Defaults.Exposed › Soluciones › Guides
¿Sus correos de Mailchimp, Brevo o Klaviyo fallan DMARC? Active la autenticación de dominio real (2026)
Publicado 2026-07-08
Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados del censo sobre 261 millones de dominios calificados. Consulte cómo calificamos.
Las plataformas de boletines fallan DMARC cuando envían “desde” su dominio sin autenticarse como su dominio. La solución es la autenticación de dominio personalizado de la plataforma — sus CNAME de DKIM, más un dominio de rebote personalizado donde se ofrezca. La brecha es normal: de 740.321 dominios que autorizan SendGrid, solo el 18,0% aplica DMARC, según el censo de Defaults.Exposed de 261.086.232 dominios (2026-06-29).
La solución son unos pocos registros DNS y diez minutos en la configuración de su plataforma. A continuación: por qué la autenticación compartida de la plataforma dejó de ser suficiente en febrero de 2024, qué interruptor activar en Mailchimp, Brevo, Klaviyo y SendGrid, y los pasos de la solución en orden — incluido abandonar una dirección From de correo gratuito, algo que ningún registro DNS puede rescatar.
¿Por qué fallan DMARC los correos del boletín cuando la plataforma dice que todo está verificado?
Porque la plataforma se autenticó a sí misma, no a usted. De fábrica, un ESP envía sus campañas con su propio dominio de rebote en el Return-Path, y a menudo firma DKIM también con su propio dominio. Los sistemas receptores evalúan SPF contra el dominio del Return-Path (RFC5321.MailFrom), no contra la cabecera From, así que SPF pasa sin problemas… para el dominio de la plataforma.
A DMARC no le importa si SPF o DKIM pasaron en abstracto. Pregunta si alguno de los dos pasó para el dominio de su dirección From — esa coincidencia se llama alineación. El pase de SPF del ESP corresponde a su dominio de rebote, no al suyo; sin DKIM de dominio personalizado, su firma corresponde a su dominio, no al suyo. Nada se alinea, así que su dominio From falla DMARC — mientras el panel de la plataforma muestra marcas verdes, porque desde donde ella lo ve, la autenticación funciona. Activar la autenticación de dominio personalizado (DKIM firmado como su dominio) es la solución completa. Para la mecánica completa de la alineación, consulte DMARC falla pero SPF y DKIM pasan.
¿Qué cambió en febrero de 2024?
Google y Yahoo empezaron a exigir los requisitos para remitentes masivos: autenticación alineada para el dominio From, una política DMARC publicada, cancelación de suscripción con un clic y límites de tasa de spam. El atajo de la infraestructura compartida — apoyarse en la autenticación del ESP y enviar desde cualquier cosa — dejó de funcionar. Dos consecuencias para quienes envían boletines:
- Todos los ESP serios promueven ahora la autenticación de dominio personalizado, porque las campañas sin ella empezaron a caer en spam o a rebotar directamente (la versión de Gmail es 550-5.7.26).
- Las direcciones From de correo gratuito están muertas para el envío masivo. Ya no puede enviar campañas desde
[email protected]a través de un ESP: los dominios de correo gratuito publican políticas DMARC estrictas, su ESP nunca podrá alinearse con ellos, y los sistemas receptores rechazan o envían a spam todo el lote. Necesita su propio dominio en la dirección From — no hay alternativa.
El conjunto completo de requisitos está en nuestro artículo de datos sobre los requisitos para remitentes de Google y Yahoo.
¿Cómo se llama el interruptor en Mailchimp, Brevo, Klaviyo y SendGrid?
Todas las plataformas tienen la misma función con un nombre distinto. Lo que siempre produce es un pequeño conjunto de registros CNAME para su DNS — así se reconoce, diga lo que diga el menú.
| Plataforma | Nombre de la función (aprox.) | Lo que añade al DNS | Notas |
|---|---|---|---|
| Mailchimp | Domain authentication | CNAME de DKIM (k2._domainkey, k3._domainkey) | Alineación solo por DKIM — Mailchimp ya no usa un include de SPF; no añada uno |
| Brevo | Authenticate your domain | Conjunto de CNAME de DKIM + registro de verificación | Verifique el conjunto de registros vigente en la documentación de Brevo al configurarlo |
| Klaviyo | Dedicated sending domain | CNAME de DKIM + subdominio de rebote (Return-Path) | El dominio dedicado le da también alineación de SPF |
| SendGrid | Domain authentication (automated security) | Conjunto de CNAME (DKIM + return-path) | No hace falta un include de SPF — los CNAME lo cubren |
Dos patrones que merece la pena observar. Primero, ninguna de estas plataformas quiere que se añada un include: a su registro SPF — la autenticación moderna de los ESP se delega mediante CNAME, y un include sobrante solo consume presupuesto de consultas DNS. Segundo, la delegación por CNAME es una ventaja: la plataforma rota sus claves DKIM detrás de los nombres delegados sin que usted vuelva a tocar el DNS.
¿Cómo se arreglan los fallos DMARC del boletín, paso a paso?
- Ejecute el análisis gratuito en defaults.exposed antes de tocar el DNS. Muestra el estado real del SPF, DKIM y DMARC de su dominio, para que vea la brecha de alineación que está a punto de cerrar.
- Active la autenticación de dominio personalizado en la plataforma (tabla anterior). Genera registros CNAME específicos de su cuenta.
