Entregabilidad del correo explicada: SPF, DKIM, DMARC, y por qué la reputación de tu servidor importa más que tu contenido
La mayoría de las personas asume que los filtros de spam leen tus correos. Buscan palabras sospechosas, enlaces dudosos o formatos extraños. Eso es parte de ello. Pero la mayoría de las decisiones sobre entregabilidad ocurren antes de que se evalúe una sola palabra de tu mensaje: suceden en la capa de identidad del servidor, donde los servidores de correo receptores deciden si tu servidor de envío es lo suficientemente confiable como para entregar el mensaje.
Este artículo explica los tres registros de autenticación que gobiernan esa capa de confianza (SPF, DKIM y DMARC), por qué la reputación IP de tu servidor puede arruinar tu entregabilidad sin importar tu contenido, y qué hace RemarkableCloud para proteger cada VPS administrado desde el primer día.
Los tres registros que determinan si tu correo llega
SPF es un registro DNS en tu dominio que lista las direcciones IP y servidores de correo autorizados a enviar correo en su nombre. Cuando un servidor receptor recibe un correo de tu dominio, consulta tu DNS en busca de un registro SPF y verifica si la IP del servidor de envío está en la lista aprobada.
Si la IP no está en la lista, el correo falla SPF. Según la política del servidor receptor, puede ser rechazado de inmediato, dirigido a spam o marcado para revisión adicional.
Un registro SPF ausente o mal configurado es una de las razones más comunes por las que el correo legítimo termina en spam. No significa que tu correo sea spam: significa que los servidores receptores no pueden verificar que eres quien dices ser.
DKIM utiliza firmas criptográficas para verificar que un correo fue enviado por un servidor autorizado y que su contenido no fue modificado después del envío. Tu servidor de correo firma los mensajes salientes con una clave privada. La clave pública correspondiente se publica en tu DNS. Cuando un servidor receptor recibe el correo, obtiene tu clave pública y verifica la firma.
Si la firma es válida, el correo se confirma como auténtico y no modificado. Si la firma falta o no es válida, el correo puede ser tratado como sospechoso o rechazado.
DKIM es especialmente importante para el correo transaccional. Las confirmaciones de pedidos, restablecimientos de contraseña y facturas que fallan la verificación DKIM tienen muchas más probabilidades de ser dirigidas a spam o descartadas silenciosamente antes de llegar a la bandeja de entrada.
DMARC se basa en SPF y DKIM dándole a los propietarios de dominio control sobre qué ocurre cuando falla la autenticación. También añade reportes: los servidores receptores te envían informes consolidados sobre quién está enviando correo desde tu dominio, incluidos los remitentes no autorizados.
Un registro DMARC especifica una política con tres posibles acciones cuando falla la autenticación:
- none: No tomar ninguna acción, solo reportar. Se usa para monitoreo.
- quarantine: Dirigir los correos que fallan a la carpeta de spam.
- reject: Rechazar los correos que fallan directamente, antes de que lleguen a la bandeja de entrada.
DMARC sin SPF y DKIM no tiene sentido: no tiene nada que verificar. Los tres registros funcionan como un sistema: SPF confirma que la IP de envío está autorizada, DKIM confirma que el mensaje es auténtico, y DMARC indica a los servidores receptores qué hacer cuando alguna verificación falla y te envía informes para que sepas qué está ocurriendo.
Por qué los tres pasan y tu correo igual va a spam
Que SPF, DKIM y DMARC pasen es necesario pero no suficiente. El segundo factor clave de entregabilidad es la reputación IP, y aquí es donde muchos entornos de hosting crean problemas invisibles que sus clientes nunca logran rastrear hasta la causa raíz.
El problema del mal vecino
Cada servidor en internet tiene una dirección IP. Cada dirección IP tiene una reputación basada en el historial del correo enviado desde ella. Las bases de datos de reputación IP, mantenidas por empresas como Spamhaus, Barracuda y los principales proveedores de correo, registran qué IPs han enviado spam, generado quejas o estado asociadas con actividad maliciosa.
En el hosting compartido, varios negocios comparten la misma IP de correo saliente. Si uno de tus vecinos envía una campaña de spam, tiene un sitio WordPress comprometido que envía correos de phishing, o su cuenta es usada por un bot, tu IP de salida queda marcada. Tus correos legítimos ahora se envían desde una IP en lista negra. Tu SPF, DKIM y DMARC pasan sin problemas. Tus correos igual van a spam o son bloqueados por completo.
No puedes ver quiénes son tus vecinos. No puedes controlar lo que envían. No tienes forma de saber que tu IP está en lista negra hasta que los clientes empiezan a reclamar que no reciben tus confirmaciones de pedidos.
Esto no es un caso extremo. Es una de las causas más comunes y menos entendidas de los problemas de entregabilidad de correo para negocios en entornos de hosting compartido.
Incluso en servidores dedicados, la reputación del rango de IP importa. Si otros servidores en la misma subred IP tienen un historial de envío deficiente, algunos servidores receptores aplicarán penalizaciones de reputación a todo el rango. Por eso migrar a cualquier VPS no resuelve automáticamente los problemas de entregabilidad: tanto la IP como la infraestructura de correo saliente detrás de ella son importantes.
