23 años desde Estocolmo
Glosario · Operando desde Stockholm desde 2003

El vocabulario de la entregabilidad, definido para sostenerse solo

El correo ha acumulado una cantidad inusual de jerga, en su mayoría siglas que esconden ideas simples. Cada definición de aquí está escrita para que puedas caer en cualquier término, leerlo y marcharte entendiéndolo, sin necesitar los tres términos de arriba. Y donde el significado práctico de un término cambió cuando llegó el enforcement de remitente masivo a lo largo de 2024 y 2025, la definición refleja la realidad de 2026, no la versión de manual.

El vocabulario de la infraestructura de correo, definido con claridad

La entregabilidad de correo ha acumulado una cantidad inusual de jerga, en buena parte siglas que esconden ideas simples. Este glosario define los términos que encontrarás al montar o diagnosticar un envío, escrito para que cada definición se sostenga por sí sola: puedes caer en cualquier término, leerlo y marcharte entendiéndolo, sin necesitar los tres términos de arriba. Donde una definición ha cambiado de significado práctico hace poco, refleja la realidad de 2026 y no la versión de manual, porque el enforcement de remitente masivo que llegó a lo largo de 2024 y 2025 convirtió varios de estos de "buena práctica" en "requisito para llegar a la bandeja siquiera".

Alineación (Alignment)

El requisito de que el dominio del encabezado visible From: coincida con el dominio validado por SPF o firmado por DKIM. La autenticación puede pasar técnicamente y aun así fallar la alineación, y DMARC solo pasa cuando al menos uno de SPF o DKIM tanto pasa como alinea. La desalineación es una de las razones más comunes por las que un montaje que "parece autenticado" sigue siendo rechazado.

ARC — Cadena Recibida Autenticada

Un conjunto de encabezados que preservan los resultados de autenticación cuando un mensaje se reenvía —a través de una lista de correo o una pasarela de entrada, por ejemplo—. El reenvío normalmente rompe SPF y puede romper DKIM; ARC permite que un reenviador certifique que el mensaje pasó la autenticación antes de tocarlo, para que un mensaje legítimamente reenviado no se trate como no autenticado en el destino final.

BIMI — Indicadores de Marca para Identificación de Mensajes

Un estándar que muestra tu logo verificado junto a tus mensajes en las bandejas compatibles. Depende de registros DNS y exige DMARC en p=quarantine o p=reject como precondición, más, para los grandes proveedores, un Certificado de Marca Verificada que pruebe que posees la marca registrada del logo. BIMI es la recompensa visible de hacer la autenticación del todo bien.

Blocklist (DNSBL / RBL)

Una lista publicada de direcciones IP o dominios que se cree que envían spam, consultada en tiempo real por los servidores receptores sobre DNS. Caer en una blocklist significativa puede recortar bruscamente la entrega. Las listas difieren en influencia y en cómo gestionan el deslistado, así que el primer paso de diagnóstico cuando cae la entrega es identificar qué lista, lo que la consulta de blocklist hace en las principales de una vez.

Rebote (hard vs soft)

Un rebote es un fallo de entrega devuelto por el servidor receptor. Un hard bounce es permanente —la dirección no existe— y debe suprimirse. Un soft bounce es temporal —un buzón lleno, un problema transitorio del servidor— y vale la pena reintentar. Clasificar mal un soft bounce como hard suprime una dirección recuperable, una forma silenciosa de encoger una lista sin querer.

Remitente masivo (Bulk sender)

Bajo las reglas de Gmail y Yahoo, un remitente de aproximadamente más de 5.000 mensajes al día a sus usuarios. Los remitentes masivos enfrentan los requisitos completos de autenticación, tasa de spam y baja en un clic. El umbral importa porque cruzarlo cambia tus obligaciones de un día para otro, y un remitente en crecimiento puede cruzarlo sin darse cuenta.

DANE — Autenticación de Entidades Nombradas basada en DNS

Un mecanismo que usa registros TLSA firmados con DNSSEC para indicar a un servidor emisor qué certificado TLS esperar, eliminando por completo la suposición de confianza en la autoridad certificadora. Es una alternativa o complemento a MTA-STS para imponer transporte cifrado, favorecido en particular en redes alemanas, neerlandesas y otras con fuerte presencia de DNSSEC.

IP dedicada

Una dirección IP de envío usada por un solo cliente, en contraposición a un pool compartido. La reputación de una IP dedicada es solo tuya —la ráfaga de spam de un vecino no puede meterte en una blocklist— pero conlleva la responsabilidad del calentamiento, ya que una IP dedicada nueva empieza sin reputación alguna.

DKIM — Correo Identificado con Claves de Dominio

Una firma criptográfica añadida a cada mensaje, verificada por el receptor contra una clave pública publicada en tu DNS. Prueba que el mensaje no se alteró en tránsito y que vino genuinamente de un remitente autorizado para el dominio. La práctica moderna es una clave de 2048 bits; 1024 bits se considera ya débil. Comprueba el montaje de cualquier dominio con el tester DKIM.

DMARC — Autenticación, Reporte y Conformidad de Mensajes basada en Dominio

La capa de política que se asienta sobre SPF y DKIM. Indica a los receptores qué hacer con los mensajes que fallan la autenticación (p=none monitoriza, p=quarantine envía a spam, p=reject bloquea) y produce informes agregados que muestran quién envía como tu dominio. Desde las reglas de remitente masivo de 2024, un registro DMARC publicado es un requisito base, no una mejora. El verificador DMARC lee la política de cualquier dominio en lenguaje claro.

DNSSEC

Un conjunto de extensiones de DNS que firman criptográficamente los registros DNS para que un resolver pueda verificar que no fueron manipulados. Es la base de la que depende DANE, y su presencia en una red receptora es lo que hace posible la seguridad de transporte basada en DANE.

