Cómo configurar SPF, DKIM y DMARC en cPanel para tu correo corporativo

Si tus correos corporativos llegan a la carpeta de spam de tus clientes, o si alguien puede enviar correos haciéndose pasar por tu dominio, el problema casi siempre está en tres registros DNS que muchos hostings no configuran por defecto: SPF, DKIM y DMARC.

Esta guía es práctica y directa: te explicamos qué hace cada registro y cómo configurarlos desde cPanel, sin necesidad de conocimientos técnicos avanzados.

Si primero quieres entender qué son SPF, DKIM y DMARC conceptualmente, lee nuestra guía de DNS avanzado: CNAME, MX, SPF y DKIM explicados. Esta guía asume que ya sabes qué hacen y te muestra cómo implementarlos.

Por qué estos tres registros son indispensables

• SPF le dice a los servidores de correo qué IPs están autorizadas a enviar email en nombre de tu dominio. Sin SPF, cualquier servidor puede enviar correos "desde" tu dominio.
• DKIM agrega una firma digital criptográfica a cada correo. El servidor receptor verifica que el correo no fue alterado en tránsito.
• DMARC define qué hacer cuando un correo falla SPF o DKIM: ignorarlo, marcarlo como spam o rechazarlo. También genera reportes de quien intenta usar tu dominio.

Los tres juntos son el estándar mínimo de autenticación de correo en 2026. Google y Microsoft los exigen para remitentes de alto volumen, y su ausencia es la causa más frecuente de que correos legítimos lleguen a spam.

Paso 1: configura SPF en cPanel

Verifica si ya tienes SPF

En cPanel, ve a Zona de DNS (o "Editor de zonas DNS") y busca un registro TXT para tu dominio que empiece con v=spf1. Si existe, ya tienes SPF.

Crea o actualiza el registro SPF

Si tu correo está alojado en el mismo servidor cPanel, el registro SPF más común es:

v=spf1 include:tudominio.cl ~all

Pero cPanel genera automáticamente el SPF correcto. Para activarlo:

1. En cPanel, busca la sección "Autenticación de correo electrónico" (Email Authentication)
2. Verifica si SPF está habilitado. Si no, haz clic en "Habilitar"
3. cPanel crea automáticamente el registro TXT con la IP de tu servidor incluida

Si usas servicios externos para enviar correo (Mailchimp, Brevo, HubSpot, Google Workspace), debes agregar sus dominios al SPF. Por ejemplo:

v=spf1 include:_spf.google.com include:servers.mcsv.net ~all

Regla importante: Solo puedes tener un registro SPF por dominio. Si ya existe uno y quieres agregar un servicio, edita el registro existente; no crees uno nuevo.

Qué significa el final del registro SPF

• ~all (softfail): los correos que no pasen SPF se marcan como sospechosos pero no se rechazan. Recomendado para empezar.
• -all (hardfail): los correos que no pasen SPF se rechazan. Más seguro, pero configúralo solo después de verificar que todos tus servicios de envío están en el SPF.

Paso 2: configura DKIM en cPanel

Habilita DKIM desde la autenticación de correo

1. En cPanel → Autenticación de correo electrónico
2. En la sección DKIM, haz clic en "Habilitar"
3. cPanel genera automáticamente el par de claves pública/privada y crea el registro DNS correspondiente

El registro DKIM aparece como un registro TXT con el nombre default._domainkey.tudominio.cl (o similar). Contiene la clave pública que los servidores receptores usarán para verificar las firmas.

Verifica que DKIM funciona

Después de habilitarlo, espera 15-30 minutos para que el DNS se propague, luego:

1. Envía un correo desde tu cuenta corporativa a una cuenta de Gmail
2. En Gmail, abre el correo → clic en los tres puntos → "Mostrar original"
3. Busca la línea dkim=pass. Si aparece, DKIM está funcionando.

Paso 3: configura DMARC

DMARC es el registro que conecta SPF y DKIM y define la política de tu dominio. Sin DMARC, SPF y DKIM funcionan pero nadie aplica consecuencias cuando fallan.

Crea el registro DMARC

DMARC se configura como un registro TXT en tu zona DNS. El nombre del registro es siempre _dmarc.tudominio.cl.

