Autenticación email · pre-requisito DMARC · setup 1-3 semanas

SPF correcto y DKIM limpios, antes de tocar DMARC enforcement.

Migrar a DMARC enforcement con SPF mal configurado o DKIM roto convierte el proyecto en incident response. SPF que supera el límite de 10 lookups del RFC 7208 falla con permerror, DKIM con selector inexistente firma incorrectamente, alignment fallido genera bounce masivo de email legítimo. Antes de cualquier policy enforcement, los dos mecanismos foundational de autenticación tienen que estar publicados, validados y monitoreados. El servicio entrega inventario completo de senders, registro SPF dentro del límite, claves DKIM 2048-bit con selector versionado, validación contra los cuatro grandes mailbox providers.

10lookups SPF max RFC
2048bit DKIM mínimo
1-3semanas entrega
95% pass post-setup
Dos mecanismos complementarios

SPF y DKIM cubren autenticación de formas distintas.

SPF declara qué IPs están autorizadas a enviar con tu dominio en el sobre SMTP (envelope sender). DKIM firma criptográficamente cada mensaje con clave privada del dominio, verificable contra la clave pública publicada en DNS. Los dos son necesarios porque cubren puntos diferentes del transporte: SPF protege contra IPs no autorizadas, DKIM protege contra modificación en tránsito y permite alignment para forwarders.

SPF · RFC 7208

Sender Policy Framework

Path-based · IP validation · envelope check

Declara qué IPs públicas están autorizadas a enviar email con tu dominio en el campo Return-Path del sobre SMTP. El receiver consulta el TXT SPF de tu dominio y valida la IP del remitente contra la lista declarada.

  • Receiver recibe email con sender claimed
  • Consulta DNS TXT del envelope domain
  • Parsea SPF: includes, mecanismos, all
  • Valida IP remitente contra lista permitida
  • Si IP autorizada: SPF pass
  • Si IP no listada con -all: SPF fail
  • Si más de 10 lookups: SPF permerror
DKIM · RFC 6376

DomainKeys Identified Mail

Cryptographic · header signing · message integrity

Cada email es firmado criptográficamente por el sender con clave privada. El receiver descarga la clave pública desde el DNS del dominio firmante y valida la firma. Si la firma valida, garantiza que el contenido no fue modificado en tránsito.

  • MTA firma con clave privada del selector
  • Header DKIM-Signature agregado al email
  • Receiver lee selector del header
  • Consulta DNS TXT del selector publicado
  • Descarga clave pública del registro
  • Valida firma contra clave pública
  • Si firma valida: DKIM pass

Diferencia operacional clave que importa para el setup: SPF se rompe silenciosamente con forwarders porque la IP forwarder no está en la lista del dominio original. DKIM sobrevive forwarders porque la firma viaja en el header del mensaje sin modificación. Por eso DMARC en enforcement requiere típicamente DKIM pass alineado al From: header, no SPF. Si DKIM no está correctamente configurado, DMARC enforcement bloqueará email legítimo reenviado por listas de distribución, mailman, helpdesks que forwardean tickets, asistentes de email del cliente. La consecuencia operacional de saltarse el setup DKIM correcto es trabajadores del cliente que dejan de recibir email reenviado.

Ejemplo real anonimizado · inventario de senders

Lo que aparece en el discovery típico.

Caso real anonimizado: empresa B2B Panamá retail/ecommerce, 1.5M envíos/mes. Inventario inicial declarado por el cliente: 4 senders. Inventario final descubierto en el discovery: 13 senders. Esa diferencia (9 senders no documentados) es típica y es uno de los argumentos principales de contratar el servicio: no se puede asegurar autenticación correctamente sin haber inventariado.

