Cómo comprobar SPF, DKIM y DMARC en cualquier dominio (guía gratuita 2026)

Si tus correos están cayendo en spam, te los rechazan o muestran avisos de "remitente sin verificar", lo primero que tienes que revisar es la configuración de autenticación del correo de tu dominio.

Eso significa verificar estos tres registros clave:

• SPF (Sender Policy Framework)
• DKIM (DomainKeys Identified Mail)
• DMARC (Domain-based Message Authentication, Reporting, and Conformance)

Estos registros DNS le dicen a proveedores como Gmail, Outlook y Yahoo si tu dominio está realmente autorizado para enviar correo. Si uno falta, está mal montado o es muy permisivo, tus mensajes pierden confianza muy rápido.

En esta guía gratuita 2026 vas a aprender:

• cómo comprobar un registro SPF
• cómo comprobar un registro DKIM
• cómo comprobar un registro DMARC
• por qué los correos siguen yendo a spam aunque los registros existan
• los errores más comunes de autenticación de correo
• la forma más rápida de probar la entregabilidad de un dominio

Si gestionas un dominio de empresa, una newsletter, una bandeja de soporte, una campaña de outreach, un producto SaaS o un setup de cold email, esta es una de las comprobaciones técnicas más importantes que puedes hacer.

---

Respuesta rápida: ¿cómo se comprueban SPF, DKIM y DMARC en un dominio?

Para comprobar SPF, DKIM y DMARC de cualquier dominio:

1. Consulta los registros DNS TXT del dominio
2. Verifica que existe un registro SPF y que es válido
3. Verifica que un selector DKIM resuelve a una clave pública válida
4. Comprueba la política DMARC en _dmarc.tudominio.com
5. Confirma que los registros no solo están presentes, sino que están correctamente configurados
6. Si los correos siguen yendo a spam, analiza una cabecera de email real para ver qué pasó o falló de verdad

La forma más rápida y apta para principiantes es empezar con un escaneo completo del dominio usando el Email Health Checker y profundizar luego en registros concretos si algo se ve raro.

---

Por qué SPF, DKIM y DMARC importan en 2026

Los proveedores de correo son más estrictos que nunca.

Las bandejas modernas no se fijan solo en el contenido del mensaje: miran si tu dominio tiene una configuración de envío fiable.

Una buena configuración de SPF, DKIM y DMARC te ayuda a:

• Mejorar la colocación en bandeja de entrada
• Reducir el riesgo de spoofing
• Evitar abusos de phishing usando tu dominio
• Reducir las posibilidades de caer en spam
• Aumentar la confianza de Gmail, Outlook, Yahoo y gateways corporativos
• Construir una mejor reputación como remitente con el tiempo

Si envías:

• correos transaccionales
• códigos de verificación
• newsletters
• cold outreach
• respuestas de soporte
• correos de recuperación de contraseña
• notificaciones de SaaS

…la autenticación de correo ya no es opcional.

---

¿Qué es SPF, DKIM y DMARC? (Explicación sencilla)

Antes de comprobar registros, conviene entender qué hace cada uno.

SPF: quién puede enviar correo en nombre de tu dominio

SPF es un registro DNS TXT que lista los servidores o servicios autorizados a enviar correo en nombre de tu dominio.

Por ejemplo, si usas:

• Google Workspace
• Microsoft 365
• Mailgun
• SendGrid
• Amazon SES
• Brevo
• Zoho Mail

…esos servicios suelen tener que estar incluidos en tu SPF.

De qué te protege SPF: De que remitentes no autorizados se hagan pasar por tu dominio.

Lo que SPF no garantiza: Que el "From" visible esté alineado de una forma que DMARC acepte.

---

DKIM: demuestra que el correo fue firmado

DKIM añade una firma criptográfica a tus correos salientes.

Cuando el servidor del destinatario recibe el mensaje, comprueba una clave pública guardada en DNS para verificar:

• que el correo fue firmado por un remitente autorizado
• que el mensaje no fue alterado en tránsito

De qué te protege DKIM: De alteraciones y de correo falsificado sin firma válida.

Importante: Que un registro DKIM exista en DNS no significa automáticamente que DKIM esté funcionando bien en envíos reales.

---

DMARC: dice qué hacer si SPF o DKIM fallan

DMARC se construye encima de SPF y DKIM.

