Does HubSpot automatically set up DMARC?

Not really. HubSpot helps you authenticate sending with SPF and DKIM, but DMARC is a separate DNS record you create and manage. Without it, providers still evaluate your mail, just without your policy or reporting.

Can DMARC cause issues with email deliverability?

Yes. If your DMARC policy is strict and SPF or DKIM records don’t align with the From domain, legitimate HubSpot mail can be quarantined or rejected. This is almost always an issue with the configuration, not HubSpot itself.

Why does DMARC fail even though SPF and DKIM both show “pass”?

Because DMARC evaluates alignment, not just pass results. If SPF or DKIM pass for a different domain than the one in the From address, DMARC still treats the message as untrusted.

Should I use p=reject for HubSpot domains?

Only after you’ve confirmed all legitimate senders match the records and are visible in DMARC reports. Enforcing rejection too early can block forgotten tools and transactional mail.

Is DMARC enough to fix deliverability issues?

No. DMARC prevents email spoofing through authentication, but inbox placement still depends on sender reputation and engagement. Authentication gets you accepted, but engagement determines where your emails land.

Errores de configuración DMARC de HubSpot que perjudican la bandeja de entrada

DMARC es un tema del que se ha hablado hasta la saciedad, pero sigue surgiendo la misma pregunta: ¿se aplican las mismas normas cuando HubSpot está implicado?

En muchas configuraciones de HubSpot, los problemas de DMARC aparecen tras un cambio de dominio o una caída en la ubicación de la bandeja de entrada, por lo que la primera reacción es culpar a HubSpot. Lo que ocurre realmente no es obvio al principio, y las respuestas habituales que busca la gente no lo explican del todo.

Así que en este artículo te explicaremos cómo funciona DMARC en HubSpot, por qué causa tanta confusión y qué aspecto debería tener «funcionar» en tu propia configuración. ¡Comencemos!

Puntos clave

DMARC no arregla la entregabilidad por sí solo. Establece normas, expone los problemas del remitente y protege tu dominio, pero no te ayudará con la ubicación en la bandeja de entrada si tu reputación y compromiso son débiles.
La colocación en el buzón mejora cuando la autenticación se empareja con el compromiso. Una vez que SPF, DKIM y DMARC están alineados, el comportamiento coherente con el usuario es lo que ayuda a los proveedores de buzones a reconstruir la confianza en tu dominio.

¿Qué es un registro DMARC de HubSpot?

Diagrama que ilustra la autenticación de correo electrónico de HubSpot, destacando el papel de los registros DNS (DKIM, SPF, HubSpot DMARC) en la verificación de los remitentes y la prevención de la confusión DMARC para garantizar que los correos electrónicos lleguen a la bandeja de entrada.

DMARC (autenticación de mensajes basada en dominio) es la regla que publicas en las DNS de tu dominio, y los proveedores de buzones de correo la utilizan para decidir qué hacer cuando un correo electrónico no se autentica como debería.

La parte de HubSpot es más sencilla. HubSpot puede enviar correos electrónicos de marketing bajo el dominio de tu marca sólo después de que demuestres, mediante registros DNS, que has concedido el permiso. Cuando esto ocurre, DMARC comprueba si los mensajes que afirman proceder de tu dominio tienen una ruta de autenticación válida que coincida con el dominio mostrado en la dirección De.

De eso se trata.

DMARC no exige perfección. No exige que SPF y DKIM pasen siempre, pero sí que al menos uno pase por el mismo dominio que ven tus destinatarios. Si existe un pase alineado, DMARC puede pasar. Si tanto SPF como DKIM fallan, DMARC trata el mensaje como no fiable, y tu política indica a los proveedores con qué rigor deben aplicarla.

Esta es la razón por la que «SPF aprobado» puede dar lugar a un fallo de DMARC, y por la que HubSpot puede parecer correctamente configurado mientras que la ubicación en la bandeja de entrada se desvía lentamente.