Sender identificado Categoría Lookups SPF Estado pre-setup
PowerMTA principal
MTA propio infra cliente
Marketing transaccional 0 directos Conocido
SendGrid
u17239456._domainkey
Transactional + notificaciones 2 Conocido
Mailchimp
k1._domainkey + k2._domainkey
Email marketing legacy 2 Conocido
Google Workspace
_spf.google.com
Email corporativo 4 Conocido
Salesforce Marketing Cloud
No declarado por cliente
CRM marketing 5 Descubierto
Zendesk
No declarado
Helpdesk con email out 2 Descubierto
HubSpot
No declarado · activo en marketing
CRM + email automation 3 Descubierto
Brevo legacy
Cuenta activa olvidada
Email marketing legacy 2 Suspender
Spam imitando dominio
IPs random asia/cloud
No autorizado · spoof N/A Bloquear

El inventario completo de este cliente sumaba 22 lookups SPF si se incluían todos los senders descubiertos con sus includes nativos. Eso supera el límite de 10 lookups del RFC 7208, lo cual significa que el SPF entrega permerror y los receivers lo tratan como si no existiera. Resolución en tres pasos: suspensión de Brevo (cuenta legacy no usada, ahorra 2 lookups), flattening selectivo de Salesforce (resolver el include a IPs específicas, ahorra 3 lookups), delegación de marketing a sub-dominio (marketing.tudominio.com con su SPF propio, mueve 5 lookups fuera del dominio principal). Total post-remediación: 9 lookups en el dominio raíz, dentro del límite. El spam imitando el dominio queda bloqueado vía DMARC en enforcement posterior porque las IPs random no aparecen en el SPF final.

El límite que rompe muchos SPF en producción

Diez lookups DNS por evaluación SPF.

El RFC 7208 sección 4.6.4 limita a 10 los lookups DNS que un receiver hará para evaluar un SPF. Cada mecanismo include cuenta como lookups (típicamente 1-6 según el ESP), cada mecanismo a/mx también. Si tu SPF supera 10 lookups, el receiver devuelve permerror y trata el SPF como si no existiera, lo cual rompe DMARC alignment y deliverability.

Caso real: SPF sin remediar · 22 lookups

Operación B2B retail Panamá · pre-discovery · todos los senders incluidos

22 lookups · PERMERROR

SendGrid (2) + Mailchimp (2) + Google Workspace (4) + Salesforce (5) + Zendesk (2) + HubSpot (3) + Brevo (2) + 2 misc (2) = 22. Excede el límite con +12 lookups. SPF tratado como inexistente por receivers.

Post-remediación EMP · 9 lookups

Mismo cliente · post-suspension, flattening selectivo, sub-domain delegation

9 lookups · OK

SendGrid (2) + Mailchimp (2) + Google Workspace (4) + Salesforce flattened (1) = 9. Dentro del límite. SPF evaluado correctamente por receivers. Brevo suspendido. HubSpot + Zendesk delegados a marketing.tudominio.com.

Registros DNS reales · pre y post setup

Lo que se publica en producción.

Caso real anonimizado del cliente retail B2B: comparación SPF pre-setup (con permerror) y post-setup (válido). DKIM con selector versionado tudominio2026._domainkey siguiendo convención de rotación predecible.

DNS · SPF pre-setup (BROKEN · 22 lookups) PERMERROR · receivers ignoran SPF
; --- SPF actual con todos los includes sumados ---
tudominio.com. 3600 IN TXT "v=spf1
   include:_spf.google.com
   include:sendgrid.net
   include:servers.mcsv.net
   include:_spf.salesforce.com
   include:mailsender.zendesk.com
   include:hs2.hubspot.com
   include:sendinblue.com
   ip4:186.5.10.21
   -all"  ; 22 lookups · viola RFC 7208 § 4.6.4
DNS · SPF post-setup (OK · 9 lookups) Valid · receivers procesan correctamente
; --- SPF dominio raíz: solo senders críticos ---
tudominio.com. 3600 IN TXT "v=spf1
   include:_spf.google.com
   include:sendgrid.net
   include:servers.mcsv.net
   ip4:186.5.10.21
   ip4:186.5.10.22/31
   -all"  ; 9 lookups · dentro de límite

; --- SPF sub-dominio marketing: senders delegados ---
marketing.tudominio.com. 3600 IN TXT "v=spf1
   include:hs2.hubspot.com
   include:mailsender.zendesk.com
   ip4:54.240.0.0/18
   -all"  ; 5 lookups · marketing isolated

; --- DKIM selector versionado 2048-bit ---
tudominio2026._domainkey.tudominio.com. 3600 IN TXT "v=DKIM1;
   k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
   ...8x6Ny2eF3wDqQIDAQAB"

; --- DKIM selectors externos (ya publicados por ESPs) ---
s1._domainkey.tudominio.com. CNAME s1.domainkey.u17239.wl.sendgrid.net.
k1._domainkey.tudominio.com. CNAME dkim.mcsv.net.
Setup en 5 fases · 1-3 semanas

Cómo ejecutamos el deployment.