Le indica al servidor receptor:

• si el correo que falla debe monitorizarse, ponerse en cuarentena o rechazarse
• a dónde enviar informes agregados
• si el dominio autenticado está alineado con el "From" visible

Valores de política DMARC:

• p=none → solo monitorizar
• p=quarantine → el correo sospechoso puede ir a spam
• p=reject → el correo que falle debe rechazarse

De qué te protege DMARC: De suplantación de dominio, impersonación y falta de aplicación de la autenticación.

---

Cómo comprobar SPF, DKIM y DMARC en cualquier dominio

Este es el flujo más simple y práctico.

---

Paso 1: lanza primero una comprobación amplia de autenticación

En vez de revisar registros uno por uno a mano, empieza con un escaneo amplio a nivel de dominio.

Usa el Email Health Checker para tener una visión rápida de:

• estado de SPF
• presencia de DKIM
• presencia de DMARC
• configuración de MX
• salud básica de autenticación
• señales de riesgo comunes

Es el mejor primer paso porque te dice al instante si al dominio le faltan piezas obvias antes de profundizar.

Por qué importa: Muchos dominios fallan por cosas básicas: no hay DMARC, no hay DKIM, falta el MX o la estructura de SPF está rota.

---

Paso 2: cómo comprobar un registro SPF

Si quieres saber cómo comprobar un registro SPF correctamente, no preguntes solo "¿existe?" — pregunta si es válido, limpio y dentro de los límites.

Cómo es un SPF válido

Un registro SPF suele empezar así:

v=spf1 include:_spf.google.com ~all

Qué buscar en un registro SPF

• Empieza con v=spf1
• Hay un solo registro SPF TXT para el dominio
• Incluye tus proveedores de envío actuales
• Termina con una política sensata como:
  • ~all (soft fail)
  • -all (hard fail)
• No supera el límite de 10 búsquedas DNS

Errores típicos en SPF

• Publicar varios registros SPF
• Dejar include: antiguos de proveedores que ya no usas
• Usar reglas demasiado permisivas como +all
• Superar el límite de 10 lookups
• Olvidar actualizar SPF al cambiar de ESP

El gran problema de SPF en 2026: el límite de 10 lookups

Es uno de los asesinos silenciosos más típicos de la entregabilidad.

Si tu SPF incluye demasiados proveedores anidados, servicios de reenvío o herramientas SaaS, puede superar las búsquedas DNS permitidas y fallar de forma silenciosa.

Si tu SPF es complejo, la SPF Flattening Tool puede simplificar las cadenas de include: a IPs explícitas para mantener el registro dentro de los límites.

---

Paso 3: cómo comprobar un registro DKIM

Si buscas cómo comprobar un registro DKIM, lo principal es saber:

DKIM se basa en selectores.

Eso significa que normalmente necesitas:

• el dominio
• el selector que usa la plataforma de envío

Un registro DKIM suele vivir en algo como:

selector1._domainkey.example.com

Qué buscar en un DKIM

• El selector resuelve correctamente
• Existe un registro TXT
• La clave pública (p=) está presente
• El registro está bien formado
• La clave es lo bastante fuerte
• La plataforma está firmando realmente el correo saliente

Errores típicos en DKIM

• Usar el selector equivocado
• Publicar el registro pero no activar DKIM en el proveedor
• Formato TXT roto en DNS
• Claves débiles o anticuadas
• Rotar claves mal
• Suponer que "el registro existe" significa "DKIM pasa"

Si quieres una inspección técnica más profunda del propio registro, usa el DKIM Analyzer para revisar fortaleza de clave, estructura y posibles errores de configuración.

---

Paso 4: cómo comprobar un registro DMARC

Si quieres saber cómo comprobar un registro DMARC correctamente, busca un registro TXT en:

_dmarc.example.com

Un DMARC básico se ve así:

v=DMARC1; p=none; rua=mailto:dmarc@example.com

Qué buscar en un DMARC

• Empieza con v=DMARC1
• Tiene una política:
  • p=none
  • p=quarantine
  • p=reject
• Idealmente incluye una dirección de reporte:
  • rua=mailto:...
• Reporte forense opcional:
  • ruf=mailto:...
• Pueden aparecer ajustes de alineamiento:
  • adkim=
  • aspf=
• Despliegue gradual opcional:
  • pct=

Errores típicos en DMARC

• No tener registro DMARC
• Quedarse en p=none para siempre
• No configurar buzón de reportes
• Sintaxis rota
• Ignorar fallos de alineamiento
• Copiar y pegar un registro genérico sin entenderlo

Para validar el registro rápido y ver si solo monitoriza o realmente está aplicando, usa el DMARC Checker.