Colocación en bandeja (Inbox placement)

Si un mensaje entregado llega a la bandeja de entrada en lugar de a la carpeta de spam. Distinta de la entrega, que solo significa que el servidor receptor aceptó el mensaje. La colocación en bandeja es la métrica que de verdad determina si el correo cumple su función, y entre sectores en 2026 va de aproximadamente el 86% al 92% para remitentes disciplinados, una diferencia impulsada por la reputación y la autenticación, no por el uptime del servidor.

Calentamiento de IP (IP warming)

La práctica de empezar una IP de envío nueva a bajo volumen hacia destinatarios comprometidos y subir gradualmente durante semanas, para que los proveedores receptores construyan una reputación positiva antes de que llegue el alto volumen. Saltarse el calentamiento está entre las formas más rápidas de meter una IP nueva en spam, sin importar lo limpia que esté la lista subyacente.

MTA — Agente de Transferencia de Correo

El software que enruta y transmite el correo entre servidores. PowerMTA es un MTA comercial de alto rendimiento usado para envío a gran escala; Postfix y Exim son comunes de código abierto. El MTA es el motor de una plataforma de envío: lo que de verdad mueve el correo.

MTA-STS — Seguridad de Transporte Estricta para Agentes de Transferencia de Correo

Una política, publicada sobre HTTPS, que indica a los servidores emisores que TLS es obligatorio para tu dominio y que la entrega debe fallar en lugar de caer a texto plano. Cierra el agujero del ataque de degradación en el STARTTLS oportunista, donde un atacante despoja la elevación de cifrado y fuerza texto plano. Ejecutado en modo enforce, previene la interceptación silenciosa que STARTTLS por sí solo permite.

Baja en un clic (RFC 8058)

Un encabezado List-Unsubscribe que permite al proveedor de buzón mostrar un botón nativo de baja, para que un destinatario pueda darse de baja sin pulsar "marcar como spam". Requerido para remitentes masivos bajo las reglas de Gmail y Yahoo, exento para el correo genuinamente transaccional. Cada baja automatizada que reemplaza una queja de spam protege tu reputación de remitente.

Registro PTR / DNS inverso / FCrDNS

Un registro PTR mapea una IP de envío de vuelta a un nombre de host —lo inverso del DNS normal—. Los servidores receptores comprueban que esta búsqueda inversa existe y que confirma hacia adelante (el nombre de host resuelve de vuelta a la misma IP), conocido como FCrDNS. Un PTR ausente o que no coincide es una bandera roja básica que deprime la entregabilidad antes incluso de considerar el contenido.

SPF — Marco de Política del Remitente

Un registro DNS que lista qué servidores están autorizados a enviar correo por tu dominio. Tiene un límite duro de diez consultas DNS; encadenar demasiados include: lo supera y puede hacer fallar el registro entero. El aplanamiento —resolver los includes a sus rangos de IP— es la solución, gestionada por el aplanador SPF.

Tasa de spam

La proporción de tu correo entregado que los destinatarios marcan como spam, según informa Google Postmaster Tools. Por encima del 0,1% merece atención; por encima del 0,3% es territorio de enforcement donde se esperan problemas de entrega. Es el único número que los grandes proveedores vigilan más de cerca.

STARTTLS

El comando SMTP que eleva una conexión de texto plano a cifrado TLS. Alrededor del 90% del tráfico de correo lo usa, pero como es oportunista, es vulnerable a un ataque de degradación, que es el problema que MTA-STS y DANE existen para resolver.

Lista de supresión

El registro de direcciones a las que no debes enviar: hard bounces, quejas de spam y bajas. Mantenerla es una necesidad tanto de entregabilidad como de cumplimiento, y debe trasladarse a través de una migración de proveedor para que alguien que se dio de baja no empiece a recibir correo de nuevo porque cambiaste de infraestructura.

TLS-RPT

Un estándar de informes, emparejado con MTA-STS, que entrega informes sobre fallos de conexión TLS a un endpoint que publicas. Convierte los problemas de seguridad de transporte de invisibles en algo que puedes de verdad ver y sobre lo que actuar. El decodificador de informes TLS parsea estos informes a forma legible.

421 vs 550 (códigos de respuesta SMTP)

Dos familias de error que importan para la autenticación. Un 421 es un aplazamiento temporal —el receptor está limitando la tasa o pidiéndote reintentar, a menudo por un problema leve de autenticación—. Un 550 es un rechazo permanente —el correo se bloquea de plano, típicamente por envío no autenticado o muy mal configurado—. El cambio que muchos remitentes sintieron a finales de 2025 fue Gmail moviendo ciertos fallos de 421 a 550, convirtiendo "tu correo va lento" en "tu correo está bloqueado".

De la definición al montaje funcionando

Un glosario te dice qué significa un término; las herramientas gratuitas de este sitio te dicen si el tuyo está bien configurado. Pasa tu dominio por las comprobaciones de DMARC, SPF y DKIM, y si un término de aquí describe un problema que estás viendo de verdad, el equipo operador puede ayudarte a arreglarlo en lugar de solo definirlo.

Una nota sobre por qué estas definiciones siguen cambiando

Varios términos de aquí significaban algo más blando hace dos años. SPF, DKIM y DMARC eran "recomendados" antes de que los grandes proveedores los hicieran obligatorios para remitentes masivos; el paso del aplazamiento temporal al rechazo permanente convirtió la autenticación de una optimización de entregabilidad en una condición de entrada a la bandeja. Un glosario en este campo tiene que estar fechado para ser honesto, y por eso este refleja la realidad de enforcement de 2026 en lugar del mundo más indulgente que la precedió.