Qué pasó en febrero de 2024
Durante años, el correo electrónico funcionó con reglas relativamente laxas. Cualquiera con un servidor podía enviar a gran escala, y la autenticación —probar que uno es quien dice ser— era recomendada pero no obligatoria. Eso terminó en febrero de 2024, cuando Gmail y Yahoo, de forma coordinada, empezaron a exigir requisitos técnicos concretos a los remitentes de volumen. Quien no los cumple, no entrega.
El motivo es sensato: el correo no deseado y el phishing se habían vuelto un problema masivo, en buena parte porque era trivial suplantar a un remitente legítimo. Las nuevas reglas obligan a autenticar, lo que hace mucho más difícil que un atacante envíe correos haciéndose pasar por su banco o su empresa.
El problema para las empresas honestas es que muchas llevaban una década enviando "como siempre" sin autenticación completa, y de repente esa forma de enviar dejó de funcionar. No con un aviso ni un corte abrupto, sino con una degradación silenciosa: más correos a spam, luego rechazos parciales, luego bloqueos. Para cuando alguien en la empresa nota que las campañas ya no rinden, el daño a la reputación del dominio ya está hecho y cuesta semanas repararlo.
En Panamá vimos este patrón repetirse decenas de veces durante 2024. Empresas que llamaban porque "el email dejó de funcionar", convencidas de que era culpa del proveedor o de un cambio misterioso. Casi siempre era lo mismo: no cumplían los nuevos requisitos, y nadie les había avisado porque el correo no avisa.
- Qué cambió: desde feb 2024, Gmail y Yahoo exigen autenticación (SPF, DKIM, DMARC), baja en un clic y tasa de queja bajo 0.3% a remitentes de volumen.
- A quién aplica fuerte: a quien envía más de 5,000 correos diarios a Gmail. Pero conviene que cualquiera que haga email marketing cumpla todo.
- Cómo saber si cumple: revise SPF, DKIM y DMARC con herramientas gratuitas, y vigile Google Postmaster Tools.
- El costo: técnicamente casi nada. El reto es el conocimiento y el monitoreo continuo.
- En Panamá: aplica exactamente igual que en cualquier país. Quien envía a usuarios de Gmail debe cumplir, sin importar dónde esté.
A quién aplica (y por qué conviene cumplir aunque no le aplique)
Técnicamente, los requisitos más estrictos aplican a "remitentes masivos", definidos por Gmail como quienes envían más de cinco mil correos diarios a direcciones de Gmail. Si su empresa envía un boletín mensual a tres mil contactos, en teoría no cruza ese umbral.
Pero hay dos razones por las que conviene cumplir todo aunque no llegue al umbral. La primera es que el umbral es por día y por destinatario Gmail: una sola campaña grande, un pico estacional, o el crecimiento natural de la base pueden cruzarlo sin que usted lo planifique, y no quiere descubrir que no cumple justo cuando más necesita que el correo llegue.
La segunda razón es más simple: los requisitos no son una carga arbitraria, son buenas prácticas que mejoran la entregabilidad de cualquier remitente, grande o chico. Un dominio con SPF, DKIM y DMARC bien configurados entrega mejor que uno sin ellos, tenga el volumen que tenga. Cumplir no es solo evitar un castigo; es enviar mejor.
Los requisitos exactos, sin ambigüedad
Hay mucha información confusa circulando sobre esto, parte de ella desactualizada o mal traducida. Estos son los requisitos concretos, tal como los exigen Gmail y Yahoo a 2026.
| Requisito | Qué significa | Obligatorio para |
|---|---|---|
| SPF | Registro DNS que autoriza qué servidores pueden enviar en nombre del dominio. | Todos los remitentes |
| DKIM | Firma criptográfica que prueba que el correo no fue alterado y viene del dominio declarado. | Todos los remitentes |
| DMARC | Política que indica qué hacer si SPF/DKIM fallan. Mínimo p=none (monitoreo). |
Remitentes de +5,000/día |
| Alineación | El dominio del remitente visible debe coincidir con el dominio autenticado por SPF o DKIM. | Remitentes de +5,000/día |
| Baja en un clic | Cabecera List-Unsubscribe con baja directa, sin pasos extra. |
Remitentes de +5,000/día |
| Tasa de queja | Mantener quejas de spam por debajo de 0.3%. Idealmente bajo 0.1%. | Todos, vigilado en volumen |
| PTR / DNS inverso | La IP de envío debe tener registro PTR válido que resuelva a un hostname. | Todos los remitentes |
| Formato válido | Cumplir RFC 5322, sin suplantar headers, con From consistente. | Todos los remitentes |
De todos estos, el que más empresas no tenían y el que más impacto tuvo es DMARC. SPF y DKIM eran relativamente comunes; DMARC era el gran ausente. Vale la pena entenderlo bien porque es el corazón del cambio.
