Cómo comprobar SPF, DKIM y DMARC en DNS
SPF, DKIM y DMARC usan DNS para publicar políticas de autenticación de correo. Viven en hostnames distintos y responden a preguntas diferentes, así que comprobar solo los TXT del dominio raíz no es suficiente.
Comprobar SPF en el dominio emisor
SPF suele ser un TXT en el dominio usado en el envelope-from SMTP. Un dominio no debe publicar varios registros que empiecen por v=spf1.
dig example.com TXT +short
dig @1.1.1.1 example.com TXT +shortComprobar DKIM con el selector
Los registros DKIM viven bajo selector._domainkey. El selector lo da el proveedor de correo o aparece en la cabecera DKIM-Signature de un mensaje.
dig selector1._domainkey.example.com TXT +short
dig google._domainkey.example.com TXT +shortComprobar DMARC en _dmarc
La política DMARC se publica en _dmarc.example.com y empieza por v=DMARC1. La etiqueta p indica el tratamiento solicitado para correos que fallan alineación.
dig _dmarc.example.com TXT +short
dig @8.8.8.8 _dmarc.example.com TXT +shortQué verificar
- Existe exactamente una política SPF para el dominio relevante.
- Los include de SPF apuntan a proveedores activos y no superan el límite de diez consultas.
- El selector DKIM coincide con el usado por el correo saliente.
- La clave pública DKIM está completa y no se ha partido mal en el panel DNS.
- DMARC alinea con el dominio visible del From y usa direcciones de reporte válidas.
Errores habituales
Buscar DKIM en el dominio raíz
DKIM requiere el hostname con selector.
Publicar dos SPF
Combina remitentes autorizados en una sola política v=spf1.
Pensar que p=none bloquea spoofing
p=none monitoriza; no pide cuarentena ni rechazo.
Probar solo DNS local
TXT cacheados pueden hacer que una verificación falle en algunas regiones.