Para empezar (política de monitoreo):

v=DMARC1; p=none; rua=mailto:dmarc-reportes@tudominio.cl

• p=none: política de monitoreo — no rechaza nada, solo reporta
• rua=mailto:...: dirección donde recibirás los reportes XML diarios de autenticación

Una vez que verificaste que todo funciona (2-4 semanas de monitoreo):

v=DMARC1; p=quarantine; rua=mailto:dmarc-reportes@tudominio.cl; pct=100

• p=quarantine: los correos que fallen SPF y DKIM van a carpeta spam del receptor

Política estricta (para dominios con alto riesgo de suplantación):

v=DMARC1; p=reject; rua=mailto:dmarc-reportes@tudominio.cl

• p=reject: los correos que fallen SPF y DKIM se rechazan completamente

Cómo agregar el registro DMARC en cPanel

1. En cPanel → Editor de zonas DNS (o "Zone Editor")
2. Busca tu dominio y haz clic en "Administrar"
3. Agrega un nuevo registro:
   • Tipo: TXT
   • Nombre: _dmarc (cPanel agrega .tudominio.cl automáticamente)
   • Valor: el texto DMARC de arriba
4. Guarda el registro

Paso 4: verifica todo con herramientas online

Una vez configurados los tres registros (espera 30-60 minutos para propagación DNS), verifica con estas herramientas gratuitas:

• MXToolbox (mxtoolbox.com): busca "SPF Lookup", "DKIM Lookup" y "DMARC Lookup"
• Mail Tester (mail-tester.com): te da una puntuación de 10 y detecta problemas específicos
• Google Admin Toolbox (toolbox.googleapps.com/apps/checkmx): verifica MX, SPF, DKIM y DMARC

Una puntuación de 9-10 en Mail Tester con SPF, DKIM y DMARC en verde es señal de que tu configuración es correcta.

Caso especial: si usas Google Workspace con tu dominio

Si tus correos corporativos están en Google Workspace (antes G Suite) y tu zona DNS está en cPanel, necesitas:

1. SPF para Google:

v=spf1 include:_spf.google.com ~all

2. DKIM desde Google Workspace: en la consola de Google Workspace → Apps → Gmail → Autenticación de correo, genera el registro DKIM y cópialo en la zona DNS de cPanel.

3. DMARC: créalo en cPanel como se explica arriba, apuntando a un email de tu Google Workspace para recibir los reportes.

Caso especial: si usas múltiples servicios de envío

Si envías correos desde cPanel (correo transaccional), Mailchimp (newsletters) y un CRM como HubSpot, todos necesitan estar autorizados en tu SPF:

v=spf1 a mx include:_spf.google.com include:servers.mcsv.net include:_spf.hubspot.com ~all

Recuerda: un solo registro SPF con todos los include: necesarios. El límite de DNS lookups para SPF es 10 — si tienes muchos servicios, usa una herramienta como MXToolbox para verificar que no superas el límite.

Preguntas frecuentes

¿Cuánto tiempo tarda en funcionar después de configurar los registros?

El TTL de los registros DNS determina cuánto tarda la propagación. Con un TTL de 3600 (1 hora), los cambios suelen verse en 1-2 horas en la mayoría de los servidores. En algunos casos puede tomar hasta 24 horas.

¿Necesito DMARC si ya tengo SPF y DKIM?

SPF y DKIM son necesarios para que DMARC funcione, pero sin DMARC nadie aplica una política cuando fallan. Para una protección real contra suplantación de identidad (phishing), los tres son necesarios.

¿Los reportes DMARC llegan en formato legible?

Los reportes XML son difíciles de leer directamente. Existen servicios gratuitos como DMARC Analyzer (versión básica gratuita) o Postmark DMARC que los procesan y muestran en dashboards legibles.

¿Afecta la configuración de DMARC a los correos que ya envié?

No. DMARC aplica solo a correos enviados después de su configuración. Los correos ya enviados no se ven afectados.

SPF, DKIM y DMARC son la base de un correo corporativo confiable. La mayoría se configura en menos de 30 minutos desde cPanel. Un hosting con cPanel completo y soporte de correo corporativo te da las herramientas para hacerlo sin complicaciones → Ver planes Elevocloud