Configurar DKIM, SPF y DMARC para Mautic 2026 — la diferencia entre inbox y spam
Sin DKIM + SPF + DMARC correctamente alineados, tu Mautic enviará todos los emails a spam folder en Gmail/Outlook/Yahoo. Esta guía cubre los 3 TXT records exactos para Mautic + SparkPost, validación con dig + mail-tester.com, y los 4 errores que vemos repetidamente. Tiempo total: 30-60 min + 30 min propagación DNS.
El error #1 en setups Mautic DIY es: "instalé todo, los emails no llegan a inbox". 95% de las veces la causa NO es Mautic — es DNS. DKIM, SPF y DMARC son 3 TXT records que probablemente nunca configuraste, y son la diferencia entre 90% deliverability vs 5%. Esta guía es el playbook real, no el resumen genérico de stackexchange.
Qué son SPF, DKIM y DMARC — sin marketing
| Record | Pregunta que responde | Quién verifica | Si falla |
|---|---|---|---|
| SPF | ¿Este servidor tiene permiso enviar email por tu dominio? | Mail server destinatario (Gmail, Outlook) | Email sospechoso → spam folder |
| DKIM | ¿Este email fue alterado en tránsito? | Mail server destinatario via verificación criptográfica | Email sospechoso → spam folder |
| DMARC | Si SPF o DKIM fallan, ¿qué hago con este email? | Mail server destinatario lee la policy | Comportamiento según policy (none/quarantine/reject) |
Necesitas LOS TRES. Tener solo SPF sin DKIM = deliverability 50%. Tener los 3 alineados = deliverability 95%+.
Paso 1 — Verificar dominio en SparkPost
- SparkPost UI → Configuration → Sending Domains
- Click Add Domain
- Ingresar tu dominio:
tuempresa.cl(sinmautic.nihttps://) - SparkPost te muestra DKIM record con selector único (ej:
scph0125) - Copiar los 2 valores DKIM (key + selector)
Paso 2 — SPF record
En tu DNS provider (Cloudflare, Route53, registrar):
# TXT record en dominio raíz
Name: tuempresa.cl (o "@" en algunos providers)
Type: TXT
Value: v=spf1 include:sparkpostmail.com -all
TTL: 3600Si ya usas Google Workspace + SparkPost:
Value: v=spf1 include:_spf.google.com include:sparkpostmail.com -allSi ya usas Microsoft 365 + SparkPost:
Value: v=spf1 include:spf.protection.outlook.com include:sparkpostmail.com -allinclude: cuenta 1+). Si tienes 11+, SPF falla. Reducir o usar SPF flattening.
Paso 3 — DKIM record
Con el valor que SparkPost te dio:
# TXT record con subdomain selector
Name: scph0125._domainkey.tuempresa.cl
Type: TXT
Value: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDF...
TTL: 3600El selector scph0125 varía por cuenta SparkPost. NO lo cambies — debe ser exacto como SparkPost lo muestra.
Paso 4 — DMARC record
Empezar con policy quarantine (recomendado) o none (para monitoring sin acción):
# TXT record en _dmarc subdomain
Name: _dmarc.tuempresa.cl
Type: TXT
Value: v=DMARC1; p=quarantine; rua=mailto:dmarc@tuempresa.cl; pct=100; aspf=r; adkim=r
TTL: 3600Explicación de los campos:
v=DMARC1: versionp=quarantine: si SPF/DKIM falla, marca como spam (no rejeita)rua=mailto:dmarc@tuempresa.cl: address que recibe reports DMARC diariospct=100: aplica policy a 100% del tráficoaspf=r / adkim=r: relaxed alignment (recomendado para empezar)
Paso 5 — Validar propagación
Después de 5-30 minutos:
# SPF
dig TXT tuempresa.cl +short
# Esperado: "v=spf1 include:sparkpostmail.com -all"
# DKIM
dig TXT scph0125._domainkey.tuempresa.cl +short
# Esperado: "v=DKIM1; k=rsa; p=MIGfMA0G..."
# DMARC
dig TXT _dmarc.tuempresa.cl +short
# Esperado: "v=DMARC1; p=quarantine; ..."Si alguno no aparece después de 1h, revisar typos en DNS provider. Records con typos NO retornan error — simplemente no funcionan.
Paso 6 — Verificar status en SparkPost
- SparkPost UI → Configuration → Sending Domains
- Click en tu dominio
- Status debe mostrar:
- ✅ DKIM: Verified
- ✅ SPF: Verified
- ✅ Domain Owner: Verified
Paso 7 — Configurar Mautic para usar el dominio
En Mautic UI → Settings → Configuration → Email Settings:
| Campo | Valor |
|---|---|
| Sender Name | Marketing tuempresa |
| Sender Email | marketing@tuempresa.cl |
| Return Path | bounces@tuempresa.cl |
| Mailer is owned by | SparkPost |
| SparkPost API Key | (tu API key) |
| Region | US o EU según donde verificaste |
Save + Test connection.
