Si los correos de tu foro (activación de cuenta, recuperación de contraseña, notificaciones) acaban en spam o directamente no llegan, casi siempre es por uno de estos tres sistemas mal configurado. Esta guía te explica qué son, sin dar por hecho que sabes nada de antemano.
Nota: esto no depende de qué software uses (MyBB, Risus Nova, WordPress...) — se configura a nivel de dominio en el DNS, así que aplica igual si instalas Risus Nova en tu propio dominio y envía correos de registro/notificaciones desde ahí.
Resumen rápido
- SPF → autoriza qué servidores pueden enviar correo en tu nombre.
- DKIM → firma digitalmente los mensajes para confirmar que son auténticos.
- DMARC → define qué hacer si SPF o DKIM fallan.
Comprobación rápida
Antes de leer toda la teoría, comprueba tu estado actual gratis en Mail-Tester (mail-tester.com): te da una dirección de correo temporal, le envías un email de prueba desde tu web, y te da una puntuación sobre 10 explicando exactamente qué falla.
¿Por qué existen estos tres sistemas?
Cuando el correo electrónico se inventó, no había ninguna forma de comprobar que un email "de Fulano" venía realmente de Fulano — cualquiera podía escribir el remitente que quisiera. Esto se aprovechó masivamente para phishing y spam suplantando marcas conocidas. SPF, DKIM y DMARC se crearon, cada uno en su momento, para tapar ese agujero desde ángulos distintos.
SPF (Sender Policy Framework)
Qué hace: es una lista pública de "estos servidores tienen permiso para enviar correos en nombre de mi dominio". Se publica como un registro de texto (TXT) en el DNS de tu dominio.
Cómo se ve:
v=spf1 include:_spf.google.com ~allEsto dice: "los servidores de Google Workspace pueden enviar en mi nombre; cualquier otro, trátalo con sospecha (`~all`)".
Su limitación: SPF solo comprueba el servidor de origen, no si el contenido del mensaje se manipuló por el camino, y deja de funcionar bien si el correo se reenvía a través de otro servidor intermedio.
DKIM (DomainKeys Identified Mail)
Qué hace: añade una firma digital criptográfica a cada correo saliente, usando una clave privada que solo tú tienes. El servidor que recibe el correo comprueba esa firma contra una clave pública publicada en tu DNS — si coincide, confirma que el mensaje es auténtico y no se alteró en el camino.
Cómo se ve: se publica también como registro TXT, con un nombre parecido a:
selector1._domainkey.tudominio.comconteniendo una clave larga y cifrada, no legible a simple vista.
Su ventaja frente a SPF: sí sobrevive al reenvío de correos, porque la firma va pegada al propio mensaje, no depende del servidor que lo entrega en cada salto.
DMARC (Domain-based Message Authentication, Reporting & Conformance)
Qué hace: es la "política" que une a los otros dos. Le dice a quien recibe el correo: "si este mensaje falla SPF o DKIM, haz esto" — y te puede mandar informes de quién está intentando enviar correos en tu nombre (útil para detectar suplantación).
Cómo se ve:
v=DMARC1; p=quarantine; rua=mailto:reportes@tudominio.comEsto dice: "si falla la comprobación, ponlo en cuarentena (spam), y mándame un informe a esta dirección".
Los tres niveles de política (`p=`):
- none — no hagas nada especial, solo mándame informes. Recomendado para empezar, sin arriesgarte a bloquear correos legítimos por error.
- quarantine — manda los correos sospechosos a spam.
- reject — rechaza directamente los correos que fallen. El más estricto, solo recomendable cuando ya confirmaste que SPF/DKIM están bien configurados y no bloquea nada tuyo por error.
¿Cómo se relacionan los tres entre sí?
- SPF verifica el servidor de origen.
- DKIM verifica que el contenido es auténtico y no se manipuló.
- DMARC decide qué hacer si alguno de los dos falla, y te informa de los intentos de suplantación.
Los tres cumplen funciones distintas, pero hoy en día se consideran complementarios — de hecho, DMARC depende técnicamente de que SPF o DKIM estén configurados para poder funcionar. Tener solo uno de los tres deja huecos que los otros dos cubrirían.
Cómo comprobar si ya los tienes configurados
- MXToolbox (mxtoolbox.com) — busca "SPF Record Lookup" y "DMARC Lookup", pega tu dominio.
- IntoDNS (intodns.com) — análisis completo de tu DNS, incluyendo estos tres si están presentes.