Por qué DMARC falla incluso cuando SPF o DKIM «pasan»

Diagrama que muestra que SPF y DKIM pasan para dos correos electrónicos, pero DMARC falla, causando una advertencia. Los identificadores Return-Path y DKIM difieren, lo que provoca confusión en el DMARC y afecta a la seguridad del correo electrónico de HubSpot y a la entrega en la bandeja de entrada.

Está el dominio que la gente ve en la línea De. Está el dominio que comprueba SPF (el lado del remitente del sobre/Return-Path del mensaje). Y está el dominio que DKIM utiliza para estampar una firma en el correo electrónico. En una buena configuración, al menos una de esas comprobaciones entre bastidores coincide con el dominio «De». En una configuración desordenada, no.

El DMARC pregunta una cosa muy sencilla: ¿Coincide este correo electrónico con el dominio del que dice proceder? Si SPF pasa, pero está vinculado a un dominio distinto del que figura en la línea De, DMARC no pasará. Lo mismo ocurre si la autenticación DKIM firma el mensaje, pero la firma pertenece a otro dominio. Un aprobado incongruente sigue contando como un suspenso.

Por eso, los dolores de cabeza DMARC de HubSpot suelen mostrar un comportamiento similar:

Mensajes marcados como parcialmente autentificados
Campañas que rebotan entre la bandeja de entrada y el spam sin razón obvia
Informes DMARC que muestran remitentes que ni siquiera sabías que seguían activos

Y esto no es un caso excepcional. Es lo que ocurre cuando un dominio ha acumulado años de herramientas de antiguos ESP, CRM olvidados y sistemas transaccionales aleatorios, y nadie ha vuelto nunca a limpiar el rastro.

Cómo encaja HubSpot en los protocolos de autenticación de correo electrónico

Diagrama que muestra el proceso de autenticación del correo electrónico de HubSpot con los registros DNS DKIM, SPF y DMARC, que conduce a la entrega correcta del correo electrónico en una bandeja de entrada.

Cuando conectas un dominio de envío de correo electrónico en tu cuenta de HubSpot, no estás «activando DMARC«. Estás haciendo algo más básico: decirle al mundo, a través de DNS, que HubSpot tiene permiso para enviar como tú.

HubSpot utiliza los mismos bloques de autenticación de correo electrónico que los principales remitentes. Sólo que se almacenan en tus DNS, no dentro del editor de tu campaña.

DKIM (DomainKeys Identified Mail) se configura con dos registros CNAME para que HubSpot pueda añadir una firma válida a los mensajes que envía para tu dominio.
SPF (Sender Policy Framework) es un registro TXT que enumera quién tiene permiso para enviar. HubSpot necesita estar incluido en esa lista y fusionado en tu registro existente, no añadido como un registro separado.
DMARC (Autenticación de mensajes basada en dominios) es independiente. No «ayuda a HubSpot a enviar». Comprueba si SPF o DKIM coinciden con el dominio de tu dirección De, y aplica tu política cuando no es así.

Esa separación es la razón por la que la gente se atasca. HubSpot puede pasar el proceso de verificación y aun así fallar DMARC porque el fallo afecta a cómo funcionan los registros de tu dominio en su conjunto, no sólo a través de HubSpot.

Los sospechosos habituales cuando se trata de una configuración incorrecta se reducen a éstos:

SPF se divide en varios registros, por lo que SPF falla o se vuelve poco fiable
Firma DKIM con un dominio diferente al que estás utilizando en el campo De
DMARC está configurado para poner en cuarentena/rechazar antes de que todos los remitentes legítimos estén correctamente configurados.

Una vez que trazas una línea clara entre «lo que HubSpot envía» y «lo que tu DNS afirma», la depuración se vuelve mucho menos complicada.

Elegir una política DMARC sin romper el rendimiento del correo electrónico

Las políticas DMARC son fáciles de enumerar pero difíciles de utilizar correctamente, y pueden convertirse fácilmente en una trampa si no sabes lo que estás haciendo.

p=ninguno está monitorizando. Éste recoge los informes y se mantiene casi siempre al margen.
p=cuarentena penaliza los fallos, normalmente dirigiéndolos a spam.
p=reject hace lo que parece. Rechaza totalmente el correo electrónico.

