Autenticación de email explicada: por qué Gmail rechaza tus emails

Escribiste un email perfectamente bueno. Le diste a enviar. Luego recibiste una notificación de bounce, o peor, no escuchaste nada porque el mensaje silenciosamente cayó en spam. No estás solo. Este es uno de los problemas más comunes en el email ahora mismo, y tiene una causa específica: tu dominio no está autenticado.

Si eres un marketing manager, founder o alguien que envía email desde un dominio personalizado, este artículo es para ti. Sin descargas de jerga. Solo una explicación clara de qué cambió, por qué tu email está siendo rechazado y cómo arreglarlo.

Qué cambió

Durante años, la autenticación de email fue opcional. Podías enviar desde cualquier dominio sin probar que eras su dueño. Los filtros de spam hacían lo posible, pero el sistema estaba fundamentalmente roto. Cualquiera podía falsificar una dirección From y fingir ser tu empresa.

Esa era terminó.

Google y Yahoo empezaron a hacer cumplir los requisitos de autenticación en febrero de 2024. Si envías más de 5.000 mensajes al día a direcciones de Gmail o Yahoo, tu dominio debe tener SPF, DKIM y DMARC configurados correctamente. Quédate corto y tu email es rechazado directamente o enrutado directo a spam.

Microsoft siguió en 2025, aplicando reglas similares a Outlook.com, Hotmail y Live.com. El umbral es más bajo y la aplicación es más estricta de lo que muchos esperaban.

Esto no es un experimento temporal de política. Es la nueva línea base. Cada proveedor de email importante ahora trata el email sin autenticación como sospechoso por defecto. Si tus registros DNS no están configurados, tus mensajes están muertos al llegar.

SPF: la lista de invitados de tu dominio

SPF significa Sender Policy Framework. Piensa en ello como una lista de invitados en un evento privado.

Tu dominio es el local. Cada servidor que envía email en tu nombre (tu proveedor de email, tu herramienta de marketing, tu email API transaccional) necesita estar en esa lista de invitados. SPF es cómo publicas esa lista.

Creas un registro SPF en tu DNS. Es un registro TXT que dice: "Estas direcciones IP y servicios están permitidos para enviar email como mi dominio". Cuando Gmail recibe un mensaje que dice ser de tu dominio, revisa el registro SPF. Si el servidor emisor está en la lista, pasa. Si no, falla.

Así se ve un registro SPF simple:

v=spf1 include:spf.sendkit.dev include:_spf.google.com ~all

Ese registro dice: los servidores de Sendkit pueden enviar por nosotros, Google Workspace puede enviar por nosotros, y a todos los demás se les debe tratar como sospechosos.

Lo importante que hay que entender: SPF no encripta nada. No verifica el contenido de tu email. Solo responde a una pregunta: "¿Está este servidor autorizado a enviar por este dominio?"

DKIM: el sello de cera en tu carta

DKIM significa DomainKeys Identified Mail. Si SPF es la lista de invitados, DKIM es un sello de cera en una carta.

Cuando envías un email, tu servicio de email adjunta una firma criptográfica invisible a los headers del mensaje. Esta firma se genera usando una clave privada que solo tu servicio de envío tiene. Una clave pública correspondiente está publicada en tus registros DNS.

Cuando el servidor receptor recibe tu mensaje, busca la clave pública, verifica la firma y confirma dos cosas: el mensaje realmente vino de un remitente autorizado, y el mensaje no fue alterado en tránsito.

DKIM no evita que alguien vea tu email. Prueba que el email es genuino e intacto. Si alguien intercepta el mensaje y cambia el contenido, la firma se rompe y el servidor receptor sabe que algo está mal.

No necesitas entender la criptografía. Necesitas entender que sin DKIM, los servidores receptores no tienen forma de verificar que tu email es real. Y en 2026, no verificado significa no confiable.

DMARC: la política que une todo

DMARC significa Domain-based Message Authentication, Reporting, and Conformance. Es la capa de política que se sitúa encima de SPF y DKIM y le dice a los servidores receptores qué hacer cuando la autenticación falla.

Sin DMARC, un servidor receptor podría ver que tu email falló SPF o DKIM y encogerse de hombros. Quizás entrega el mensaje de todos modos, quizás no. No hay consistencia. DMARC elimina la ambigüedad.

Un registro DMARC se ve así:

v=DMARC1; p=reject; rua=mailto:[email protected]

El valor p= es tu política:

• p=none -- Solo monitorear. Los fallos son reportados pero el correo aún se entrega. Usa esto mientras estás configurando las cosas.
• p=quarantine -- Los mensajes que fallan van a spam. Este es el mínimo que Google y Yahoo requieren para remitentes masivos.
• p=reject -- Los mensajes que fallan son bloqueados por completo. Aquí es donde quieres terminar.