- Añada los CNAME a su DNS exactamente como se indican. El error clásico: paneles DNS que añaden automáticamente su zona, convirtiendo
k2._domainkey.yourdomain.comenk2._domainkey.yourdomain.com.yourdomain.com. Pegue solo la parte del host si su panel añade el dominio. Si la plataforma informa después de “no key for signature”, el registro del selector no llegó a publicarse — consulte DKIM “no key for signature”. - Configure el dominio de rebote personalizado (Return-Path) donde la plataforma lo ofrezca. Esto alinea también la vía SPF, dando a DMARC dos formas de pasar. Donde no se ofrezca (Mailchimp), un DKIM alineado por sí solo es un pase DMARC completo — una sola vía alineada es todo lo que DMARC exige.
- Traslade su dirección From a su propio dominio si sigue en correo gratuito.
[email protected], no[email protected]. Un requisito, no una preferencia. - Verifique en la plataforma y vuelva a analizar. Espere a que la comprobación de la plataforma se ponga en verde (el DNS puede tardar de minutos a unas horas), envíese una campaña a usted mismo y confirme que las cabeceras muestran DKIM firmado por su dominio. Después trabaje en cualquier otra cosa señalada en la página de arreglar DMARC — si su dominio no tiene ningún registro DMARC, esos son los próximos diez minutos.
¿Cuántos remitentes de boletines tienen esto realmente bien?
El censo lo lee desde el lado del DNS: para cada plataforma, cuántos dominios la autorizan — y cuántos de ellos protegen el dominio que hace el envío, según el censo de Defaults.Exposed de 261.086.232 dominios (2026-06-29).
| Plataforma (destino SPF) | Dominios que la autorizan | Con DMARC aplicado |
|---|---|---|
SendGrid (sendgrid.net) | 740.321 | 18,0% |
Mailgun (mailgun.org) | 1.306.692 | 35,9% |
Amazon SES (amazonses.com) | 551.446 | 41,9% |
Datos del censo de 2026-06-29. “Con DMARC aplicado” = el dominio que autoriza publica p=quarantine o p=reject.
Incluso en lo alto de la tabla, la mayoría de los remitentes en plataformas profesionales deja el dominio sin proteger: el 41,9% de los 551.446 dominios que autorizan Amazon SES aplica DMARC, el 35,9% de los 1.306.692 de Mailgun — y solo el 18,0% de los 740.321 de SendGrid. La infraestructura es profesional; la protección del dominio, en su mayoría, no. La clasificación completa de proveedores — incluidos los proveedores de buzones — está en qué proveedor de correo tiene el SPF más sólido.
Preguntas frecuentes
¿Necesito añadir Mailchimp a mi registro SPF?
No — y no lo haga. Mailchimp usa alineación solo por DKIM mediante sus CNAME k2/k3 y ya no publica un include de SPF para clientes. Un include:servers.mcsv.net antiguo no aporta nada a DMARC y desperdicia presupuesto de consultas DNS; la vía alineada aquí es DKIM.
¿La autenticación de dominio sacará mis boletines de la carpeta de spam? Elimina la causa principal — correo no alineado en un dominio con política DMARC — y es un requisito obligatorio de las reglas de Google/Yahoo. No arreglará los problemas de calidad de la lista: tasas altas de quejas y la falta de cancelación con un clic mantienen el correo en spam aunque la autenticación sea perfecta. Arregle primero la autenticación; es la parte con una respuesta definitiva.
¿Puedo seguir enviando campañas desde mi dirección @gmail.com? No. Los proveedores de correo gratuito publican políticas DMARC estrictas precisamente para que nadie más pueda enviar como ellos, y su ESP nunca podrá alinearse con gmail.com. Desde febrero de 2024 ese correo se rechaza o va a spam a gran escala. Una dirección From en su propio dominio es la única vía.
Activé la autenticación de dominio — ¿por qué DMARC sigue fallando? Normalmente por una de tres cosas: los CNAME quedaron dañados por un panel DNS que añade la zona (paso 3), el dominio From de la campaña no coincide con el dominio que autenticó, o hay otra fuente de envío fallando además del boletín. Entre todos los 261.086.232 dominios del censo de 2026-06-29, solo el 10,59% aplica DMARC — si el suyo lo hace, está cerca; vuelva a analizar y lea qué vía está sin alinear.
¿Aplica esto a listas pequeñas, de menos de 5.000 correos al día? Los umbrales más estrictos son formalmente para remitentes masivos, pero los sistemas receptores aplican los fundamentos de autenticación a todo el mundo, y los ESP ahora exigen la autenticación de dominio sea cual sea el volumen. Trátelo como obligatorio: son unos pocos registros DNS, y evita que sus campañas se rompan el día que su lista crezca.
Envíe el informe al propietario
Si está arreglando esto para un cliente — o el boletín es suyo pero el DNS no — remate el trabajo con evidencia. Vuelva a ejecutar el análisis gratuito cuando los CNAME estén publicados y reenvíe el informe calificado al propietario del negocio: lenguaje claro, con fecha, alineación DMARC corregida. Es el documento que responde a la renovación del ciberseguro y al próximo cuestionario de seguridad de clientes — un antes y después documentado, no “hice clic en unos botones de Mailchimp”.
Compruebe su dominio → · DMARC falla pero SPF y DKIM pasan → · Arreglar DMARC → · Arreglar DKIM → · Cómo calificamos → · Solo datos agregados. Datos almacenados y procesados en la UE.