SPF vs DMARC vs DKIM — Autenticación de Correo Explicada

Tres protocolos, un objetivo: detener la falsificación de correo

La Defensa de Tres Capas

SPF, DMARC y DKIM son los tres pilares de la autenticación de correo. SPF dice quién puede enviar. DKIM prueba que el mensaje no fue alterado. DMARC establece la política para qué hacer cuando las verificaciones fallan. Los tres juntos = riesgo de suplantación casi cero. Falta uno = un atacante solo necesita romper una cerradura.

Tasas de Configuración (159 Dominios)
29.6%
SPF Configurado
17.6%
DMARC Configurado
9.4%
DKIM Configurado
SPF — Sender Policy Framework

SPF es un registro TXT de DNS que lista los servidores de envío autorizados. Si un servidor no incluido intenta enviar, SPF falla. Pero aquí está el problema: SPF tiene un límite de 10 consultas DNS. Muchos dominios grandes alcanzan este límite y fallan en silencio. Por eso SPF solo no es suficiente. Solo el 29.6% de los dominios que verificamos tienen SPF — la mayoría no tiene verificación de remitente.

DMARC — Autenticación Basada en Dominio

DMARC se construye sobre SPF y DKIM añadiendo una política: decirle al receptor que rechace o ponga en cuarentena las falsificaciones. Este es el que realmente detiene la suplantación. Sin DMARC, un correo falsificado que pase SPF o DKIM (o ambos) se entrega. Solo el 17.6% de los dominios lo tienen. Si configuras una cosa, que sea DMARC — incluso sin SPF, DMARC=policy indica a los receptores tu posición.

DKIM — DomainKeys Identified Mail

DKIM firma los mensajes salientes con una clave privada. El receptor verifica la firma con la clave pública en DNS. Demuestra que el contenido del mensaje no fue cambiado en tránsito. Es el más difícil de configurar (requiere gestión de claves) y el menos común — solo el 9.4% de los dominios verificados lo tienen.

SPF vs DMARC vs DKIM: ¿Cuál Importa Más?
Protocolo Propósito Nuestros Datos Recomendación
SPF SPF Verificación del remitente 29.6% configurado Necesario pero insuficiente
DMARC DMARC Ejecución de políticas 17.6% configurado El más importante — elige este
DKIM DKIM Integridad del mensaje 9.4% configurado Deseable pero opcional
Ejemplo Real de Registro DMARC (gmail.com) 
v=DMARC1; p=reject; pct=100; rua=mailto:mailauth-reports@google.com
El Veredicto

Si solo puedes elegir un protocolo, elige DMARC. Es el único que dice a los receptores qué hacer con falsificaciones. SPF sin DMARC es solo una sugerencia. DKIM sin DMARC prueba integridad pero no intención. Los tres juntos es lo ideal — pero DMARC solo es mejor que SPF+DKIM sin política.

Pruébalo Tú Mismo

Usa nuestra herramienta gratuita para verificar cualquier correo electrónico en tiempo real

Verificar un Correo Ahora