Por qué DMARC es la pieza clave
SPF y DKIM, por separado, prueban cosas pero no le dicen al receptor qué hacer cuando algo falla. DMARC cierra el círculo: es una política publicada en el DNS del dominio que le dice a Gmail y Yahoo qué hacer con un correo que dice venir de su dominio pero no pasa la autenticación. Las opciones son tres: p=none (no hagas nada, solo repórtame), p=quarantine (mándalo a spam) y p=reject (recházalo del todo).
El requisito mínimo de Gmail y Yahoo es tener DMARC publicado, aunque sea con p=none. Eso ya cumple la letra de la norma. Pero lo recomendable es avanzar gradualmente hacia p=quarantine y eventualmente p=reject, porque solo en esos niveles el dominio queda realmente protegido contra suplantación. Pasar a reject sin haber monitoreado antes es peligroso: puede bloquear correo legítimo mal configurado. Por eso se hace por etapas.
Cómo verificar si su dominio cumple
Antes de arreglar nada, hay que saber qué tiene. Esto se puede hacer sin herramientas de pago, en menos de quince minutos, si sabe dónde mirar.
Revise su SPF
Use cualquier herramienta gratuita de consulta DNS (MXToolbox, dmarcian, o el propio dig en terminal) y busque el registro TXT de su dominio que empieza con v=spf1. Si no existe, no tiene SPF. Si existe, verifique que incluye a todos los servicios que envían en su nombre y que no supera el límite de 10 consultas DNS.
Revise su DKIM
DKIM vive en un subdominio tipo selector._domainkey.sudominio.com. El selector lo define su proveedor de envío. Envíese un correo a sí mismo y revise las cabeceras (en Gmail: "Mostrar original") buscando DKIM-Signature y un resultado dkim=pass. Si dice fail o no aparece, hay problema.
Revise su DMARC
Busque el registro TXT en _dmarc.sudominio.com. Debe empezar con v=DMARC1 e incluir una política p=. Si no existe ese registro, no tiene DMARC, y ese es casi seguro su problema principal si envía volumen.
Active Google Postmaster Tools
Es gratuito y es la única forma de ver cómo Gmail percibe su dominio: reputación, tasa de queja real, errores de autenticación, volumen entregado. Requiere verificar propiedad del dominio. Si envía a Gmail y no lo tiene activo, está volando a ciegas.
Cómo arreglarlo, paso a paso
Si la verificación reveló huecos, esto es lo que hay que hacer, en orden. La buena noticia: nada de esto cuesta dinero en licencias. La parte difícil es hacerlo correctamente y sin romper el correo que ya funciona.
Paso 1: Publicar o corregir SPF
El registro SPF es un TXT en su DNS que lista los servidores autorizados. Si usa un proveedor de email marketing, ellos le indican qué incluir. Un SPF típico se ve así:
v=spf1 include:_spf.suproveedor.com include:_spf.google.com ~all
El ~all al final indica "softfail" para servidores no listados. Cuidado con el límite de diez consultas DNS: si incluye muchos servicios, puede excederlo y romper la validación. Es un error común en empresas que acumulan herramientas con el tiempo.
Paso 2: Configurar DKIM
DKIM lo genera su proveedor de envío, que le entrega uno o dos registros (CNAME o TXT) para publicar en su DNS. Una vez publicados y propagados, su proveedor activa la firma. La clave es que la firma sea de su propio dominio, no del dominio del proveedor, para que haya alineación con DMARC.
Paso 3: Publicar DMARC en modo monitoreo
Empiece siempre con p=none. Esto no cambia cómo se entregan sus correos, pero activa los reportes que le dirán qué está pasando. Un DMARC inicial luce así:
v=DMARC1; p=none; rua=mailto:reportes@sudominio.com; pct=100
La dirección en rua= recibirá reportes diarios de los proveedores sobre qué correos pasan y fallan la autenticación. Estos reportes son densos (XML), por lo que conviene una herramienta que los procese y los muestre legibles. Déjelo en monitoreo varias semanas hasta entender el panorama completo.
