#google-workspace #spf #dkim #dmarc #postmaster-tools #klaviyo #mailchimp #postmark #marketing #dns

Cómo configurar Google Workspace para mejorar la entregabilidad de tu dominio

Name: Cómo configurar Google Workspace para mejorar la entregabilidad de tu dominio
Brand: Abalola Mail
Rating: 4.8 (94 reviews)

4,8 · 94 valoraciones

Publicado el 15 de noviembre de 2025 · Actualizado el 21 de noviembre de 2025

Pasos concretos para configurar Google Workspace correctamente: SPF, DKIM 2048, DMARC alineado, Postmaster Tools y errores típicos a evitar.

Configurar Google Workspace para entregabilidad: SPF, DKIM y DMARC

Forma parte de SPF DKIM DMARC

Google Workspace es la opción más extendida para correo corporativo, pero salir de fábrica no garantiza una buena entregabilidad. Si no se configura correctamente la autenticación, los mensajes desde tu propio dominio terminan en spam incluso de tus clientes, y la reputación se deteriora más rápido de lo que parece. Esta guía recorre los pasos imprescindibles para dejar Google Workspace alineado con SPF, DKIM y DMARC, y para empezar a usar Postmaster Tools como referencia continua.

Verificación inicial del dominio

Antes de tocar nada de email, el dominio tiene que estar verificado en la consola de administración. Lo habitual es publicar un TXT del tipo google-site-verification=... o un MX. Sin esa verificación, no se pueden activar el resto de funciones.

Una vez verificado, comprueba que los MX apuntan a Google:

dig +short MX tudominio.com

Debería devolver smtp.google.com con prioridad 1 (la configuración moderna; antes había varios hosts con prioridades distintas, ahora unificados). Si conservas registros antiguos, retíralos: tener MX duplicados o caducados crea fallos de entrega impredecibles.

SPF para Google Workspace

El registro SPF mínimo para enviar exclusivamente desde Google Workspace es:

v=spf1 include:_spf.google.com ~all

~all (softfail) es razonable durante la fase inicial. Cuando el resto de la autenticación esté validada, puedes endurecerlo a -all.

Si usas más servicios

La regla es un único registro SPF combinando todos los proveedores que envían en tu nombre. Por ejemplo, con Workspace, Klaviyo y Postmark:

v=spf1 include:_spf.google.com include:_spf.klaviyo.com include:spf.mtasv.net ~all

Recuerda el límite de 10 lookups DNS. Cada include cuenta como uno y los include anidados también. Si te acercas al límite, considera flatten controlado o reducir proveedores. La guía base sobre cómo configurar SPF entra en más detalle.

DKIM en Workspace

A diferencia de SPF, DKIM en Google Workspace no se publica con un registro estándar: hay que generar la clave dentro de la consola y publicar el TXT que Google indique.

Pasos

En la consola de administración, ve a Apps → Google Workspace → Gmail → Authenticate email.
Selecciona el dominio.
Haz clic en “Generate new record”. Elige clave de 2048 bits (no la opción de 1024).
Copia el nombre y el valor del TXT que muestra Google. El nombre tiene la forma google._domainkey.tudominio.com.
Publícalo en tu DNS.
Espera a la propagación (15-60 minutos) y vuelve a la consola.
Pulsa “Start authentication”.

Verificación

Tras activar, envía un correo desde una cuenta de Workspace a una dirección externa (Gmail personal, por ejemplo). En “Mostrar original” busca:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=tudominio.com; s=google;

Comprueba que el d= es tu dominio organizativo, no gmail.com ni un alias de Google. Esa coincidencia es lo que permite el alineamiento DMARC.

Rotar la clave

Las claves DKIM no caducan, pero rotarlas cada 6-12 meses es buena práctica. La consola de Workspace permite generar una nueva clave manteniendo la anterior activa hasta que la propagación se complete.

DMARC sobre Workspace

Una vez SPF y DKIM están operativos, publica DMARC. Empieza siempre por monitorización:

_dmarc.tudominio.com. IN TXT "v=DMARC1; p=none; rua=mailto:[email protected]"

Mantén p=none durante 2-4 semanas mientras revisas los reportes RUA. Confirma que:

El 95 %+ del tráfico legítimo pasa SPF y DKIM alineados.
No hay IPs sospechosas en los reportes.
Los servicios secundarios (Mailchimp, Klaviyo, ATS, soporte) firman correctamente.

Cuando esté limpio, sube a quarantine con porcentaje progresivo y, finalmente, reject si tu nivel de control lo permite.

Postmaster Tools

Postmaster Tools de Google es la única ventana directa a las métricas que Gmail evalúa sobre tu dominio. Para volúmenes razonables, su configuración es imprescindible:

Visita postmaster.google.com.
Añade tu dominio.
Verifícalo con un TXT (sirve el mismo método que para Search Console).
Espera 24-48 horas para que los datos empiecen a poblarse.

Las cuatro pestañas relevantes:

Domain reputation: High / Medium / Low / Bad. Lo que ves aquí es lo más cercano a “el veredicto” de Gmail sobre tu dominio.
IP reputation: Solo aparece si envías volumen significativo desde IPs identificables (no aplica si todo el envío sale por IPs compartidas de Workspace).
Authentication: porcentaje SPF, DKIM, DMARC pass. Idealmente cerca del 100 %.
Spam rate: objetivo bajo 0,3 %, idealmente cerca de 0,1 %.

