Defaults.Exposed › Soluciones › Guides
Configurar el correo en un dominio nuevo: la lista de verificación de SPF, DKIM y DMARC en 20 minutos (2026)
Publicado 2026-07-08
Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados del censo sobre 261 millones de dominios calificados. Consulte cómo calificamos.
Un dominio nuevo necesita cuatro cosas antes de su primer correo: un análisis de partida, un único registro SPF que nombre a su proveedor real, firma DKIM con dominio personalizado y un registro DMARC con los informes activados desde el primer día. La mayoría de los dominios nunca llega ahí — el 46,4% (121.145.609 de 261.086.232 dominios calificados) no tiene SPF en absoluto, según el censo de Defaults.Exposed (a fecha de 2026-06-29).
Publicarlo todo lleva unos 20 minutos: analizar como punto de partida, añadir un registro SPF, activar el DKIM de dominio personalizado de su proveedor, publicar DMARC p=none con una dirección de informes, opcionalmente añadir MTA-STS, y luego volver a analizar y guardar el informe. Lo que lleva más tiempo es lo que ninguna lista de verificación puede acelerar — la propagación del DNS y la reputación de envío — y esta guía es honesta con ambas.
¿De verdad bastan 20 minutos?
Para publicar los registros, sí — cada paso de abajo es una entrada de DNS más un par de clics en la consola de administración de su proveedor. Dos cosas llevan más tiempo, y fingir lo contrario es como los dominios nuevos acaban en spam:
- Propagación. Los registros nuevos suelen resolver en minutos, pero los resolutores cachean según el TTL y un dominio recién delegado puede tardar horas en responder de forma consistente. Verifique con
dig; no edite en pánico mientras las cachés se ponen al día. - Calentamiento. Un dominio nuevo tiene cero reputación de envío, y la autenticación es la condición previa de la reputación, no un sustituto. Empiece con un volumen bajo, a escala humana, y suba gradualmente durante semanas.
La afirmación honesta: 20 minutos compran una autenticación correctamente publicada. Las siguientes semanas de envío sensato compran la entregabilidad.
La lista de verificación de 20 minutos
- Ejecute primero el análisis gratuito en defaults.exposed. Analice el dominio nuevo antes de tocar el DNS. La línea base calificada de “nada configurado” tarda segundos en capturarse y da sentido al informe posterior — querrá el par antes-y-después (paso 6).
- Publique un único registro SPF para su proveedor real. Exactamente un registro TXT que empiece por
v=spf1y contenga el include de su proveedor — por ejemplov=spf1 include:_spf.google.com ~allpara Google Workspace, oinclude:spf.protection.outlook.compara Microsoft 365; si su DNS vive en el panel de un registrador, la guía paso a paso de GoDaddy cubre las peculiaridades de la interfaz. Un solo registro: dos registrosv=spf1son un error permanente que anula SPF por completo — el estado en el que están atascados 1.013.416 dominios, aproximadamente uno de cada 138 de los dominios que intentan SPF (censo a fecha de 2026-06-29), normalmente un resto de migración. No añada includes “por si acaso”: SPF limita las consultas DNS a 10, y al menos 797.263 dominios han anulado su registro por reventar ese límite. Y sepa qué comprueba SPF realmente: los receptores lo evalúan contra el dominio del Return-Path (RFC5321.MailFrom) — la dirección de rebote — no la cabecera From que sus destinatarios ven. - Active la firma DKIM con dominio personalizado. Su proveedor firma el correo de todos modos; la cuestión es qué dominio nombra la firma. Hasta que complete este paso, Google Workspace firma con su predeterminado
gappssmtp.comy Microsoft 365 cononmicrosoft.com— firmas que pasan DKIM pero no se alinean con su dominio, así que DMARC sigue fallando. Genere la clave en la consola de administración y publique lo que el proveedor le entregue: un registro TXT de 2048 bits para Google, dos CNAMEs (selector1/selector2) para Microsoft 365. Si un registro no cabe en su panel de DNS, consulte arreglar DKIM — las claves largas estropeadas por las interfaces son un clásico. - Publique DMARC desde el primer día —
p=nonecon una dirección de informes. Un registro TXT en_dmarc.yourdomain.com:v=DMARC1; p=none; rua=mailto:[email protected]. Sea claro sobre lo que esto hace:p=nonetodavía no protege nada — es modo de monitorización. Pero no cuesta nada, y los informes agregados cubrirán entonces el historial de envío de su dominio desde el primer mensaje. Los dominios establecidos gastan semanas de informes solo en descubrir remitentes que habían olvidado; usted está comprando esa visibilidad gratis, desde el día cero. Consulte arreglar DMARC para la anatomía del registro. - Opcional pero barato en un dominio nuevo: MTA-STS y TLS-RPT. MTA-STS dice a los servidores emisores que su dominio requiere TLS para el correo entrante (un registro DNS más un pequeño archivo de política alojado); TLS-RPT reporta fallos de cifrado en la entrega. En un dominio establecido requieren cuidado; en un dominio nuevo con un solo proveedor de correo no hay nada que romper, y
mode: testingno supone prácticamente ningún riesgo. Configúrelos ahora o sáltelos — pero decida, no lo deje a la deriva. - Vuelva a analizar y guarde el informe. Ejecute el análisis de nuevo — SPF, DKIM y DMARC deberían aparecer todos en verde. Guarde el informe calificado: evidencia fechada del estado del dominio en su lanzamiento, y exactamente lo que pedirá una aseguradora o el cuestionario de un cliente.
