Aquí os paso una breve explicación, de como configurar los registros SPF y DKIM para un dominio. Ambos ejemplos que se muestran son con dos servidores de correo diferentes:
Registro SPF
Ejemplos :
v=spf1 ip4:83.206.106.17 include:spf.google.com ~all
v=spf1 ip4:83.206.106.17 ip4:55.66.22.33 include:_spf.google.com ~all
v=spf1 include:spf.mandrillapp.com include:spf.protection.outlook.com -all
Estos registros cuenta con los siguientes parámetros:
v= spf1 (version spf1)
ip4: Ip de nuestro servidor
include: dirección de nuestro servidor
–(mx): Los servidores mx listados en nuestra dns, pueden enviar correos
–(a): La ip principal del dominio puede enviar correos
-all: Solo estan autorizados a enviar las ips o direcciones, que están definidos en nuestra política de envió spf.
~all: Están autorizados los servidores definidos en nuestra política, pero también los que no coincidan.
Cosicas a tener en cuenta en los SPF, la cantidad maxima de busquedas de un registro SPF esta limitado a 10, por tanto si necesitamos tener mas rangos de direcciones, ips etc, nos deberemos de crear otro registro SPF con mas direcciones.
*Yo recomiendo que se defina mejor la política con (-all). Se dice también que el (~all), se defina solo y exclusivamente cuando el dominio halla entrado en algún tipo de lista de spam, ya que teniéndola siempre configurada así, se pueden generar rebotes excesivos.
Registro DKIM
El registro DKIM lo que nos permite es firmar nuestros correos salientes, y en base a esto el servidor de correo comprueba la veracidad y autenticidad de los correos.
Ejemplos DKIM:
default._domainkey (Dominio principal) -> Dentro del registro TXT, pegaríamos nuestra clave publica
default._domainkey.subdomain.domain.com (Subdominio) -> Dentro del registro TXT, pegaríamos nuestra clave publica
Registro D-MARC
El registro D-MARC lo que nos permite es que una vez configurado correctamente, los registros SPF y DKIM le indica al servidor de correo del remitente, que en el caso de que uno de los valores tales como DKIM y SPF, no sea el correcto tiene tres opciones (dejarlo pasar, rechazarlo o ponerlo en cuarentena, y no cabe decir que en el caso de errores, se genera siempre el reporte )
Hay que tener en cuenta, que antes de configurar este registro hemos de tener bien configurados el SPF y el DKIM, ya que una mala configuración puede llevarnos a que se rechacen los correos, en el caso de que lo que se elija sea la opción de cuarentena o directamente de rechazarlo.
Registro: _dmarc
v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com; fo=1
none -> les deja pasar
quarantine -> les bloquea
reject -> rechazarlo
rua -> (Aqui se define el correo de contacto, donde los servidores de correo envían el reporte en el caso de que se produzcan fallos en la validación)
Sino utilizamos el correo en nuestro dominio bloquearlo siempre tal que asi.
v=spf1 -all
*._domainkey v=DKIM1; p=
v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s;