Los requisitos para remitentes de Gmail y Yahoo, explicados
Por Thomas · CISO virtual · 2026-06-16
En febrero de 2024, Gmail y Yahoo convirtieron la autenticación del correo de una buena práctica en un billete de entrada. Los remitentes que no cumplen sus requisitos ven cómo su correo se ralentiza, acaba en spam o se rechaza. Si tu empresa envía correos de marketing, boletines, recibos o notificaciones, las reglas han cambiado para ti. Esta guía explica lo que se exige, a quién afecta y cómo cumplir con la normativa — y por qué cumplir es solo el suelo, no el techo.
Qué ha cambiado, y por qué
Gmail y Yahoo entregan cada uno a miles de millones de buzones: sus políticas fijan de facto el estándar de todo el sector. Cansados de soportar el coste del correo no autenticado y abusivo, se alinearon en torno a una base común de requisitos para los remitentes masivos — y empezaron a hacerlos cumplir. En resumen: si envías en volumen, tienes que demostrar quién eres con SPF, DKIM y DMARC, o tu correo no llegará de forma fiable.
A quién afecta
Las reglas más estrictas apuntan a los remitentes masivos — definidos por Google como quienes envían alrededor de 5000 mensajes o más al día a direcciones de Gmail. Yahoo emplea un lenguaje similar, sin una cifra pública firme. Algunos puntos que conviene entender:
- El umbral se refiere al volumen dirigido a sus usuarios, y una vez cruzado, ambos proveedores te tratan como remitente masivo de forma casi permanente.
- Se mide a escala de tu dominio: todos tus envíos — marketing, transaccional, herramientas internas — cuentan juntos.
- Incluso por debajo del umbral, las expectativas básicas (autentica tu correo, no hagas spam) se aplican cada vez más. La hipótesis segura hoy: todo remitente serio necesita SPF, DKIM y DMARC.
Los requisitos, punto por punto
Para los remitentes masivos, la lista de comprobación común es:
- SPF y DKIM ambos configurados para tu dominio de envío — no uno u otro. DKIM en particular debe ser válido y firmar tu correo.
- Un registro DMARC publicado, como mínimo
p=none. Es el requisito explícito y nombrado que pilló por sorpresa a muchos equipos: sin registro DMARC = no conforme. - La alineación — el dominio de tu
From:debe alinearse con SPF o DKIM. Una configuración que pasa pero sin alineación no satisface DMARC y, por tanto, tampoco el requisito. (Si «alineación» te resulta confuso, mira cómo funcionan juntos SPF, DKIM y DMARC.) - Cancelación de suscripción en un clic (RFC 8058) en el correo de marketing, atendida en un plazo de dos días.
- Una tasa baja de quejas por spam — por debajo del 0,3 %, idealmente muy por debajo del 0,1 %.
- Un DNS inverso (PTR) confirmado para tus IP de envío, y TLS para el transporte.
Los puntos 1 a 3 son el núcleo de la autenticación del correo, y ahí es donde se esconde la mayor parte del incumplimiento. La buena noticia: es exactamente lo que deberías haber hecho de todos modos.
«Tenemos un registro DMARC» no es la línea de meta
Muchos equipos reaccionaron al plazo de 2024 publicando un simple p=none y dando el asunto por cerrado. Eso respeta la letra del requisito — pero vale la pena entender lo que aporta y lo que no.
p=none significa solo monitorización. Satisface el mínimo de Gmail y Yahoo, y pone en marcha el flujo de informes agregados que necesitas. Pero no ofrece ninguna protección contra la suplantación de identidad: alguien que falsifique tu dominio sigue llegando a los buzones, ya que les has dicho a los destinatarios que no hagan nada cuando algo falle. Cumplir en p=none es el suelo, no el objetivo.
