Volver al blog

Requisitos de Google y Yahoo para enviar correo: cumple o acabas en spam

Contenido del artículo

Si envías correo a clientes con cuentas de Gmail o Yahoo, hay tres cosas que tu dominio tiene que cumplir para no acabar en la carpeta de spam: autenticar tus mensajes con SPF, DKIM y DMARC, mantener una tasa de quejas de spam baja (por debajo del 0,3 %) y, si haces envíos comerciales masivos, ofrecer una baja en un solo clic. Desde 2024 Google y Yahoo aplican estos requisitos y, cuando no se cumplen, el correo se marca como spam o directamente se rechaza. La buena noticia es que casi todo se resuelve con una configuración correcta del dominio, y una vez hecha, tu entregabilidad mejora para siempre.

Vamos a ver qué exige cada plataforma, por qué lo pide y cómo cumplirlo sin bloquear tu propio correo por el camino.

Qué ha cambiado y por qué

Durante años, cualquiera podía enviar correo diciendo ser quien no era. Esa permisividad es la que aprovechan el phishing y la suplantación de identidad. Para cortarlo, Google y Yahoo endurecieron sus normas para remitentes: ahora, antes de aceptar tu correo, comprueban que sale de verdad de tu dominio y que a la gente le interesa recibirlo. No es un capricho técnico, es una medida de ciberseguridad que protege tanto a quien recibe como a tu propia reputación como marca.

La consecuencia práctica es clara: un dominio mal configurado ya no es solo «poco profesional», es un dominio cuyos correos no llegan. Y da igual lo cuidado que esté el mensaje si nadie lo ve porque está en la carpeta de spam.

Requisito 1: autentica tu correo con SPF, DKIM y DMARC

Estos tres registros se configuran en el DNS de tu dominio y son la base de todo. Explicados sin tecnicismos:

  • SPF (Sender Policy Framework): es una lista de los servidores autorizados a enviar correo en nombre de tu dominio. Si un mensaje sale de un servidor que no está en la lista, levanta sospechas.
  • DKIM (DomainKeys Identified Mail): firma cada correo con una clave criptográfica. El receptor comprueba la firma y confirma que el mensaje no se ha alterado y que procede de tu dominio.
  • DMARC (Domain-based Message Authentication): es la política que ata los dos anteriores. Le dice al receptor qué hacer con los correos que no superan SPF o DKIM (ignorarlos, mandarlos a spam o rechazarlos) y te permite recibir informes de lo que pasa con tu dominio.

Google y Yahoo exigen SPF y DKIM a todo el mundo, y DMARC (aunque sea con una política inicial permisiva) sobre todo a quienes envían grandes volúmenes. Otro punto importante: debe haber alineación, es decir, que el dominio que ve el usuario coincida con el que se autentica. Configurarlo mal tiene un riesgo real: una política DMARC demasiado estricta aplicada a la ligera puede tirar tu propio correo legítimo. Por eso conviene empezar en modo observación y endurecer poco a poco.

En una frase: SPF, DKIM y DMARC son la forma de demostrarle a Gmail y Yahoo que el correo es tuyo de verdad. Sin ellos, tu mensaje parte con sospecha; con ellos, parte con confianza.

Requisito 2: mantén la tasa de spam por debajo del límite

La tasa de spam es el porcentaje de destinatarios que pulsan el botón «marcar como spam» al recibir tus correos. Google pide mantenerla por debajo del 0,3 % y, como referencia sana, no acercarse al 0,1 %. Puede parecer una cifra pequeña, pero se alcanza antes de lo que crees si envías a listas compradas, a gente que no recuerda haberte dado su correo o con demasiada frecuencia.

La única forma real de mantenerla baja es enviar a quien de verdad quiere recibirte:

  • Envía solo a contactos que te han dado permiso explícito (nada de listas compradas).
  • Limpia tu base de datos: elimina direcciones que rebotan o que llevan mucho sin abrir tus correos.
  • Pon fácil la baja. Es preferible que alguien se dé de baja a que te marque como spam.
  • Cuida la frecuencia y la relevancia: menos correos y más útiles pesan más que el volumen.

Requisito 3: baja en un clic para envíos comerciales

Para quienes envían correo promocional o boletines a gran escala, Google y Yahoo exigen la baja en un solo clic: el usuario debe poder darse de baja con una única acción, sin formularios, sin iniciar sesión y sin trabas. Técnicamente se implementa con unas cabeceras estándar en el propio mensaje, además del enlace de baja visible. Y hay una segunda parte: esas bajas deben procesarse en un plazo breve, de modo que quien se da de baja deje de recibir tus correos rápidamente.

