Configuración de registros DNS para envío de correo electrónico: SPF, DKIM y DMARC

ATENCIÓN: Esta guía está enfocada en usuarios de servicios Cloud Server y Servidores Dedicados.

¿Qué son los registros de correo y por qué los necesitas?

Los registros SPF, DKIM y DMARC son mecanismos de autenticación que protegen tu dominio contra el spam y phishing, y mejoran la entregabilidad de tus correos electrónicos.

SPF (Sender Policy Framework): Define qué servidores están autorizados a enviar correos desde tu dominio.

DKIM (DomainKeys Identified Mail): Añade una firma digital criptográfica a tus correos para verificar su autenticidad.

DMARC (Domain-based Message Authentication): Establece políticas sobre qué hacer con correos que fallan las verificaciones SPF y DKIM.

¿Envías correos desde tu servidor o un servicio externo?

• Desde tu hosting en Donweb: Sigue esta guía.
• Servicio SMTP/API externo (EnvialoSimple transaccional, SendGrid, Mailgun, etc.): Consulta la documentación de tu proveedor para valores específicos, luego usa las instrucciones de configuración de esta guía

Identifica dónde gestionas tu zona DNS y cómo acceder

Antes de configurar los registros, identifica tu escenario y aprende cómo acceder al panel de gestión DNS:

Opción 1 - Zona DNS en DonWeb

Esta opción te permite utilizar y gestionar los servicios de DNS de Donweb cuando no registraste tu dominio en Donweb y tampoco utilizas el panel Ferozo o cPanel.

Identifica este caso:

• Nameservers: ns1.donweb.com y ns2.donweb.com O ns3.hostmar.com y ns4.hostmar.com

Cómo acceder:

1. Ingresa a tu área de cliente DonWeb
2. Ve a la sección servicios "Cloud & IaaS" → pestaña "DOMINIOS & DNS"
3. Haz clic en el ícono "zona DNS" junto a tu dominio
4. Aquí podrás agregar/editar registros TXT

Opción 2 - Zona DNS en Panel Ferozo o cPanel

SI utilizas los paneles Ferozo o cPanel para alojar tus aplicaciones, puedes utilizarlos para gestionar la zona DNS.

Identifica este caso:

• Nameservers: ns9.hostmar.com y ns10.hostmar.com (Ferozo) O ns13.hostmar.com y ns14.hostmar.com (cPanel)

Panel Ferozo - Cómo acceder:

1. Accede a tu panel Ferozo DHM (Administrador) → "Cuentas"
2. Selecciona la cuenta de hosting y accede haciendo clic en el ícono de impersonarse
3. Ve a "Dominios" → ícono de "Editor de zona DNS"
4. Aquí podrás agregar y getionar los registros

cPanel - Cómo acceder:

1. Ingresa a tu cPanel
2. Busca "Zone Editor" en la sección "Dominios"
3. Selecciona tu dominio y haz clic en "Manage"
4. Aquí podrás agregar registros TXT

Opción 3 - Zona DNS en Proveedor Externo

Por último, puede ser que alojes tu aplicación y/o correos en Donweb pero que utilices un proveedor de dominios y gestión de DNS externo, como puede ser Cloudflare, Route53, etc.

Identifica este caso:

• Nameservers: Los de tu proveedor (ej: Cloudflare, Route53, etc.)

Ejemplo Cloudflare - Cómo acceder:

1. Ingresa a tu panel de Cloudflare
2. Selecciona tu dominio
3. Ve a la pestaña "DNS"
4. Haz clic en "Add record"

Otros proveedores: Los pasos son similares - busca la sección de gestión DNS y agrega registros TXT con los valores que se especifican a continuación.

Configuración de registros SPF

El registro SPF define qué servidores están autorizados a enviar correos desde tu dominio.

Valores a configurar:

• Tipo: TXT
• Nombre/Host: @ (o tu dominio completo)
• Contenido/Valor: v=spf1 include:spf.hostmar.com ~all

Consideraciones importantes:

• Solo debe existir UN registro SPF por dominio
• Si ya tienes un registro SPF, modifícalo para incluir include:spf.hostmar.com
• El ~all significa que rechace correos de servidores no autorizados (recomendado)

Verificación:

dig TXT tu-dominio.com

Deberías ver tu registro SPF en los resultados, o usa mxtoolbox.com para verificación online.

Configuración de registros DKIM

DKIM añade una firma digital criptográfica a tus correos electrónicos para verificar su autenticidad.