La verdadera meta es p=reject, donde el correo no autenticado enviado en tu nombre se rechaza de verdad. Es a la vez mejor seguridad y mejor señal de entregabilidad — los proveedores confían más en los dominios que aplican una política. El camino para llegar es la misma secuencia disciplinada, independientemente del plazo de cumplimiento: inventaría tus fuentes, alinéalas y luego sube la política. Lo desarrollamos en alcanzar p=reject sin romper tus correos.
Cómo cumplir (y luego protegerte)
Un orden de operaciones práctico:
- Comprueba dónde estás. Pasa tu dominio por nuestro analizador DMARC gratuito para ver si SPF, DKIM y DMARC existen y se alinean — y obtener una nota. En unos segundos sabes si pasarías los controles de Gmail/Yahoo.
- Corrige lo básico. Publica un SPF que liste tus fuentes reales; activa la firma DKIM en cada plataforma; publica un registro DMARC con una dirección
rua=para arrancar los informes. - Lee los informes. Revelan cada fuente que emite en tu nombre — las que hay que alinear antes de endurecer.
- Alinea cada fuente legítima, luego sube la política de
noneaquarantiney después areject. - Mantén la higiene — cancelación en un clic, tasas de quejas bajas, listas limpias. La autenticación te hace entrar; el comportamiento te mantiene dentro. Toda esa vertiente de reputación y engagement se aborda en profundidad en nuestra guía de entregabilidad en Gmail.
¿Y Microsoft? (2025)
Gmail y Yahoo abrieron el camino; Microsoft siguió en 2025. El proveedor de Outlook.com, Hotmail y Live.com anunció que, a partir de mayo de 2025, los remitentes de gran volumen (de nuevo en torno a 5000 mensajes/día o más hacia sus buzones de consumo) deben publicar también SPF, DKIM y DMARC alineados. Al principio, el correo no conforme se enruta a la carpeta de spam en lugar de rechazarse — una fase de tolerancia antes de un endurecimiento anunciado. El mensaje es claro: los tres grandes proveedores de consumo convergen ahora hacia la misma base de autenticación, y apuntar solo a Gmail/Yahoo sería miope. Desgranamos el calendario y los criterios precisos de Outlook en un artículo dedicado.
La buena noticia es que no hay nada más que hacer. La lista de comprobación es idéntica: SPF + DKIM válidos, un registro DMARC (como mínimo p=none, siendo el objetivo p=reject), y sobre todo la alineación del dominio de tu From:. Si satisfaces a Gmail y Yahoo correctamente, satisfaces a Microsoft — siempre que no hayas descuidado la alineación. Y como demostró el episodio de 2024, muchos equipos creen ser conformes por tener solo «un registro DMARC», sin que sus fuentes se alineen de verdad. Un análisis gratuito despeja la duda en unos segundos.
Una nota para los sectores regulados
Si estás en las finanzas, la sanidad u otro sector regulado, las reglas de Gmail/Yahoo son solo una de las fuerzas que empujan en la misma dirección. Marcos como NIS2 y DORA elevan las exigencias en materia de controles operativos y antiphishing, y la autenticación del correo es un control evidente y auditable que puedes presentar. Trata los requisitos para remitentes de 2024 como la punta visible de un movimiento más amplio: el DMARC aplicado se convierte en la base esperada, no en la excepción. Puedes ver dónde están sectores enteros en nuestro Observatorio DMARC.
Preguntas frecuentes
¿Los correos transaccionales cuentan para el umbral de 5000/día? Sí. Google cuenta todo el correo hacia usuarios de Gmail desde tu dominio — marketing, recibos, alertas, notificaciones internas — de forma conjunta. No hay exención transaccional, y la mayoría de los dominios subestiman su volumen real.
Enviamos menos de 5000/día. ¿Estamos exentos? De las reglas masivas más estrictas, por ahora. Pero las expectativas básicas — autenticarse con SPF y DKIM, publicar DMARC, mantener una tasa de quejas baja — se aplican cada vez más a todos, y cruzar el umbral aunque sea una vez te pasa a tratamiento de «remitente masivo» de forma casi definitiva. El reflejo seguro: autenticarse sea cual sea el volumen.