¿Cuántos dominios completan realmente esta lista?
Muy pocos — y la mayoría cae en el primer obstáculo. De los 261.086.232 dominios calificados en el censo de Defaults.Exposed (a fecha de 2026-06-29):
| Hito de la lista | Realidad del censo (de 261.086.232 dominios calificados, a fecha de 2026-06-29) |
|---|---|
| Paso 2 — publicar algún registro SPF | El 46,4% nunca lo hace: 121.145.609 dominios no tienen SPF en absoluto |
| Paso 4+ — DMARC con una política con aplicación | 10,59% (27.640.987 dominios); el 89,41% no tiene política con aplicación |
| La tríada completa — SPF + DKIM + DMARC con aplicación | 3,87% (10.092.481 dominios) |
Los 20 minutos que describe esta página ponen a un dominio recién estrenado por delante de aproximadamente el 96% de internet en la tríada completa. El modelo de madurez de adopción de SPF desglosa cada peldaño de esa escalera.
¿Con qué rapidez puede un dominio nuevo llegar a p=reject?
Semanas, no meses — la ventaja genuina de empezar de cero. Lo que hace lenta la aplicación de DMARC en los dominios establecidos es el legado: el conector del CRM olvidado, la herramienta de facturación que alguien conectó en 2019, la plataforma de boletines que nadie documentó. Cada uno tiene que encontrarse en los informes y corregirse antes de que la política pueda endurecerse — de ahí el despliegue estándar de meses.
Un dominio nuevo no tiene remitentes heredados: usted configuró cada fuente de envío por sí mismo, esta semana, y los informes del paso 4 lo confirmarán. Mantenga p=none durante dos a cuatro semanas de envío real, compruebe que los informes cubren todo lo que usa de verdad (buzones, facturas, recibos, el formulario de contacto de la web) y pase entonces a p=quarantine y de ahí a p=reject en cuanto salgan limpios. La mecánica por etapas — las subidas de pct, la política de subdominios, qué vigilar — está en de p=none a p=reject; en un dominio nuevo las recorrerá a toda velocidad, hasta un lugar que solo el 10,59% de los dominios calificados ha alcanzado.
¿Y el dominio antiguo que está reemplazando?
Si este dominio nuevo es parte de un cambio de marca, el dominio que deja atrás es ahora su mayor riesgo de correo: sigue siendo suyo, sus contrapartes siguen confiando en él, y ya nadie lo vigila. No lo abandone — ciérrelo explícitamente. Es su propio trabajo corto: ese dominio antiguo de su cambio de marca es una puerta que dejó abierta.
Preguntas frecuentes
¿Puedo publicar estos registros antes de elegir proveedor de correo?
DMARC, sí — p=none con rua es independiente del proveedor, así que publíquelo el día que registre el dominio. SPF necesita el include de su proveedor; hasta que haya elegido uno, publique v=spf1 -all (nada está autorizado a enviar) y sustitúyalo en el paso 2. Eso es estrictamente mejor que el estado sin registro en el que están 121.145.609 dominios (el 46,4% de 261.086.232 calificados, a fecha de 2026-06-29).
¿Necesito DKIM si SPF ya pasa? Sí. SPF se rompe con el reenvío por diseño, y valida el dominio del Return-Path, que para muchas herramientas no es el suyo — un DKIM alineado es la pata que sobrevive a ambas cosas. Solo el 3,87% de los dominios calificados completa la tríada completa SPF+DKIM+DMARC con aplicación (censo a fecha de 2026-06-29); DKIM es el paso que la mayoría de los que abandonan se salta. Empiece en arreglar DKIM si el análisis lo señala.
¿Un dominio nuevo debería usar ~all o -all?
En un dominio establecido, ~all es la opción prudente mientras encuentra remitentes olvidados. Un dominio nuevo no tiene ninguno que encontrar: una vez que el include de su proveedor está dentro y DKIM firma, -all es seguro mucho antes. ¿Quiere doble seguridad? Confírmelo primero con dos semanas limpias de informes DMARC.
Los tres registros pasan — ¿por qué mi correo sigue yendo a spam? Porque autenticación y reputación son cosas distintas: unos registros que pasan significan que los receptores pueden verificar que el correo es suyo, no que ya confíen en usted. Los dominios nuevos se ganan la confianza enviando correo consistente, deseado y de bajo volumen, y subiendo gradualmente. Si el correo está fallando las comprobaciones en lugar de simplemente caer en spam, empiece en arreglar SPF y recorra los resultados del análisis.
Envíe el informe al propietario
Si está configurando este dominio para un cliente, cierre el trabajo con pruebas. Vuelva a ejecutar el análisis gratuito tras el paso 6 y reenvíe el informe calificado al propietario del negocio: SPF, DKIM y DMARC pasando, en lenguaje claro, fechado en el lanzamiento. Es el documento que necesitarán para la renovación del ciberseguro y el próximo cuestionario de seguridad de proveedores — y demuestra que el dominio empezó su vida como el 96% de internet nunca consigue.
Compruebe su dominio → · De p=none a p=reject sin perder correo legítimo → · Solo datos agregados. Datos almacenados y procesados en la UE.