Fase 01
Días 1-3

Inventario senders

Análisis DNS actual, parseo DMARC reports si existe, revisión logs SMTP, entrevistas con marketing y desarrolladores para descubrir senders no documentados.

Fase 02
Días 4-6

Redacción SPF

SPF dentro del límite de 10 lookups. Suspensión de senders no usados. Flattening selectivo. Sub-domain delegation si necesario. Testing en staging DNS.

Fase 03
Días 6-8

Generación DKIM

Clave 2048-bit con selector versionado. Configuración del MTA para firmar. Coordinación con ESPs externos para publicar sus selectors propios.

Fase 04
Días 8-10

Publicación + propagación

Publicación en DNS producción coordinada con ventana baja. Propagación monitoreada. Testing temprano con receivers externos para detectar errores antes del envío masivo.

Fase 05
Días 10-14

Validación + handover

Envío de muestras a Gmail/Microsoft/Yahoo/Apple. Captura Authentication-Results headers. Monitoreo DMARC RUA reports 7-14 días. Documento entregable + runbook rotación.

Pricing transparente

Tres tiers según número de senders + add-on rotación.

El servicio se descuenta del costo de DMARC + BIMI Monitoring si el cliente decide contratar el plan integrado dentro de 90 días. Setup correcto de SPF + DKIM es paso 1 del proyecto de autenticación; los siguientes pasos típicos son DMARC en p=none monitoreo, después enforcement, finalmente BIMI.

Standard

1 dominio · hasta 8 senders.

$1,200 USD
  • Inventario senders completo
  • Redacción SPF dentro de 10 lookups
  • 1 selector DKIM 2048-bit
  • Validación 4 mailbox providers
  • Documento de configuración
  • Entrega 1-2 semanas
Solicitar Standard

Enterprise Multi-Domain

Hasta 10 dominios bajo holding.

$4,800 USD
  • Hasta 10 dominios
  • Senders ilimitados
  • DKIM rotation procedure
  • Integración plan DMARC enforcement
  • 60 días soporte post-setup
  • Entrega 3-4 semanas
Hablar Enterprise

DKIM Rotation

Add-on · rotación managed cada 6-12 meses.

$890 USD
  • Generación nueva clave 2048-bit
  • Publicación selector nuevo
  • Double-signing 7-14 días
  • Monitoreo DMARC durante transición
  • Retirada selector viejo
  • Por rotación · contratable cuando aplique
Agregar rotación
Lo que pregunta el head of MailOps

Las dudas reales en la primera llamada técnica.

"¿Por qué SPF y DKIM tienen que estar correctamente configurados antes de DMARC?"

DMARC valida que un email pase autenticación SPF o DKIM con alignment al dominio del From: header. Si SPF está mal configurado (supera 10 lookups, omite senders legítimos, sintaxis errónea), DMARC reportará alignment fallido y, en enforcement, bloqueará email legítimo del cliente. Si DKIM no firma correctamente (selector inexistente, clave expirada, configuración del MTA incorrecta), pasa lo mismo. La consecuencia operacional de migrar a DMARC enforcement sin SPF/DKIM limpios es bounce masivo de email legítimo. Por eso el orden de implementación es: primero SPF + DKIM correctos y verificados, después DMARC en p=none por 4-8 semanas observando reports, finalmente DMARC en p=quarantine o p=reject. Saltarse el primer paso convierte el proyecto DMARC en incident response.

"¿Qué es el límite de 10 lookups y cómo lo resuelven?"