¿Esto se aplica a los subdominios? Sí. Autentica cada subdominio desde el que envías realmente, y ajusta la etiqueta DMARC sp (política de subdominio) para que los subdominios no queden abiertos a la suplantación mientras tu raíz está bloqueada.
Pasamos por una plataforma compartida (Mailchimp, SendGrid…). ¿Estamos cubiertos? Solo si has configurado un DKIM alineado con tu propio dominio en esa plataforma. La firma por defecto de una plataforma compartida se alinea con la plataforma, no contigo: no satisface DMARC. Configura el dominio de firma con tu marca que ofrece el proveedor — normalmente unos cuantos CNAME.
¿En cuánto tiempo hay que cumplir? Los requisitos ya se están aplicando. Si tu correo se ralentiza o acaba en spam en Gmail o Yahoo, una autenticación débil o no alineada es lo primero que hay que revisar — empieza por un análisis gratuito.
¿Y si ignoramos estos requisitos? Nada tan espectacular como un bloqueo inmediato, al principio: tu correo primero se ralentiza (throttling), luego se dirige cada vez más a spam. La degradación es silenciosa y progresiva — tus tasas de apertura se erosionan sin error visible — lo que la hace tanto más peligrosa cuanto que se diagnostica tarde. A igual volumen, un competidor autenticado aterriza en la bandeja de entrada mientras que tú no. Y si tus mensajes ya aterrizan en spam, nuestra guía de diagnóstico paso a paso te ayuda a remontar a la causa.
¿Estas reglas se aplican al correo hacia nuestros propios empleados? Si tus equipos usan cuentas de Gmail, Yahoo u Outlook.com, sí — al proveedor no le importa tu distinción interno/externo, solo quién recibe el mensaje. Los buzones alojados en tu propio tenant siguen tu filtrado, pero todo lo que llega a un buzón de consumo se juzga según estas reglas.
Deja que Thomas gestione el camino
Satisfacer el requisito es rápido; alcanzar una protección real sin romper tu flujo de correo es el verdadero trabajo — y es exactamente lo que automatiza Thomas, tu CISO virtual. Encuentra cada fuente a partir de tus informes, genera los registros SPF, DKIM y DMARC precisos que hay que publicar, y te acompaña de un simple p=none hasta un p=reject seguro.
Analiza tu dominio gratis → o crea una cuenta para cumplir y protegerte. ¿Nuevo por aquí? Empieza por qué es DMARC.
¿Listo para aplicar DMARC?
Thomas, tu CISO virtual, identifica cada fuente de envío legítima, escribe los registros DNS exactos y lleva tu dominio de p=none a p=reject — sin romper tu correo.
Alcanzar p=reject — gratisGuías relacionadas
- Cómo leer un informe DMARC RUA (y qué te dice)
Un informe DMARC RUA es un fichero XML comprimido. Esta guía desmenuza la estructura, explica cada etiqueta útil y muestra cómo transformar ese XML en un plan de acción.
- Macros SPF y el mecanismo exists: ir más allá del límite de 10 búsquedas
Las macros SPF con el mecanismo exists autorizan un número ilimitado de IP en una sola resolución DNS: la única técnica que realmente sortea el límite de 10. Cómo funciona y sus contrapartidas reales.
- Informes DMARC: RUA vs RUF, ¿qué diferencia?
DMARC genera dos tipos de informes: los RUA (agregados, estadísticos) y los RUF (forenses, mensaje por mensaje). Qué contienen, quién los envía y cuál necesitas de verdad.
Sobre el autor
Thomas — Thomas es el CISO virtual de DMARC.com: un copiloto especializado en la autenticación de correo que acompaña a las organizaciones de p=none hasta p=reject, sin romper su correo. Sus guías se basan en los datos reales del Observatorio DMARC y de los informes RUA analizados por la plataforma.