El gran error es saltar a la aplicación antes de saber quién está enviando correo como tu dominio. HubSpot puede estar bien, pero algún sistema olvidado, como un antiguo CRM, puede seguir utilizando el mismo dominio.

También hay configuraciones DNS más pequeñas que afectan al rigor del DMARC, como el modo de alineación, los subdominios y el porcentaje de despliegue. Si se configuran incorrectamente, el DMARC bloqueará el correo electrónico que parezca no fiable aunque no lo sea.

Los errores de DNS que hacen que HubSpot parezca culpable

Una infografía ilustra las comprobaciones de autenticación de correo electrónico de HubSpot, destacando los fallos de DMARC, DKIM y SPF, con un icono de alerta que indica un fallo de DMARC de HubSpot para resolver la confusión habitual sobre DMARC.

La mayoría de los problemas que la gente etiqueta como «problemas DMARC de HubSpot» no empiezan en HubSpot en absoluto. Empiezan en DNS y en la configuración más amplia de tu dominio. HubSpot es el remitente que notas cuando falla la entrega.

Uno de los errores más comunes es colocar el registro DMARC en el lugar equivocado. DMARC sólo funciona cuando se publica en el host _dmarc del dominio desde el que envías. Si lo colocas en el dominio raíz o lo adjuntas a la conexión de dominio equivocada, los proveedores de correo no lo verán como esperas.

El SPF causa problemas con la misma frecuencia. Un dominio debería tener un único registro SPF de HubSpot. Cuando se divide en varios registros, normalmente tras añadir otra herramienta o hacer un cambio rápido, el SPF deja de validarse de forma predecible. Eso crea problemas de alineación, y el DMARC reacciona en consecuencia.

El historial del dominio es otro factor importante. Los dominios que han pasado por varios ESP, CRM o servicios transaccionales tienden a acumular SPF sobrantes y remitentes parcialmente eliminados. Esto no estropea las cosas del todo, pero enturbia la señal y puede aparecer más tarde como fuentes inesperadas en los datos DMARC.

Algunos proveedores de DNS alteran cómo se resuelven los registros, especialmente los CNAME, y esto puede interferir con las configuraciones DKIM que dependen de una resolución directa.

Ninguno de estos son cambios importantes en un registro DMARC, que es exactamente por lo que se pasan por alto. Pero son más que suficientes para provocar fallos de autenticación, incluso cuando HubSpot está configurado correctamente.

Informes DMARC: la única forma fiable de ver lo que ocurre

Diagrama que muestra las comprobaciones fallidas de DMARC, SPF y DKIM -incluidos los problemas de autenticación del correo electrónico de HubSpot- que ilustran las vulnerabilidades de la suplantación del correo electrónico y los riesgos de seguridad de la bandeja de entrada.

Los informes DMARC son lo más cercano que tendrás a una respuesta directa. Sin ellos, estarás adivinando basándote en unos cuantos correos de prueba, en un aprobado/no aprobado del panel de control o en lo que una herramienta de comprobación decida mostrarte ese día.

Estos informes te dicen quién está enviando correo como tu dominio, de qué direcciones IP proceden esos mensajes y si SPF o DKIM están pasando con alineación. Esta última parte es importante. Es cómo descubres las sorpresas habituales cuando una vieja herramienta del sistema que olvidaste apagar, o el correo que técnicamente «pasa» pero sigue fallando DMARC.

Los informes agregados son la verdadera carne del asador. Vienen por lotes y parecen confusos al principio, pero son excelentes para mostrarte pautas a lo largo del tiempo:

Remitentes que esperas frente a los que no
IPs que siguen fallando la alineación
Rutas de autenticación que parecen correctas pero no pasan DMARC

Existen informes forenses, pero la mayoría de la gente los evita. El soporte varía según el proveedor; la privacidad es una preocupación común, y rara vez ofrecen algo más de lo que ya proporcionan los informes agregados. En la mayoría de las configuraciones de HubSpot, los datos agregados son suficientes para pasar de las suposiciones a los hechos utilizables.