El RFC 7208 limita el SPF a 10 lookups DNS por evaluación. Cuando una operación usa múltiples ESPs externos (ej. SendGrid + Mailgun + Mailchimp + Salesforce + Zendesk + HubSpot), cada include suma lookups. SendGrid include solo suma 1-2 lookups, pero Salesforce.com puede sumar 4-6 dependiendo de la cadena, HubSpot 3-4. Sumando todos los senders, fácilmente se llega a 12-15 lookups, lo cual viola el estándar y los receivers tratan SPF como permerror. Tres técnicas de remediación: flattening (resolver los includes a IPs directas, mantenido manualmente), filtering (eliminar senders que no envían realmente), sub-domain delegation (separar marketing.tudominio.com con su propio SPF). EMP usa la combinación adecuada al caso del cliente. Flattening puro está en declive porque requiere mantenimiento manual y las IPs de los ESPs cambian sin aviso.

"¿DKIM 1024-bit que ya tengo configurado sirve o tengo que migrar?"

DKIM 2048-bit es el estándar de la industria desde 2018 y el mínimo aceptable en 2026. DKIM 1024-bit todavía funciona técnicamente pero Google empezó a marcarlo como warning en Gmail Postmaster Tools y algunos receivers lo penalizan en reputational scoring. DKIM 4096-bit es matemáticamente más fuerte pero la firma resultante puede exceder el límite de DNS TXT estándar (255 caracteres por chunk) y requiere split en múltiples chunks, lo cual algunos resolvers legacy manejan mal. Recomendación EMP 2026: DKIM 2048-bit como default para todos los selectors nuevos. La rotación periódica de claves (6-12 meses) es más importante que el tamaño absoluto, porque mitiga el riesgo de compromise de clave. Si tu DKIM actual es 1024-bit, el setup incluye migración a 2048-bit con double-signing durante la transición para evitar bounce de email en flight.

"¿Pueden hacer el inventario si no sé exactamente qué senders tengo?"

Sí, eso es parte del scope. Técnicas combinadas que aplicamos: análisis del registro DNS actual con queries a SPF, DKIM, DMARC para detectar includes y selectors publicados, parseo de DMARC RUA reports si DMARC está en cualquier modo, lo cual revela todos los senders que envían con tu dominio (autorizados o no), revisión de los últimos 30 días de logs SMTP del MTA principal si aplica, entrevistas con marketing y desarrolladores del cliente para identificar herramientas SaaS conectadas que envían email (CRM, helpdesk, forms, billing systems), análisis de los Slack canales con webhooks de notificación si aplica. El inventario típico de una operación B2B media identifica 8-15 senders activos, de los cuales 3-5 son legítimos no documentados y 1-3 son senders no autorizados que deberían bloquearse.

"¿Necesito un DKIM por ESP o uno solo me sirve?"

Un DKIM por sender autorizado, no uno solo para todo. Cada ESP firma con su propio selector específico del cliente: Mailchimp usa k1._domainkey y k2._domainkey, SendGrid usa s1._domainkey y s2._domainkey, Mailgun usa mxa._domainkey y mxb._domainkey, HubSpot usa hs1-_._domainkey, etc. El cliente publica los selectors de cada ESP en el DNS para que esos ESPs puedan firmar emails con tu dominio. Adicionalmente, los MTAs propios (PowerMTA, KumoMTA, Postfix) firman con tu propio selector específico bajo tu control. La configuración del registro SPF declara qué senders están autorizados; la firma DKIM por selector garantiza criptográficamente que el email viene del sender declarado.

"¿La rotación de DKIM rompe el envío en producción?"

No si se hace correctamente con double-signing durante la transición. Procedimiento técnico: generar nueva clave 2048-bit, publicar nuevo selector con número incrementado, configurar el MTA para firmar con el nuevo selector mientras el viejo selector sigue publicado en DNS, monitorear DMARC reports durante 7-14 días, eliminar el selector viejo del DNS cuando ya no quedan emails en flight firmados con él. Durante el período de double-signing ambas claves son válidas y los receivers validan con cualquiera. Las claves DKIM no expiran automáticamente; la rotación es disciplina operacional. EMP entrega el procedure documentado al cierre del setup para que el equipo cliente lo ejecute internamente, o agrega el add-on DKIM Rotation Managed ($890 por rotación) para que EMP la ejecute coordinadamente.