Cómo RemarkableCloud gestiona la entregabilidad del correo
La entregabilidad del correo no es un complemento opcional ni una función premium en RemarkableCloud. Es parte de la configuración predeterminada en cada Cloud Cube administrado, desde el primer día. Esto es lo que significa en la práctica.
Gateway SMTP de MailChannels
Todo el correo saliente de tu servidor pasa por MailChannels, un servicio comercial de entrega de correo utilizado por los principales proveedores de hosting en todo el mundo. MailChannels mantiene una alta reputación de remitente, gestiona los reintentos de entrega y proporciona una IP de envío limpia que no se comparte con tus vecinos de servidor. Tu correo sale a través de una infraestructura con un historial de entrega comprobado, no directamente desde la IP de tu servidor.
Filtrado antispam colaborativo
El correo entrante pasa por nuestro gateway antispam antes de llegar a tu buzón. El sistema utiliza un modelo de reputación colaborativa: los patrones y señales del correo se evalúan en toda nuestra red, por lo que las campañas de spam que atacan a un cliente son reconocidas y bloqueadas para todos. Te beneficias de la inteligencia colectiva sin necesidad de ninguna configuración de tu parte.
SPF, DKIM y DMARC configurados por defecto
Cada dominio alojado en un Cloud Cube recibe los registros SPF, DKIM y DMARC configurados correctamente como parte de la configuración inicial. No necesitas buscar los registros, generar claves ni descifrar la sintaxis correcta. Se configuran antes de que envíes tu primer correo, lo que significa que la autenticación pasa desde el primer día en lugar de esperar a que notes un problema de entregabilidad.
Todos los dominios en tu servidor, sin cargos por dominio
La protección antispam cubre cada dominio y cuenta de correo alojada en tu Cloud Cube. Los proveedores especializados en antispam suelen cobrar por dominio o por cuenta al mes. Nosotros incluimos protección de entrada y salida para todo tu servidor sin costo adicional, independientemente de cuántos dominios alojes.
Cómo verificar tu configuración de entregabilidad de correo
Una buena configuración debe ser verificable. Estas son las herramientas que recomendamos para revisar SPF, DKIM, DMARC y la reputación de tu IP. Todas son gratuitas.
DMARC Tester: dmarctester.com
Nuestra herramienta favorita para una verificación completa de entregabilidad. Envía un correo de prueba a la dirección única que genera la herramienta, y visualiza en tiempo real cómo un servidor receptor evalúa tus registros SPF, DKIM y DMARC. Puedes ver exactamente qué verificaciones pasan, cuáles fallan y por qué, presentado como un flujo visual en lugar de salida DNS cruda. También incluye un cuestionario sobre DMARC y un analizador de encabezados de correo.dmarctester.com
MXToolbox: mxtoolbox.com
La herramienta de diagnóstico DNS y de correo más completa. Verifica tus registros SPF, DKIM y DMARC individualmente, consulta tu IP en las principales listas negras (Spamhaus, Barracuda y otras), prueba registros MX y diagnostica problemas de conexión SMTP. La verificación de listas negras es especialmente útil si sospechas un problema de reputación IP.mxtoolbox.com
Mail-Tester: mail-tester.com
Envía tu correo a través de un sistema de puntuación y devuelve una puntuación de entregabilidad del 1 al 10 con un desglose detallado. Verifica SPF, DKIM, DMARC, calidad del contenido, marcado HTML y listas negras en un solo informe. Útil para una revisión rápida del estado general antes de enviar una campaña o verificar una configuración de dominio nuevo.mail-tester.com
Google Postmaster Tools: postmaster.google.com
Si envías un volumen significativo a direcciones de Gmail, Google Postmaster Tools muestra la reputación de tu dominio y de tu IP tal como Gmail la ve, las tasas de spam y los detalles de errores de entrega. Requiere verificación de dominio. Esencial para cualquier negocio donde Gmail represente una parte importante de tu base de destinatarios.postmaster.google.com
Cómo luce una configuración de correo limpia
Cuando la entregabilidad del correo está configurada correctamente, una verificación en mail-tester.com debería devolver una puntuación de 9 o superior. Esto es lo que logra un servidor bien configurado en cada dimensión:
En un Cloud Cube administrado de RemarkableCloud, todo esto pasa desde el primer momento. SPF, DKIM y DMARC se configuran durante el aprovisionamiento del servidor. El correo saliente pasa por MailChannels con una reputación IP limpia. El filtrado de entrada está activo desde el primer día.
Puedes ejecutar una verificación en mail-tester.com dentro de la primera hora de aprovisionado tu servidor y esperar una puntuación superior a 9.5. Si algo no está bien, nuestro equipo lo resuelve: la infraestructura de correo es parte de lo que administramos, no un servicio opcional que configuras tú mismo.
Protección de correo de nivel empresarial en cada Cloud Cube. Sin costo adicional. Sin configuración requerida. Primer mes desde $2.00.
Ver planes de Cloud Cube →Correo que llega. Configurado desde el primer día.
SPF, DKIM y DMARC por defecto. SMTP de salida con MailChannels. Antispam colaborativo de entrada. Todos los dominios en tu servidor, sin cargos por dominio. Administrado desde 2001.
Ver planes de Cloud Cube