Paso 4: Avanzar a cuarentena y rechazo
Cuando los reportes muestren que todo su correo legítimo pasa la autenticación correctamente, avance a p=quarantine (los fallos van a spam) y, más adelante, a p=reject (los fallos se rechazan). Este avance gradual es lo que separa una implementación segura de una que bloquea correo legítimo por accidente.
Paso 5: Implementar baja en un clic
La cabecera List-Unsubscribe con soporte de un clic la implementa cualquier proveedor de email serio automáticamente. Si su proveedor no la pone, es señal de que su proveedor está desactualizado, y eso es un problema mayor que vale la pena resolver cambiando de proveedor.
Paso 6: Vigilar la tasa de queja
Esto no es configuración de una vez, es monitoreo continuo. La tasa de queja sube cuando envía a quien no quiere recibirle, con demasiada frecuencia, o contenido irrelevante. Se mantiene baja con base limpia, frecuencia razonable, segmentación y baja fácil de encontrar. Google Postmaster Tools le muestra su tasa real; manténgala bajo 0.1% y nunca deje que cruce 0.3%.
No salte directo a p=reject sin pasar por monitoreo. Es el error más caro que se puede cometer en este proceso: si tiene algún sistema legítimo enviando correo sin autenticación correcta (un CRM, un sistema de facturación, un formulario web), reject bloqueará esos correos de inmediato. El avance gradual existe precisamente para descubrir esos casos antes de que causen daño.
Los matices de hacer esto desde Panamá
Los requisitos técnicos son globales e idénticos, pero hay particularidades del contexto panameño que vale la pena tener presentes.
La primera es la base de Hotmail. En Panamá, una porción significativa de usuarios mayores de cuarenta sigue usando cuentas de Hotmail, Outlook y Live, todas de Microsoft. Esto importa porque Microsoft implementó requisitos análogos a los de Gmail en mayo de 2025, así que el cumplimiento no termina con Gmail y Yahoo. Una base panameña típica tiene proporción de Hotmail más alta que una de un mercado más joven, lo que hace el cumplimiento de Microsoft más relevante acá que en otros países.
La segunda es de proveedores. Muchas empresas panameñas usan correo a través de proveedores de hosting locales o regionales que no siempre están al día con estos requisitos, o que comparten infraestructura sin el control de reputación necesario. Si su correo corporativo y sus campañas salen del mismo proveedor de hosting compartido, es probable que tenga problemas de autenticación que un proveedor especializado resolvería.
La tercera es de idioma y soporte. Cuando algo falla con un proveedor internacional y necesita resolverlo rápido, la diferencia horaria y el soporte en inglés por ticket complican. Es una de las razones por las que tener un proveedor con soporte local en horario panameño tiene valor concreto, no solo de comodidad.
Y la cuarta, la regulatoria: la Ley 81 de Panamá sobre protección de datos opera en paralelo a estos requisitos técnicos. Cumplir Gmail y Yahoo es necesario para entregar; cumplir la Ley 81 es necesario para operar legalmente. Son cosas distintas que conviven, y una operación seria atiende ambas.
Y luego, en mayo de 2025, llegó Microsoft
Por si los requisitos de Gmail y Yahoo no fueran suficientes, Microsoft anunció e implementó en mayo de 2025 requisitos muy similares para Outlook, Hotmail y Live. La buena noticia es que si ya cumplía con Gmail y Yahoo, cumplir con Microsoft fue trivial: los requisitos se solapan casi por completo (SPF, DKIM, DMARC, baja fácil, buena reputación).
Para quien no había cumplido con la primera ola, sin embargo, Microsoft fue el segundo golpe. Y dado el peso de Hotmail en la base panameña mayor de cuarenta, ese segundo golpe se sintió fuerte acá. La lección es clara: estos requisitos no son una moda pasajera ni una iniciativa aislada de una empresa. Son la nueva normalidad del correo, adoptada por todos los grandes proveedores. No van a relajarse; si acaso, van a endurecerse.
Errores comunes que vemos al ayudar a arreglar esto
Saltar directo a p=reject. Ya lo mencionamos, pero se repite tanto que vale insistir. Es la causa número uno de "configuré DMARC y ahora no llega ningún correo". El monitoreo previo no es opcional.
SPF que excede el límite de diez consultas. Empresas que acumularon servicios (CRM, facturación, marketing, soporte) terminan con un SPF que intenta incluir demasiado y rompe silenciosamente. Hay técnicas para aplanar el SPF y mantenerse bajo el límite.