Preguntas técnicas frecuentes

Lo que sale en la sesión de discovery.

¿Cuánto tarda exactamente el setup?

Plazos por tier:

  • Standard (1 dominio, hasta 8 senders): 1-2 semanas. Días 1-3 inventario, días 4-6 redacción SPF y staging, días 7-10 publicación y testing
  • Multi-Sender (8-25 senders): 2-3 semanas con SPF flattening si supera 10 lookups
  • Enterprise Multi-Domain (hasta 10 dominios): 3-4 semanas según complejidad

Variables que extienden plazo: acceso lento a DNS del cliente, esperas de propagación si TTL alto, descubrimiento de senders no documentados durante el discovery, coordinación con vendors externos (SendGrid, Mailchimp, etc.) si requieren validación de propiedad del dominio.

¿Cómo se valida que el setup quedó correcto?

Cuatro mecanismos de validación al cierre del proyecto:

  • Validación técnica externa: dkim-verify, mxtoolbox SPF check, Google's Check MX, Microsoft Message Header Analyzer. Muestran si SPF/DKIM resuelven correctamente desde resolvers externos
  • Envío de muestras desde cada sender autorizado a inboxes de prueba en Gmail, Microsoft 365, Yahoo, iCloud. Parseo del Authentication-Results header para confirmar pass
  • Monitoreo DMARC RUA reports durante 7-14 días post-setup para detectar cualquier sender legítimo omitido del inventario
  • Captura Gmail Postmaster Tools mostrando el dominio con authentication results 95%+ pass

El documento de entrega incluye los outputs de las cuatro validaciones.

¿Qué es SPF flattening y cuándo aplica?

SPF flattening es la técnica de resolver los mecanismos include: a las IPs reales que esos ESPs usan, reemplazando el include por ip4: e ip6: directos. Esto reduce los lookups DNS porque el include cuenta como lookups mientras que ip4/ip6 cuentan como cero.

Cuándo aplica:

  • Cuando SPF supera 10 lookups después de optimizaciones (suspensión, sub-domain delegation)
  • Cuando los ESPs involucrados tienen rangos IP estables documentados públicamente
  • Como solución temporal mientras se ejecuta la migración a sub-domains

Caveats: las IPs de los ESPs cambian periódicamente sin aviso, lo cual rompe el flattening manual. EMP recomienda flattening selectivo (solo para ESPs con IPs estables) combinado con sub-domain delegation para senders volátiles. Para clientes que quieren flattening permanente, hay servicios externos (Valimail, ProDMARC) que lo automatizan con monitoring, pero agregan dependencia adicional.

¿Qué pasa si un ESP cambia sus IPs después del flattening?

El SPF queda obsoleto y los emails del ESP afectado fallan SPF check. Consecuencia: si tu DMARC está en enforcement (p=quarantine o p=reject), email legítimo de ese ESP bounce. Si DMARC está en p=none, solo aparece en RUA reports como fail.

Mitigaciones que EMP recomienda:

  • Flattening solo de ESPs con IPs estables documentadas (SendGrid, Mailgun mantienen rangos estables; Salesforce y HubSpot cambian con frecuencia)
  • Sub-domain delegation para ESPs volátiles: marketing.tudominio.com mantiene los includes nativos, evitando flattening
  • Monitoreo DMARC continuo con alerta cuando un ESP empieza a fallar SPF
  • Revisión semestral del SPF para validar IPs flattened siguen vigentes

Para clientes con muchos ESPs volátiles, el tier Enterprise Multi-Domain incluye revisión semestral del SPF dentro del soporte de 60 días.

¿Cómo se coordina la publicación de selectors DKIM con ESPs externos?