Paso 1: Generar las claves DKIM

Si gestionas DNS en DonWeb:

• Genera las claves desde tu panel de hosting donde esté alojada tu aplicación

Si gestionas DNS en Panel Ferozo:

1. En el Editor de zona DNS de Ferozo
2. Haz clic en "Configurar DKIM" para tu dominio
3. El sistema creará automáticamente las claves (pública y privada) y el registro DNS
4. Si tu DNS está en otro proveedor, copia el registro generado

Si gestionas DNS en cPanel:

1. Busca "Email Authentication" o "DKIM" en cPanel
2. Selecciona tu dominio y haz clic en "Enable"
3. El sistema genera automáticamente las claves
4. Si tu DNS está en otro proveedor, copia el registro desde "Zone Editor"

Si gestionas DNS externamente pero hosting en Ferozo:

1. Genera las claves usando "Configurar DKIM" en el panel Ferozo
2. Copia el registro TXT generado para configurarlo en tu proveedor DNS externo

Paso 2: Configurar el registro DNS

Valores a configurar:

• Tipo: TXT
• Nombre/Host: mail._domainkey.tudominio.com
• Contenido/Valor: v=DKIM1; g=*; k=rsa; p=TU_CLAVE_PUBLICA_GENERADA

Nota importante: La clave pública (valor después de p=) debe ser la generada específicamente por tu panel de hosting.

Verificación:

dig TXT mail._domainkey.tu-dominio.com

O usa herramientas online como mxtoolbox.com/dkim.aspx

Configuración de registros DMARC

DMARC establece políticas sobre qué hacer con correos que fallan las verificaciones SPF y DKIM.

Valores a configurar:

• Tipo: TXT
• Nombre/Host: _dmarc.tudominio.com
• Contenido/Valor: v=DMARC1; p=none;

Progresión recomendada de políticas:

1. Inicio: v=DMARC1; p=none; (solo monitoreo, no bloquea correos)
2. Después de analizar reportes: v=DMARC1; p=quarantine; (envía a spam los correos sospechosos)
3. Con alta confianza: v=DMARC1; p=reject; (rechaza directamente los correos sospechosos)

Opciones adicionales útiles:

• Para recibir reportes: v=DMARC1; p=none; rua=mailto:dmarc-reports@tu-dominio.com
• Para porcentaje gradual: v=DMARC1; p=quarantine; pct=25; (aplica política solo al 25%)

Verificación:

dig TXT _dmarc.tu-dominio.com

Verificación y testing de tu configuración

Herramientas recomendadas:

• MXToolbox: mxtoolbox.com (verificación completa)
• DMARC Analyzer: dmarcanalyzer.com
• Mail-tester: mail-tester.com (envía un correo de prueba)

Verificación completa con comandos por consola:

# Verificar SPF
dig TXT tu-dominio.com

# Verificar DKIM  
dig TXT mail._domainkey.tu-dominio.com

# Verificar DMARC
dig TXT _dmarc.tu-dominio.com

Test de envío real:

1. Envía un correo de prueba desde tu aplicación a tu Gmail personal
2. En Gmail, abre el correo y ve a "Mostrar original"
3. Busca las líneas que confirmen:
   • spf=pass
   • dkim=pass
   • dmarc=pass

Solución de problemas comunes

El registro no aparece después de configurarlo:

• Espera 1-4 horas para la propagación DNS
• Verifica que no haya errores de sintaxis en el contenido
• Usa herramientas online para verificar desde diferentes ubicaciones

Los correos siguen yendo a spam:

• Verifica que todos los registros pasen las validaciones
• Revisa la reputación de tu IP con herramientas como sender reputation
• Considera configurar un registro PTR (reverso) para tu IP
• Asegúrate de que el dominio "From" coincida con el dominio de los registros

Error "Multiple SPF records":

• Solo debe existir UN registro SPF por dominio
• Si tienes varios, elimina los duplicados y combina las reglas en uno solo

DKIM no valida:

• Verifica que las claves pública y privada coincidan
• Asegúrate de que tu aplicación esté configurada para firmar correos con DKIM
• Revisa que el selector (mail._domainkey) sea exactamente correcto

DMARC no funciona:

• DMARC requiere que SPF O DKIM pasen la validación (no ambos obligatoriamente)
• Verifica que al menos uno de los dos esté configurado correctamente
• El dominio en el campo "From" del correo debe coincidir con el dominio de los registros DNS

Problemas con DNS externo y hosting Ferozo:

• Siempre genera las claves DKIM desde el panel Ferozo, aunque tu DNS esté en otro lado
• No olvides copiar el registro completo, incluyendo todas las comillas y caracteres especiales

Conceptos técnicos: TTL y propagación DNS

TTL (Time To Live): Define cuánto tiempo los servidores DNS mantienen en caché tu registro. Un TTL de 3600 segundos (1 hora) es recomendado para registros de correo.

Propagación DNS: Los cambios en DNS no son instantáneos. Puede tomar 1-48 horas para propagación completa, aunque generalmente ocurre en 1-4 horas.

Tip para cambios planificados: Si planeas hacer modificaciones, reduce temporalmente el TTL a 300 segundos unas horas antes, realiza los cambios, y luego vuelve a subir el TTL a 3600.