---

Por qué los correos siguen yendo a spam aunque haya SPF, DKIM y DMARC

Esta es una de las partes peor entendidas de la entregabilidad.

Un dominio puede tener SPF, DKIM y DMARC presentes, y aún así los correos caer en spam.

¿Por qué?

Porque estar presente no es lo mismo que estar bien configurado.

Razones habituales:

• SPF existe pero supera el límite de 10 lookups
• SPF pasa pero el alineamiento falla
• El registro DKIM existe pero la firma real falla
• DKIM se rompe tras reenvíos o reescrituras
• DMARC existe pero se queda en p=none
• El dominio tiene mala reputación
• La IP de envío tiene mala reputación
• El contenido dispara filtros antispam
• Los enlaces parecen sospechosos
• La tasa de rebote es alta
• La tasa de quejas es alta
• Falta o es débil el reverse DNS
• Los patrones de volumen cambiaron de golpe

Verdad importante:

SPF + DKIM + DMARC son la base, no todo el sistema de entregabilidad.

Ayudan a que los proveedores confíen en ti, pero no compensan una mala reputación o un comportamiento de spammer.

---

Cómo investigar por qué un correo fue a spam

Si tus registros DNS parecen estar bien pero un correo real cae en spam, deja de mirar solo el DNS.

Tienes que inspeccionar las cabeceras del correo.

Ahí es donde se ve lo que el servidor receptor observó realmente.

Usa el Email Header Analyser para revisar:

• SPF pass/fail
• DKIM pass/fail
• DMARC pass/fail
• Authentication-Results
• saltos / ruta de relays
• pistas de alineamiento
• pistas de enrutamiento de spam

Es crítico, porque mucha gente solo revisa los registros DNS y nunca prueba el mensaje real entregado, que es donde aparecen los problemas ocultos.

---

El mejor flujo para auditar la autenticación de correo (más rápido)

Si quieres el flujo más simple y práctico en 2026, hazlo en este orden:

1. Escaneo amplio con Email Health Checker
2. Comprueba la política DMARC y el nivel de aplicación con el DMARC Checker
3. Inspecciona la calidad de DKIM y la validez del selector con el DKIM Analyzer
4. Revisa la estructura SPF y el conteo de lookups con la SPF Flattening Tool
5. Analiza cabeceras reales con el Email Header Analyser si la entrega sigue fallando

Eso te da:

• una vista a nivel DNS
• una vista a nivel de política
• una vista del mensaje real

Esa combinación es mucho más útil que un simple lookup TXT.

---

Errores comunes en SPF, DKIM y DMARC que conviene evitar

Estos errores aparecen una y otra vez en dominios corporativos, apps SaaS y setups de cold email.

Errores en SPF

• Varios registros SPF TXT
• Demasiados lookups con include:
• Proveedores antiguos aún listados
• +all o políticas demasiado abiertas
• No actualizar SPF al cambiar de proveedor

Errores en DKIM

• Selector equivocado
• Registro publicado pero firmado deshabilitado
• Formato TXT roto
• Claves débiles
• No probar con un correo realmente enviado

Errores en DMARC

• Sin DMARC
• p=none eternamente
• Sin dirección rua= para reportes
• Ignorar el alineamiento
• Sintaxis rota
• No avanzar nunca hacia la aplicación real

---

Buenas prácticas de SPF, DKIM y DMARC para 2026

Si quieres mejor entrega este año, apunta a esta línea base:

• Publica un único registro SPF limpio
• Mantén SPF por debajo del límite de 10 lookups
• Quita proveedores viejos o sin usar de SPF
• Usa claves DKIM fuertes
• Confirma que DKIM firma el correo saliente real
• Publica DMARC en cada dominio activo de envío
• Empieza monitorizando, luego ve hacia aplicar
• Recoge informes DMARC
• Comprueba el alineamiento, no solo pass/fail
• Vuelve a probar tras cambios en DNS o ESP
• Revisa cabeceras cuando algo huela mal
• Vigila la reputación y las tendencias de rebote

---

¿Para quién es esta checklist?

Esta guía te sirve si gestionas:

• una web de empresa
• un producto SaaS
• una bandeja de soporte
• un sistema de newsletters
• correo transaccional
• campañas de cold outreach
• dominios gestionados por agencia
• redirección de correo en dominios propios
• notificaciones de e-commerce
• sistemas de reset de contraseña / verificación

Si el correo importa para tu negocio, la autenticación también. Y si usas correo desechable para pruebas, entender autenticación te ayuda a elegir proveedores que entreguen de verdad.