Cada ESP tiene proceso propio para que el cliente publique sus selectors DKIM en el DNS del dominio. Pasos típicos:

  • El ESP entrega al cliente los CNAME records o TXT records con los selectors específicos del cliente (típicamente 2 selectors para soportar rotación interna del ESP)
  • EMP publica los CNAMEs en DNS del cliente apuntando al sub-dominio del ESP donde están las claves públicas
  • El ESP valida que los CNAMEs apuntan correctamente y activa la firma DKIM con esos selectors
  • EMP envía mensaje de prueba y valida el header DKIM-Signature

Para SendGrid, Mailchimp, Mailgun, HubSpot, Brevo, Salesforce, Zendesk el proceso es estándar y EMP tiene playbooks documentados. Para ESPs custom o legacy, el proceso requiere coordinación adicional con el soporte del ESP del cliente.

¿Qué pasa con TTL durante el cambio de SPF?

TTL del TXT SPF determina cuánto tiempo los receivers cachean el registro. Si TTL es 86400 (24h, default frecuente), un cambio en SPF tarda hasta 24h en propagarse. Esto puede causar inconsistencia temporal donde algunos receivers usan el SPF viejo y otros el nuevo.

Procedure EMP para cambios SPF:

  • 48-72 horas antes del cambio, bajar TTL a 300 (5 minutos) para acelerar propagación del cambio futuro
  • Esperar 24-48h para que el TTL viejo expire en los resolvers
  • Publicar el cambio SPF con TTL 300
  • Validar propagación en 5-15 minutos vía múltiples resolvers externos
  • Después de 48h estables con el SPF nuevo, restaurar TTL a 3600 (1 hora)

Este procedure agrega 2-3 días al timeline total pero reduce riesgo de inconsistencia durante el switch.

¿El servicio incluye SPF para sub-dominios automáticamente?

Standard cubre 1 dominio principal. Multi-Sender cubre delegación a sub-dominios cuando aplica para resolver lookups. Enterprise Multi-Domain cubre hasta 10 dominios o sub-dominios bajo holding.

Casos típicos de sub-dominios:

  • marketing.tudominio.com para campañas masivas con sus propios ESPs
  • transactional.tudominio.com para email de sistema (confirmaciones, notificaciones)
  • news.tudominio.com para newsletter dedicado
  • helpdesk.tudominio.com para Zendesk u otro helpdesk con email out

Cada sub-dominio tiene su propio SPF y DKIM independientes. Esto facilita gestionar reputational silos: si helpdesk tiene problema reputacional, no afecta marketing. EMP recomienda esta separación para operaciones B2B medianas-grandes.

¿Cómo encaja el setup SPF+DKIM con DMARC y BIMI?

SPF y DKIM son foundational. La secuencia típica del proyecto de autenticación email es:

  • Paso 1 (este servicio): SPF + DKIM correctamente configurados y validados. Pre-requisito de todo lo demás
  • Paso 2: DMARC en p=none con RUA reports activados. Monitoreo 4-8 semanas para descubrir senders olvidados
  • Paso 3: DMARC migración gradual a p=quarantine pct=10, 25, 50, 100. Después p=reject. Cubre DMARC + BIMI Monitoring
  • Paso 4: BIMI Self-Asserted como testing o BIMI con CMC/VMC para Gmail + Apple. Cubre Configuración BIMI VMC/CMC
  • Paso 5: MTA-STS + DANE + TLS-RPT para cifrado SMTP reforzado. Cubre MTA-STS + DANE + TLS-RPT

Para clientes que quieren el path completo desde SPF/DKIM hasta BIMI con un solo proveedor, EMP entrega proyecto consolidado con descuento sobre los servicios individuales. Consultar en discovery.

Discovery + inventario. Una llamada de 30 minutos.

Validamos en discovery: número aproximado de senders activos en tu dominio, presencia o ausencia de DMARC en cualquier modo, estado actual del SPF (lookups acumulados), presencia o ausencia de DKIM con selectors específicos. Si después del discovery el setup es trivial (1-2 senders, SPF dentro del límite), te lo decimos honestamente con plan DIY si querés ahorrar costo. Si el setup es complejo (10+ senders, flattening necesario, sub-domain delegation), te cotizamos el tier correcto.

Sin compromiso · NDA disponible · L-V 9-18 GMT-5