Cómo configurar SPF, DKIM y DMARC en Shopify (guía paso a paso 2026)

Si vendes con Shopify y mandas emails desde tu propio dominio —ofertas, recuperación de carrito, confirmaciones, o campañas con Klaviyo/Mailchimp/Omnisend— necesitas que tres registros estén bien puestos en el DNS de tu dominio: SPF, DKIM y DMARC. Sin ellos, Gmail y Yahoo no confían en tus correos y los mandan a spam o los rechazan. Desde 2024 es obligatorio para quien envía volumen.

Esta guía va al grano. Si solo quieres saber cómo estás ahora mismo, analiza tu dominio gratis aquí en 30 segundos y verás qué te falta. Si quieres entender el porqué primero, sigue leyendo.

Antes de tocar nada: ¿desde qué dominio envías?

Shopify manda algunos correos transaccionales por su cuenta, pero los importantes —tu marketing— salen desde tu dominio (tutienda.com) a través de tu herramienta de email (Klaviyo, Mailchimp, Shopify Email, Omnisend…). Esos son los que tienes que autenticar. La configuración se hace en el panel DNS de donde tengas el dominio (Namecheap, GoDaddy, Cloudflare, IONOS…), no dentro de Shopify.

Ten a mano: acceso al panel DNS de tu dominio, y el panel de tu herramienta de email (de ahí sacas el valor de DKIM).

Paso 1 — SPF: declara quién puede enviar en tu nombre

El SPF es una lista de servidores autorizados a enviar correo con tu dominio. Si tu herramienta de email no está en esa lista, Gmail descarta la verificación.

  1. En tu panel DNS, busca si ya existe un registro TXT que empiece por v=spf1.
  2. Si no existe, créalo. Si existe, edítalo, no crees un segundo (tener dos registros SPF lo rompe todo).
  3. Añade el include de tu proveedor. Ejemplos habituales:
    • Klaviyo: include:_spf.klaviyo.com
    • Mailchimp: include:servers.mcsv.net
    • Brevo: include:spf.brevo.com
    • Google Workspace: include:_spf.google.com
  4. Un SPF típico queda así: v=spf1 include:_spf.klaviyo.com include:_spf.google.com ~all

El error más común: superar 10 "lookups" DNS (cada include cuenta) o tener el SPF duplicado. Cuando eso pasa, Gmail invalida el SPF entero. Por eso conviene revisarlo, no improvisarlo.

Paso 2 — DKIM: firma tus emails

El DKIM es una firma criptográfica que demuestra que el email es tuyo y nadie lo ha manipulado. Cada herramienta de email te da una clave DKIM para publicar.

  1. En tu herramienta (Klaviyo, Mailchimp…), busca la sección de dominio de envío / autenticación de dominio. Te dará uno o varios registros (normalmente tipo CNAME) con un selector, por ejemplo klaviyo._domainkey o k1._domainkey.
  2. Copia esos registros exactamente en tu panel DNS.
  3. Vuelve a la herramienta y pulsa "verificar". Cuando esté validado, tus emails irán firmados.

Ojo: la firma tiene que estar alineada con tu dominio. Si la copias mal o falta un registro, el DKIM no suma nada aunque parezca que está. Mira también que la clave sea de al menos 1024 bits (2048 recomendado).

Paso 3 — DMARC: la política que ata todo

El DMARC le dice a Gmail y Yahoo qué hacer cuando un correo dice ser tuyo pero no pasa SPF ni DKIM. Desde 2024 es obligatorio para remitentes con volumen — sin él, te mandan a spam o te rechazan. Lee por qué Gmail y Yahoo lo exigen si quieres el contexto.

  1. Crea un registro TXT en _dmarc.tutienda.com.
  2. Empieza suave para no bloquear tus propios correos sin querer: v=DMARC1; p=none; rua=mailto:tu@email.com
    • p=none solo monitoriza (no bloquea nada todavía).
    • rua es donde recibirás los informes.
  3. Deja p=none unos días, revisa los informes para confirmar que SPF y DKIM pasan, y solo entonces sube a p=quarantine (manda a spam lo no autenticado) y más tarde a p=reject.

La trampa peligrosa: subir directo a p=quarantine o p=reject con SPF/DKIM mal configurados bloquea tus propios emails sin avisarte. Te enteras cuando ya nadie recibe tus campañas. Por eso esto se hace por fases, leyendo los informes.

Cómo comprobar que quedó bien

No te fíes de "creo que está". Verifícalo:

  • Lo más rápido: pasa tu dominio por el analizador de ClearRows — te dice en 30 segundos si SPF, DKIM y DMARC están correctos y qué falta, gratis.
  • Manda un email de prueba a una cuenta Gmail tuya y, en el correo recibido, abre "Mostrar original": verás SPF: PASS, DKIM: PASS, DMARC: PASS si todo está bien.

Si esto te supera (y es normal)

Configurar los tres registros, alinearlos y subir el DMARC por fases sin romper nada es trabajo de una hora si sabes lo que haces. Si no, es muy fácil dejar el SPF duplicado, el DKIM desalineado o el DMARC demasiado agresivo — y empeorar la entregabilidad en vez de arreglarla.

En ClearRows lo dejamos puesto y verificado por 67€: una vez, sin permanencia, con devolución íntegra si en 30 días no notas mejora. Pero empieza por lo gratis: analiza tu dominio y mira en qué punto estás.

¿Te quedaste con dudas de por qué pasa esto? Lee por qué tus emails de tienda van a spam — las 5 causas y cómo identificar la tuya.