Cómo configurar SPF, DKIM y DMARC en FirstSales
Autentica tu dominio de envío con SPF, DKIM y DMARC para que tu cold email sea confiable, llegue a la bandeja de entrada y no sea rechazado como suplantado.
- 1
Abre la pestaña Technical
Abre tu mailbox de envío en la página Connectors y ve a la pestaña Technical. Aquí es donde FirstSales revisa los tres registros DNS que demuestran que tienes permiso para enviar desde tu dominio: SPF, DKIM y DMARC.
Sin ellos, los proveedores de correo tratan tu mensaje como sospechoso — la alerta "Email authentication not set up" advierte que los correos "may land in spam or be rejected". Esta es la configuración de entregabilidad con mayor impacto.

- 2
Añade los tres registros a tu DNS
La pestaña lista un registro por protocolo para añadir en el host DNS de tu dominio:
- SPF — Sender Policy Framework: "Declares which servers may send mail for your domain."
- DKIM — DomainKeys Identified Mail: firma criptográficamente el correo saliente para que no pueda falsificarse.
- DMARC — Domain-based Message Authentication: "Tells receivers what to do when SPF or DKIM fail."
Copia cada registro en tu proveedor de DNS (GoDaddy, Namecheap, Cloudflare, etc.). Una barra de puntaje ponderado sigue tu avance — SPF 34%, DKIM 33%, DMARC 33% — para que veas cuánto te falta.
- 3
¿Usas Cloudflare? Añade los registros en un clic
Si FirstSales detecta que tu dominio corre en Cloudflare, la pestaña muestra "This domain is on Cloudflare" y un botón Add to Cloudflare que escribe los registros por ti tras autorizar — sin copiar y pegar manualmente.
Para conectores de tipo password/relay también existe Managed DKIM (Enable Managed DKIM), donde FirstSales gestiona la clave de firma DKIM.
- 4
Verifica que los registros estén activos
Después de añadir los registros, desplázate hasta Verify DNS Records — "After adding the records above, click below to confirm they are live." Haz clic en Check DNS Records. Cada protocolo muestra pass o fail; cuando los tres pasan verás "All checks passed!"
Si algo falla, no te preocupes — "DNS changes can take up to 48 hours to propagate." Espera y usa Re-check DNS Records.
- 5
¿Alto volumen? La autenticación es obligatoria
Si un mailbox envía más de 5,000 correos/día, la pestaña muestra un banner rojo: la autenticación es "Required for senders over 5,000 emails/day." Gmail y Yahoo rechazarán el correo masivo no autenticado con el error
550-5.7.26.Por debajo de ese umbral es "Strongly recommended for all senders" — es decir: hazlo de todos modos. El outreach en frío vive o muere por la entregabilidad, y estos tres registros son la base.
Consejos de experto
Atajos aprendidos a fuerza de experiencia para mantener el precalentamiento en curso.
Los tres, no solo uno
SPF, DKIM y DMARC cubren cada uno un tercio del puntaje por una razón — los proveedores quieren los tres. La autenticación parcial igual te filtra; completa el conjunto.
Dale tiempo al DNS antes de revalidar
Un check fallido justo después de añadir los registros suele significar solo propagación. Los cambios pueden tardar hasta 48 horas — espera y luego usa Re-check antes de asumir que el registro está mal.
El clic único de Cloudflare te ahorra el copiar y pegar
Si tu dominio está en Cloudflare, usa 'Add to Cloudflare' — escribe todos los registros por ti y elimina la fuente más común de errores tipográficos.
Más de 5k/día lo hace innegociable
Gmail y Yahoo rechazan el correo masivo no autenticado (550-5.7.26). Si envías a volumen, la autenticación no es opcional — configúrala antes de escalar tus envíos.
Preguntas frecuentes
¿Dónde configuro SPF, DKIM y DMARC?
En la pestaña Technical del conector. Lista los registros exactos de SPF, DKIM y DMARC que debes añadir en el host DNS de tu dominio, y luego verifica que estén activos.
¿Qué hace cada registro?
SPF declara qué servidores pueden enviar por tu dominio; DKIM firma criptográficamente tu correo para que no pueda falsificarse; DMARC indica a los receptores qué hacer cuando SPF o DKIM fallan. Juntos demuestran que tu correo es legítimo.
¿Cómo se calcula el puntaje de autenticación?
Es ponderado: SPF 34%, DKIM 33%, DMARC 33%. La autenticación completa (los tres pasando) llega al 100%; la pestaña Details etiqueta los niveles como 'Fully Authenticated', 'Partially Protected' y 'Not Secured'.
Añadí los registros pero el check falla — ¿por qué?
Lo más común es que el DNS aún no se haya propagado: los cambios pueden tardar hasta 48 horas. Espera y luego haz clic en Re-check DNS Records. Si sigue fallando después de eso, vuelve a copiar el registro exactamente como se muestra.
Mi dominio está en Cloudflare — ¿hay un atajo?
Sí. Cuando FirstSales detecta Cloudflare, usa el botón Add to Cloudflare para escribir los registros automáticamente tras autorizar, en lugar de añadirlos a mano.
¿Qué es Managed DKIM?
Para conectores de tipo password/relay, Enable Managed DKIM permite que FirstSales gestione la clave de firma DKIM por ti, en lugar de que administres el registro DKIM manualmente.
¿Es obligatoria la autenticación?
Para remitentes de más de 5,000 correos/día, sí — Gmail y Yahoo rechazan el correo masivo no autenticado con 550-5.7.26. Por debajo de ese umbral es muy recomendable para todos; omitirla envía tu correo a spam.
¿Una configuración no verificada me bloquea el envío?
No — el check es informativo y nunca te impide salir de la página o enviar. Pero el correo no autenticado cae en spam o es rechazado, así que en la práctica trátalo como obligatorio.
¿Listo para ponerlo en práctica?
Comienza tu prueba de FirstSales y lanza un buzón precalentado y autenticado en minutos.
Empieza por $1