DMARC también requiere alineación. El dominio en el header From debe coincidir con el dominio usado en las verificaciones SPF o DKIM. Esto evita que los atacantes pasen SPF con su propio dominio mientras hacen spoofing del tuyo en el campo From.

La parte rua= le dice a los receptores dónde enviar informes agregados. Estos informes te muestran quién está enviando email como tu dominio, si están pasando la autenticación y dónde están ocurriendo los fallos. Son esenciales para diagnosticar problemas.

Cómo verificar si estás configurado correctamente

No necesitas ser sysadmin para verificar tus registros. Aquí están las formas más rápidas.

Usando comandos dig (si te sientes cómodo con una terminal):

dig TXT yourdomain.com +short        # Check SPF
dig TXT _dmarc.yourdomain.com +short # Check DMARC
dig TXT selector._domainkey.yourdomain.com +short # Check DKIM

Para DKIM, reemplaza selector con tu selector DKIM real. Tu proveedor de email te dirá cuál es.

Usando herramientas online:

• MXToolbox -- verifica registros SPF, DKIM, DMARC y MX
• Google Postmaster Tools -- muestra la reputación de tu dominio con Gmail
• Mail Tester -- envía un email de prueba y obtén una puntuación de entregabilidad

Si alguna de estas verificaciones vuelve vacía o con errores, tu autenticación está rota y necesitas arreglarla antes de enviar otra campaña.

Para un recorrido completo, lee nuestra guía paso a paso para configurar DMARC, DKIM y SPF.

Errores comunes que rompen la autenticación

Incluso los equipos que configuran autenticación a menudo tropiezan con estos.

Demasiados lookups SPF. SPF tiene un límite estricto de 10 lookups DNS. Cada include: en tu registro cuenta como un lookup, y los includes anidados también cuentan. Si usas múltiples servicios de email (marketing, transaccional, CRM, helpdesk), puedes pasar este límite sin darte cuenta. Cuando excedes 10 lookups, SPF falla por completo, lo cual es peor que no tenerlo.

Dejar DMARC en p=none para siempre. El modo monitor está destinado a ser temporal. Es una fase de diagnóstico donde confirmas que tu email legítimo pasa la autenticación. Si lo dejas en p=none por meses o años, los receptores saben que no te tomas en serio la aplicación y tratan tu dominio en consecuencia. Pasa a p=quarantine una vez que tus informes se vean limpios, luego a p=reject.

Falta de alineación DKIM. DKIM puede técnicamente pasar incluso cuando el dominio firmante no coincide con tu dominio From. Pero DMARC requiere alineación. Si tu servicio de email firma con bounce.thirdparty.com en vez de yourdomain.com, DKIM pasa pero DMARC falla. Asegúrate de que tu proveedor soporte firma DKIM personalizada con tu propio dominio.

Olvidarse de los subdominios. Si envías desde mail.yourdomain.com pero solo configuras autenticación para yourdomain.com, los mensajes del subdominio pueden fallar. DMARC tiene una etiqueta sp= específicamente para la política de subdominios. No la ignores.

Cómo maneja Sendkit esto

La configuración de autenticación es una de esas cosas que no debería requerir un fin de semana leyendo RFCs.

Cuando agregas un dominio de envío en Sendkit, auto-generamos los registros DNS exactos que necesitas: el include SPF, claves DKIM y un registro DMARC recomendado. Los copias en tu proveedor DNS, haces clic en verificar y listo. Sin adivinar qué selector usar, sin generar pares de claves manualmente.

Sendkit también monitorea tu estado de autenticación continuamente. Si un registro se rompe porque alguien cambió tu DNS, lo marcamos en el dashboard antes de que hunda tu entregabilidad. Puedes enviar vía nuestro email API o SMTP relay, y ambos caminos obtienen el mismo tratamiento de autenticación.

Para el proceso de configuración completo, consulta la documentación de Sendkit.

La conclusión

La autenticación de email ya no es opcional. Gmail, Yahoo y Outlook rechazarán tus mensajes si SPF, DKIM y DMARC no están configurados. La buena noticia es que configurarlos es una tarea única, y la recompensa es inmediata: mejor colocación en bandeja de entrada, menos bounces y una reputación de dominio que realmente trabaja a tu favor.

Si no has verificado tus registros de autenticación recientemente, hazlo hoy. Y si quieres mejorar la entregabilidad de tu email más allá de la autenticación, empieza con tu higiene de listas y patrones de envío. La autenticación te abre la puerta. Todo lo demás te mantiene dentro.