DMARC vs compromiso: Qué ayuda a la colocación en la bandeja de entrada

Ilustración de la seguridad del correo electrónico: Un informe DMARC comprueba los correos electrónicos entrantes, clasificándolos como aprobados o suspensos -resuelve una confusión común de DMARC en la seguridad del correo electrónico de HubSpot- y luego envía los mensajes aceptados a la bandeja de entrada y los suspensos a spam, mostrados en una balanza.

DMARC ayuda a los proveedores de buzones de correo a determinar si se permite la entrega de un correo electrónico. Ya está. No decide dónde cae.

Una vez aceptado un mensaje, los proveedores de bandejas de entrada y los filtros de spam controlan cómo responden a él los destinatarios. ¿Lo abren o lo ignoran? ¿Lo leen o lo borran inmediatamente? ¿Lo marcan como spam o lo sacan de la carpeta de spam? Sea cual sea el compromiso que se produzca, se acumula con el tiempo y determina cuánta confianza se gana un dominio.

Esa diferencia entre «aceptado» y «de confianza» es donde InboxAlly puede ayudar. Cuando un dominio necesita recuperarse, o cuando un dominio nuevo necesita un buen comienzo, InboxAlly utiliza cuentas semilla que simulan usuarios reales abriendo correos electrónicos, desplazándose por ellos, haciendo clic en enlaces y respondiendo.

Cuando este tipo de actividad es compatible con una configuración correctamente autenticada, proporciona a los filtros de la bandeja de entrada mejores datos con los que trabajar. Con el tiempo, eso les ayuda a comprender tus patrones de envío y a tratar tus correos electrónicos como correos legítimos.

Si todo esto te suena demasiado familiar, y estás luchando contra el posicionamiento en la bandeja de entrada, reserva una demostración gratuita de InboxAlly y comprueba cómo se adapta a tu configuración de difusión de correo electrónico.

Resumen

Gracias por leer.

Si hay que sacar algo en claro, es esto: DMARC no es un atajo que quieras tomar. Cuando los métodos de autenticación se configuran correctamente, todo lo demás resulta más fácil de diagnosticar y mejorar.

Tómate tu tiempo para hacer bien las cosas básicas. Utiliza informes para ver lo que ocurre realmente. Presta atención a cómo responden los proveedores de la bandeja de entrada a lo largo del tiempo, no sólo a si un cheque «pasa».

No necesitas la perfección el primer día. Necesitas progresar en el orden correcto. Primero una configuración limpia. Después, señales reales. Lo demás viene después.

PREGUNTAS FRECUENTES

¿HubSpot configura automáticamente DMARC?
▼

En realidad, no. HubSpot te ayuda a autenticar el envío con SPF y DKIM, pero DMARC es un registro DNS independiente que tú creas y gestionas. Sin él, los proveedores siguen evaluando tu correo, sólo que sin tu política ni tus informes.

¿Puede DMARC causar problemas con la entregabilidad del correo electrónico?
▼

Sí. Si tu política DMARC es estricta y los registros SPF o DKIM no coinciden con el dominio De, el correo legítimo de HubSpot puede ser puesto en cuarentena o rechazado. Esto es casi siempre un problema de la configuración, no de HubSpot en sí.

¿Por qué falla DMARC aunque SPF y DKIM muestren ambos «pass»?
▼

Dado que DMARC evalúa la alineación, no sólo los resultados de las pasadas, si SPF o DKIM pasan para un dominio distinto al de la dirección De, DMARC sigue tratando el mensaje como no fiable.

¿Debo utilizar p=reject para los dominios HubSpot?
▼

Sólo cuando hayas confirmado que todos los remitentes legítimos coinciden con los registros y son visibles en los informes DMARC. Aplicar el rechazo demasiado pronto puede bloquear las herramientas olvidadas y el correo transaccional.

¿Basta con DMARC para solucionar los problemas de entregabilidad?
▼

No. DMARC evita la suplantación del correo electrónico mediante la autenticación, pero la ubicación en la bandeja de entrada sigue dependiendo de la reputación del remitente y del compromiso. La autenticación hace que te acepten, pero el compromiso determina dónde llegan tus correos electrónicos.

Por qué el DMARC de HubSpot causa más confusión de la que debería