiendo vigilar de forma continua si el propio dominio está siendo suplantado.
Cuando en 2024 Google y Yahoo exigieron de facto SPF, DKIM y DMARC a los remitentes masivos (más de 5.000 mensajes diarios), estos tres pilares dejaron de ser conocimiento exclusivo de grandes empresas para convertirse en una base imprescindible para cualquier organización que envíe boletines o notificaciones automáticas.