Más allá de la obligación, es de sentido común: obligar a alguien a rellenar un formulario para no recibir tus correos es la mejor forma de que, en lugar de eso, te marque como spam. Y ya hemos visto lo que le hace eso a tu entregabilidad.

Cómo cumplir y mejorar tu entregabilidad

Si trabajas con Microsoft 365, buena parte del terreno lo tienes ganado: la plataforma gestiona la firma DKIM y te facilita los datos para configurar tu DNS. Pero «tener Microsoft 365» no equivale a «cumplir automáticamente»: los registros SPF, DKIM y DMARC hay que crearlos y ajustarlos en el dominio, y la política DMARC hay que definirla con criterio. Estos son los pasos que seguimos en un proyecto de este tipo:

  • Diagnóstico del dominio: revisamos qué registros existen, si están bien formados y desde qué servicios se envía correo en tu nombre (tu gestor de correo, tu ERP, tu herramienta de marketing, tu web).
  • Configuración de SPF y DKIM: declaramos todas las fuentes legítimas de envío y activamos la firma para cada una, evitando dejar fuera correo que sí es tuyo.
  • DMARC progresivo: empezamos en modo observación para ver qué pasa realmente antes de aplicar una política de rechazo, y así no bloqueamos correo legítimo por error.
  • Monitorización: los informes DMARC nos avisan de intentos de suplantación y de fuentes que quedaron sin autenticar, para corregir sobre la marcha.
  • Higiene de listas y contenido: revisamos prácticas de envío para mantener la tasa de spam a raya.

La autenticación del correo forma parte de una estrategia más amplia de protección del dominio y de la identidad digital de la empresa. Si te interesa el ángulo defensivo, tienes más contexto en nuestro artículo sobre cómo proteger a tus empleados del phishing, porque estas mismas medidas son las que dificultan que alguien suplante tu marca.

Preguntas frecuentes

¿Qué es SPF, DKIM y DMARC y para qué sirven?

Son tres mecanismos de autenticación del correo que se configuran en el DNS de tu dominio. SPF declara qué servidores pueden enviar correo en tu nombre; DKIM firma cada mensaje con una clave para probar que no se ha manipulado; y DMARC le dice al receptor qué hacer con los correos que no superan esas comprobaciones. Juntos demuestran que el correo sale de verdad de tu dominio y dificultan la suplantación.

¿Estos requisitos afectan solo a quien envía correos masivos?

Las exigencias más estrictas (DMARC y baja en un clic) se aplican sobre todo a quienes envían grandes volúmenes a usuarios de Gmail y Yahoo. Pero tener SPF y DKIM bien configurados y mantener una tasa de spam baja beneficia a cualquier empresa que envíe correo, aunque sea poco volumen. Lo recomendable es cumplir todos los puntos por defecto, porque mejora la entregabilidad de cualquier envío.

¿Qué es la tasa de spam y cuál es el límite recomendado?

Es el porcentaje de destinatarios que marcan tus correos como spam. Google recomienda mantenerla por debajo del 0,3 % y evitar acercarse al 0,1 %. Superarla de forma habitual hace que tus mensajes acaben en la carpeta de spam o directamente rechazados. Se controla enviando solo a quien lo ha pedido, facilitando la baja y cuidando la calidad de tus listas.

¿Qué es la baja en un clic y cuándo es obligatoria?

Es un mecanismo que permite darse de baja de un correo comercial con una sola acción, sin pasar por formularios ni iniciar sesión. Técnicamente se implementa con cabeceras estándar en el mensaje. Google y Yahoo la exigen a los grandes remitentes de correo promocional y suscripciones, y además obligan a procesar esas bajas en un plazo breve. Es una buena práctica para cualquier boletín.

¿Con Microsoft 365 ya cumplo estos requisitos automáticamente?

Microsoft 365 facilita mucho la parte técnica: gestiona la firma DKIM y te da los datos para configurar el DNS. Pero la configuración correcta de SPF, DKIM y DMARC en tu dominio, y sobre todo el DMARC con una política adecuada, requiere intervención. No es automático al 100 %. Conviene revisar los registros con un profesional para asegurarte de que todo está bien y no bloqueas correo legítimo.

¿Tus correos llegan
o acaban en spam?

Revisamos la autenticación de tu dominio (SPF, DKIM y DMARC), te decimos si cumples los requisitos de Google y Yahoo y dejamos tu correo configurado para que llegue. Sin tecnicismos y sin compromiso.

info@3lsystems.es · Edificio Algón, Burjassot (Valencia)