DKIM firmado por el dominio del proveedor, no el propio. Si la firma DKIM es del dominio de su proveedor en vez del suyo, no hay alineación con DMARC, y DMARC falla aunque DKIM "pase". Es un error sutil que requiere mirar las cabeceras con cuidado.
Confundir cumplir el mínimo con estar protegido. Tener p=none cumple la norma pero no protege el dominio contra suplantación. Muchas empresas publican p=none, marcan la casilla de "cumplido" y se olvidan. Quedarse en none para siempre es dejar la puerta abierta.
No monitorear después de configurar. La configuración es de una vez; la reputación y la tasa de queja son continuas. Una empresa puede cumplir todo perfectamente hoy y tener problemas en tres meses si su tasa de queja sube por malas prácticas de envío. Postmaster Tools hay que mirarlo, no solo activarlo.
Preguntas frecuentes
¿A quién aplican exactamente los requisitos de Gmail y Yahoo 2024?
Los requisitos estrictos aplican a remitentes que envían más de cinco mil correos diarios a direcciones de Gmail. Los de menor volumen deben cumplir autenticación básica, pero los umbrales de tasa de queja y baja en un clic se vigilan sobre todo en remitentes masivos. En la práctica, conviene que cualquier empresa que haga email marketing cumpla todo, sin importar el volumen actual, porque el umbral se puede cruzar sin planearlo y porque cumplir mejora la entregabilidad de cualquier remitente.
¿Qué pasa si no cumplo?
La entregabilidad cae progresivamente: primero más correos a spam, luego rechazos parciales con errores de throttling, y eventualmente bloqueo de los mensajes no autenticados. No es un corte abrupto sino una degradación creciente que muchas empresas no detectan a tiempo, porque la métrica de envío de su plataforma sigue mostrando "éxito" mientras los correos en realidad van a spam o se rechazan en silencio.
¿Estos requisitos aplican igual en Panamá que en otros países?
Sí, idénticamente. Los requisitos de Gmail, Yahoo y Microsoft son globales y aplican a cualquier remitente que envíe a sus usuarios, sin importar el país de origen. Un remitente en Panamá que envía a clientes con Gmail debe cumplir exactamente lo mismo que uno en Estados Unidos o España. La diferencia panameña está en aspectos del entorno, como el peso de la base de Hotmail entre usuarios mayores de cuarenta, que hace que el cumplimiento de Microsoft sea especialmente relevante en el país.
¿Cuánto cuesta cumplir estos requisitos?
En costos directos, poco o nada: publicar SPF, DKIM y DMARC es gratis, es trabajo de configuración DNS. La baja en un clic la implementa cualquier proveedor de email serio. El costo real es el conocimiento para hacerlo bien y el monitoreo continuo de reputación y tasa de queja. Para empresas sin equipo técnico de deliverability, contratar un proveedor que lo gestione es la opción práctica y suele salir más barato que el costo de equivocarse.
¿Necesito un proveedor especial o puedo hacerlo yo mismo?
Si tiene equipo técnico que entienda DNS y autenticación de correo, puede configurarlo internamente. La parte difícil no es la configuración inicial sino el monitoreo continuo y el calentamiento correcto si cambia de infraestructura. Para la mayoría de empresas panameñas sin equipo de deliverability dedicado, un proveedor especializado evita errores costosos como saltar a reject sin monitoreo o un SPF que excede el límite de consultas.
Ya tengo SPF y DKIM desde hace años. ¿Es suficiente?
Probablemente no, si envía volumen. La pieza que faltaba en la mayoría de los casos era DMARC, que es justamente lo que se volvió obligatorio. Tener SPF y DKIM sin DMARC publicado no cumple el requisito para remitentes de más de cinco mil correos diarios a Gmail. Verifique específicamente si tiene un registro DMARC en _dmarc.sudominio.com; si no, ese es casi seguro su hueco principal.
¿Cuánto tarda en verse la mejora después de arreglarlo?
La autenticación correcta tiene efecto casi inmediato una vez que el DNS propaga, en horas. La recuperación de reputación dañada, si el dominio ya venía castigado por enviar mal durante meses, toma más: entre cuatro y doce semanas de envíos controlados a una base limpia con buen engagement. La diferencia depende de qué tan dañada estaba la reputación antes de arreglar la autenticación.
Este artículo es informativo y refleja los requisitos vigentes al momento de su última actualización. Los proveedores de correo ajustan sus políticas periódicamente; verifique la documentación oficial de cada proveedor para los detalles más recientes. Si necesita ayuda específica para su dominio, podemos auditarlo.