Por debajo de un volumen mínimo (orientativamente unos pocos cientos de mensajes/día a Gmail), las métricas no se muestran. Gmail necesita señal estadística para reportar.

Configuración avanzada en la consola

TLS obligatorio

En Apps → Gmail → Compliance, activa “Secure transport (TLS) compliance” para los dominios y rangos que necesites. Esto exige TLS para entrega y entrega de salida hacia esos destinos.

Inbound gateway

Si recibes correo a través de un filtro previo (Proofpoint, Mimecast), configura el inbound gateway para que Gmail confíe en el spam scoring del filtro y no aplique el suyo encima.

Spam, phishing and malware

Activa “Spoofing and authentication safety” para que Gmail aplique señales adicionales sobre dominios similares y suplantaciones del display name.

Routing y catch-all

Evita configurar un catch-all corporativo que reciba todo lo dirigido a *@tudominio.com. Esto invita a spamtraps reciclados y degrada la reputación recibida. Configura solo los buzones reales.

Subdominios y aliases

Workspace permite alias de dominio (mismos buzones, dominio adicional) y dominios secundarios (buzones distintos). En ambos casos, debes:

Publicar SPF, DKIM y DMARC propios para cada dominio.
Verificar el alias o dominio secundario en la consola.
Generar una clave DKIM separada para cada uno.

DMARC del dominio secundario es independiente: puede tener una política distinta. Si solo lo usas para recibir, conviene declarar p=reject desde el principio para que nadie pueda enviar suplantando ese dominio.

Errores frecuentes

Usar la clave DKIM de 1024 bits

La consola ofrece esa opción por compatibilidad antigua. 2048 es el estándar actual y no hay motivo para no usarlo.

Olvidar incluir Workspace en el SPF

Si SPF no incluye _spf.google.com y DKIM no firma todos los buzones, los emails internos cruzados con DMARC en quarantine empiezan a caer en spam.

Tener varios registros DMARC

Igual que con SPF, solo uno por dominio. Si tienes dos v=DMARC1 en _dmarc, los receptores ignoran ambos.

Aliases sin DKIM propio

Un alias que no tiene DKIM rompe alineamiento DMARC cuando se envía desde él. Hay que activar DKIM para cada dominio del alias.

Activar DKIM antes de publicar el TXT

La consola pide pulsar “Start authentication” después de publicar el TXT. Si lo haces antes, Google no encuentra la clave y devuelve error. Espera a la propagación.

No conectar Postmaster Tools

Trabajar a ciegas sobre Gmail con volumen significativo es operar sin instrumentos. Configurarlo es 5 minutos y aporta mucho.

Reenviar correo masivamente a listas externas

Reenviar todo el inbox de un usuario a una cuenta personal externa rompe SPF y suele saltar como sospechoso. Usa filtros específicos cuando sea imprescindible.

Verificación rápida

Lista de comprobaciones para confirmar que Workspace está bien autenticado:

dig +short TXT tudominio.com           # SPF con _spf.google.com
dig +short TXT google._domainkey.tudominio.com   # DKIM publicado
dig +short TXT _dmarc.tudominio.com    # DMARC con política y rua
dig +short MX tudominio.com            # smtp.google.com

Envía un correo desde Workspace a Gmail personal y revisa cabeceras:

Authentication-Results: mx.google.com;
       dkim=pass [email protected] header.s=google
       spf=pass [email protected]
       dmarc=pass header.from=tudominio.com

Las tres pasadas y dmarc=pass: estás listo para empezar a apretar la política.

Recursos relacionados

Si quieres profundizar, prueba estas herramientas gratuitas: Domain Health, mail tester, validador SPF y validador DMARC.

¿Necesitas que alguien lleve tu canal de email entero? Abalola Mail es la agencia de email marketing especializada en ecommerce de Abalola para ecommerce: estrategia, producción y operación del stack sobre Klaviyo, Mailchimp o Brevo.

Preguntas frecuentes

¿Qué include de SPF necesita Google Workspace?

El valor recomendado es include:_spf.google.com dentro del registro SPF del dominio. Si tienes otros remitentes, combínalos en un único TXT sin superar 10 lookups DNS.

¿Google Workspace genera DKIM 2048 por defecto?

Sí. Desde la consola admin se genera DKIM 2048 con selector google. El TXT que hay que publicar es google._domainkey.tudominio.com con la clave que devuelve la consola.

¿Cómo configuro DMARC con Google Workspace?

Publica un TXT en _dmarc.tudominio.com empezando por p=none con rua= a tu buzón. Una vez validados los flujos, sube a quarantine y luego a reject.

¿Por qué mis emails desde Workspace caen en spam fuera del dominio?

Causas habituales: SPF con más de 10 lookups, DKIM no activado, falta de alineación DMARC, o reputación dañada por cuentas comprometidas que envían spam interno.

¿Hace falta IP dedicada con Workspace?

No. Workspace usa pools compartidos gestionados por Google, con reputación global muy alta. Para volúmenes corporativos típicos, no es necesario plantear IP dedicada.

¿Puedo enviar campañas masivas desde Workspace?

Workspace tiene límites diarios por usuario (orientativamente 2.000 destinatarios externos/día) y no está pensado para email marketing. Para campañas, usa una plataforma específica con su propio dominio o subdominio dedicado.

¿Qué reputación Postmaster es aceptable?

"High" es lo deseable. "Medium" funciona pero conviene investigar. "Low" requiere acción inmediata: revisar autenticación, contenido, lista y volumen.