Paso 8 — Test deliverability final con mail-tester.com
- Ir a mail-tester.com
- Copiar la email address que te da (ej:
test-abc@srv1.mail-tester.com) - En Mautic, crear email test enviado a esa address
- Esperar 30s, volver a mail-tester.com, click "Then check your score"
Score esperado:
- 9-10/10 ✅ Production-ready. Tus emails llegan a inbox.
- 7-8/10 ⚠️ Funcional pero hay tweaks. Revisar warnings específicos.
- 5-6/10 🔴 Algo está mal (típicamente SPF/DKIM mal configurado). Revisar logs.
- 0-4/10 🔴 No envíes masivos. DNS o config Mautic con problema serio.
Los 4 errores que vemos repetidamente
Error 1 — DKIM selector con typo
SparkPost da scph0125 y tú escribes scph_0125 o scph01-25. DNS acepta el record (sintaxis válida) pero SparkPost no lo encuentra. Fix: copiar exacto como SparkPost lo muestra, sin modificaciones.
Error 2 — SPF con softfail (~all) en vez de hardfail (-all)
~all permite emails sospechosos llegar (con flag). -all los rechaza. Para Mautic transactional + marketing, -all es el correcto.
Error 3 — DMARC con p=reject prematuro
Empezar con p=reject SIN monitoring antes = bloqueas tus propios emails legítimos de otros providers (transactional Stripe, notifications GitHub, etc) que no están en tu SPF. Fix: empezar con p=none monitoring 2-4 semanas, ver reports, subir a quarantine, después de 4-8 semanas más subir a reject.
Error 4 — Sender email diferente del dominio verificado
Verificaste tuempresa.cl en SparkPost. Mautic envía desde marketing@mailservice.com. DKIM no alinea = DMARC fail. Fix: sender email debe estar en el dominio que verificaste DKIM.
Verificación final — checklist
| Check | Cómo | Esperado |
|---|---|---|
| SPF responde | dig TXT tuempresa.cl | Contiene sparkpostmail.com |
| DKIM responde | dig TXT scph0125._domainkey.tuempresa.cl | Empieza con v=DKIM1 |
| DMARC responde | dig TXT _dmarc.tuempresa.cl | Empieza con v=DMARC1 |
| SparkPost dashboard | Sending Domains → tu dominio | ✅ Verified en DKIM + SPF |
| mail-tester.com | Test envío | Score 9-10/10 |
| Gmail check | Enviar a tu Gmail personal | Llega a Primary, no Promotions/Spam |
¿Quieres Mautic con deliverability configurado para ti?
Setup completo en 24h: DNS, SparkPost, DKIM/SPF/DMARC, test mail-tester 9+/10. Incluido en plan gestionado USD 49/mes.
Hablar por WhatsAppPreguntas frecuentes
¿Qué pasa si no configuro DKIM/SPF/DMARC en Mautic?
Tus emails van a spam folder en Gmail, Outlook y Yahoo (80%+ del email B2B/B2C). SparkPost rechaza envíos sin DKIM alineado. Es el error #1 en setups DIY — "instalé Mautic pero nadie recibe los emails".
¿Cuál es la diferencia entre DKIM, SPF y DMARC?
SPF: lista qué servidores tienen permiso enviar email por tu dominio. DKIM: firma criptográfica que prueba el email no fue alterado. DMARC: policy que indica qué hacer si SPF o DKIM fallan (none/quarantine/reject) + reporting. Necesitas LOS TRES.
¿Cuánto demora propagar los DNS records?
5-30 minutos típicamente, hasta 24-48h en peores casos. Configurar todos los records, esperar 30 min, validar con dig + mail-tester.com. Si después de 1h no aparece, revisar typos.
¿Puedo usar SPF con sendgrid + sparkpost + google al mismo tiempo?
Sí, un solo SPF con múltiples includes: v=spf1 include:_spf.google.com include:sparkpostmail.com include:sendgrid.net -all. LÍMITE: máximo 10 DNS lookups en un SPF.
¿Debo empezar con DMARC p=reject o p=quarantine?
SIEMPRE empezar con p=none (monitor) 2-4 semanas. Validar reports. Después p=quarantine. Después de 4-8 semanas más, p=reject. Saltar directo a reject = bloquear emails legítimos de tu propio SaaS.
¿SparkPost free incluye DKIM?
Sí, tier free (500 emails/día) incluye DKIM generation + verification. No incluye en free: dedicated IP (USD 28/mes), SLA premium. Para PYMEs hasta 50K emails/mes, free tier + USD 25 plan es suficiente.