---

Reflexiones finales

Si envías correo desde tu dominio, aprender a comprobar SPF, DKIM y DMARC es una de las habilidades técnicas con mayor retorno que puedes adquirir.

Te ayuda a:

• mejorar la colocación en bandeja de entrada
• reducir el riesgo de spoofing
• diagnosticar por qué los correos van a spam
• detectar errores DNS ocultos
• ganar confianza con los proveedores

Y la idea más importante es esta:

Tener registros SPF, DKIM y DMARC no es suficiente: deben ser válidos, alineados y probados frente al comportamiento real del correo.

Un dominio puede parecer "configurado" a primera vista y aun así fallar en producción.

Por eso el enfoque más inteligente es:

• comprobar el dominio
• inspeccionar los registros
• validar la política
• testear el mensaje real

Hazlo de forma constante y detectarás la mayoría de los problemas de autenticación antes de que afecten a la entregabilidad.

---

Preguntas frecuentes (FAQ)

¿Cómo compruebo SPF en un dominio?

Para comprobar SPF, busca un registro DNS TXT que empiece por v=spf1. Asegúrate de que solo haya un registro SPF, que incluya a tus proveedores activos y que no supere el límite de 10 búsquedas DNS.

---

¿Cómo compruebo DKIM en un dominio?

Necesitas el dominio y normalmente el selector que usa la plataforma de envío. El registro TXT DKIM debe contener una clave pública válida y formato correcto, pero también deberías confirmar que los correos reales están siendo realmente firmados.

---

¿Cómo compruebo DMARC en un dominio?

Busca un registro TXT en _dmarc.tudominio.com. Debe empezar por v=DMARC1 e incluir una política como p=none, p=quarantine o p=reject. Una dirección de reporte (rua=) es muy recomendable.

---

¿Cuál es el mejor checker de SPF, DKIM y DMARC?

El mejor flujo no es una única comprobación, sino la combinación de:

• escaneo de autenticación a nivel de dominio
• validación directa de DMARC
• inspección del registro DKIM
• revisión de la estructura SPF
• análisis de cabeceras reales

Eso te da la vista DNS y la vista del mensaje real.

---

¿Por qué siguen yendo correos a spam aunque tenga SPF, DKIM y DMARC?

Porque que los registros estén presentes no garantiza la entrega. Los correos pueden ir a spam por:

• fallos de alineamiento
• firmas DKIM rotas
• estructura de SPF débil
• mala reputación de dominio o IP
• contenido que dispara filtros
• altas tasas de quejas o rebotes
• políticas DMARC sin aplicar

---

¿DMARC requiere SPF y DKIM?

DMARC funciona mejor cuando ambos están bien configurados. Técnicamente puede pasar si SPF o DKIM pasan con alineamiento, pero apoyarse en ambos es mucho más sólido y recomendable.

---

¿Qué es el límite de 10 lookups de SPF?

La evaluación de SPF solo puede hacer hasta 10 búsquedas DNS. Si tu SPF supera ese límite por demasiados include:, puede fallar y dañar la entregabilidad.

---

¿Debo usar p=none o p=reject en DMARC?

Si empiezas, p=none es útil para monitorizar. Pero quedarte en p=none para siempre debilita la protección. Cuando tu autenticación esté estable, lo razonable es ir hacia p=quarantine o p=reject.

---

¿Tener SPF, DKIM y DMARC basta para la entregabilidad?

No. Son esenciales, pero la entregabilidad también depende de:

• reputación del dominio
• reputación de IP
• calidad del contenido
• tasa de quejas
• tasa de rebotes
• comportamiento de envío
• higiene de listas
• calidad de infraestructura

La autenticación es la base, no el sistema completo.

---

Sigue leyendo

• ¿Tu temp mail no recibe el OTP? Soluciónalo ya — la mala autenticación es la razón nº1 por la que falla el OTP en temp mail
• ¿Qué es el correo desechable? La guía completa — cómo funciona el correo temporal y cuándo usarlo
• Cómo el correo temporal protege tu privacidad online — por qué no dar nunca tu correo real
• Cómo evitar el spam: 7 estrategias comprobadas — la autenticación es una capa, pero parar el spam pide una estrategia más amplia
• Cómo el correo anónimo te protege del phishing — el phishing necesita tu correo real; los desechables te quitan de la lista
• Correo desechable, burner email y temp mail comparados — tres términos, tres herramientas distintas
• Guía completa sobre la privacidad del correo electrónico — la imagen completa de cómo se viola tu privacidad y cómo arreglarlo