- Mail-Tester (mail-tester.com) — la prueba más completa, porque envía un correo real y evalúa los tres a la vez con la configuración real de tu servidor.
Cómo configurarlos si te faltan
Los tres se configuran igual: añadiendo un registro TXT en el DNS de tu dominio (en cPanel: Dominios → Zone Editor / Editor de Zonas DNS).
- Pregúntale a tu proveedor de email (Gmail/Google Workspace, tu hosting, etc.) qué valor exacto de SPF necesitas — cada proveedor de correo tiene el suyo propio.
- Para DKIM, normalmente tu propio panel de correo (cPanel suele traerlo bajo "Email Deliverability" / "Autenticación de correo") genera automáticamente la clave y te da el registro exacto para pegar.
- Para DMARC, empieza siempre con `p=none` durante unas semanas, revisa los informes que te lleguen, y solo entonces sube a `quarantine` o `reject`.
¿Cómo saber si Gmail confía en tus correos?
La forma más sencilla: envía un correo de prueba a una cuenta de Gmail y abre el mensaje → menú de tres puntos → **"Mostrar original"**.
Ahí verás algo parecido a:
SPF: PASS
DKIM: PASS
DMARC: PASSSi alguno aparece como **FAIL**, tienes una pista clara de dónde está el problema — revisa esa sección concreta de esta guía.
Error común: tener varios registros SPF
Muchos administradores añaden un SPF nuevo (por ejemplo, al configurar un nuevo proveedor de correo) sin eliminar el anterior. Esto rompe la validación por completo.
Incorrecto (dos registros SPF separados):
v=spf1 include:_spf.google.com ~all
v=spf1 include:otroservicio.com ~allCorrecto (todo en un único registro):
v=spf1 include:_spf.google.com include:otroservicio.com ~allSolo debe existir **un único registro SPF por dominio** — si necesitas autorizar a varios proveedores de correo, se combinan todos dentro del mismo registro con varios `include:`, nunca en líneas separadas.
Preguntas frecuentes
¿Necesito los tres, o con uno solo basta?
Cada proveedor de correo grande (Gmail, Outlook) valora positivamente tener los tres. Tener solo SPF ya ayuda, pero DKIM y DMARC cierran huecos que SPF no cubre por sí solo.
¿Puedo romper algo si los configuro mal?
Sí — un SPF mal escrito, o un DMARC en `reject` sin haber comprobado antes, puede hacer que tus propios correos legítimos empiecen a rebotar. Por eso se recomienda empezar siempre con la política más suave (`p=none` en DMARC) y subir de nivel solo tras confirmar que todo funciona.
¿Esto evita que me suplanten por completo?
Reduce mucho el riesgo, pero no es 100% infalible — depende también de que el servidor receptor respete tu política DMARC (la mayoría de proveedores grandes sí lo hacen).
¿Por qué mis correos de MyBB llegan a spam aunque el hosting diga que todo está bien?
Es la causa más común de este problema: muchos hostings compartidos no configuran DKIM por defecto, o usan una IP compartida con mala reputación por otros clientes del mismo servidor. Comprobarlo con Mail-Tester te lo confirma de un vistazo.
¿Y si SPF, DKIM y DMARC están bien pero sigo en spam?
Estos tres sistemas ayudan mucho, pero no son el único factor. Los grandes proveedores (Gmail, Outlook, Yahoo) también tienen en cuenta:
- La reputación de la IP que envía el correo (si esa misma IP la comparten otros clientes de tu hosting que hayan hecho spam antes, te afecta a ti también).
- La antigüedad del dominio (un dominio recién creado empieza con menos confianza por defecto).
- Las quejas de spam recibidas contra tu dirección o dominio.
- El contenido del propio mensaje (palabras típicas de spam, exceso de enlaces, etc.).
Por eso puede ocurrir que SPF, DKIM y DMARC estén perfectamente configurados y aun así algunos correos sigan llegando a spam — en ese caso, el problema ya no es de autenticación, sino de reputación general, que se construye con el tiempo enviando correos legítimos de forma constante.
Conclusión
Estos tres sistemas no son solo "cosa de empresas grandes" — cualquier web que envíe correos (como un foro con activación de cuenta) se beneficia de tenerlos bien configurados. La forma más rápida de saber dónde estás: una prueba en Mail-Tester te dice en segundos qué de los tres te falta y qué corregir.


Facebook
Twitter
Reddit
Digg
del.icio.us
Tumblr
Pinterest
Blogger
Fark
LinkedIn
Mix
Google