Imagina esto: has dedicado horas a preparar la campaña de correo electrónico perfecta, has personalizado cada mensaje, te has tomado el tiempo necesario para revisarlo todo dos veces, no hay errores tipográficos y pulsas «enviar», solo para descubrir que tus correos electrónicos están siendo bloqueados.
Sin advertencia, sin explicación real, solo un oscuro mensaje de rebote: «Error SMTP 451 4.7.24: Fallo de la política DMARC».
Si esto te suena familiar, no eres el único. Muchas empresas y profesionales del marketing por correo electrónico se enfrentan a este molesto error sin poder comprender del todo por qué no se aceptan sus correos electrónicos.
En este artículo, explicaremos qué significa SMTP 451 4.7.24, por qué los fallos de DMARC provocan el rechazo de los correos electrónicos y cómo resolverlos para que tus correos lleguen a las bandejas de entrada en lugar de a las carpetas de spam.
¿Qué significa el error SMTP 451 4.7.24?
El protocolo SMTP es un conjunto de reglas que siguen los servidores para enviar y recibir mensajes. Pero cuando las cosas van mal, en especial con la autenticación de seguridad, tu servidor de correo electrónico puede responder con un error SMTP 451 que indica un rechazo temporal.
En cuanto al error SMTP 451 4.7.24, el código de error 4.7.24 es un caso especial que indica un fallo en la política DMARC, lo que significa que tu correo electrónico no ha superado la comprobación de autenticación.
¿Qué es DMARC y por qué es importante?
Ahora más que nunca, la seguridad del correo electrónico es vital. Los ciberdelincuentes aprovechan las vulnerabilidades del correo electrónico para suplantar la identidad de empresas, enviar correos electrónicos de phishing y cometer fraudes a diario. Aquí es donde entra en juego DMARC.
No es solo otro protocolo de seguridad del correo electrónico. Es una capa de políticas que garantiza que solo los correos electrónicos legítimos enviados desde tu dominio lleguen a las bandejas de entrada.
Los atacantes pueden enviar correos electrónicos que parecen provenir de tu dirección (suplantándola) cuando en realidad son intentos de phishing para robar información confidencial de tus clientes o empleados.
Para las empresas que emplean el correo electrónico para el marketing, las ventas y la comunicación con los clientes, unas políticas DMARC mal configuradas pueden provocar el rechazo de sus correos electrónicos y erosionar las tasas de entrega en la bandeja de entrada, lo que se traduce en una baja capacidad de entrega y una pérdida de ingresos.
Cómo funciona DMARC
DMARC indica a los servidores de correo receptores cómo gestionar los correos electrónicos que no superan la autenticación. Esto se hace mediante comprobaciones de alineación SPF y DKIM para entregar, poner en cuarentena o rechazar un correo electrónico.
Para comprender la eficacia de DMARC, primero debemos abordar las dos principales tecnologías de autenticación de correo electrónico en las que se basa DMARC: SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail).
Descripción general de SPF (Sender Policy Framework)
SPF es como una lista de invitados para tu dominio de correo electrónico. Indica a los servidores de correo receptores qué servidores de correo están autorizados a enviar correos electrónicos en nombre de tu dominio.
- Los registros SPF se guardan en registros DNS TXT que especifican las direcciones IP o los servidores de correo autorizados para enviar correos electrónicos en nombre de tu dominio.
- Cada vez que se recibe un correo electrónico, el servidor de correo consulta los registros SPF del dominio desde el que se envió el correo electrónico. Si la dirección IP de envío no está en la lista aprobada, el correo electrónico no supera la autenticación SPF y esto aumenta la probabilidad de que el correo electrónico sea etiquetado como spam o rechazado.
- El SPF por sí solo no es suficiente, ya que el reenvío de correos electrónicos puede romper las comprobaciones SPF; aquí es donde entra en juego el DKIM.
Descripción general de DKIM (DomainKeys Identified Mail)
DKIM es la firma digital de tu correo electrónico que verifica que el mensaje no ha sido modificado durante su tránsito.
- DKIM adjunta una firma criptográfica al encabezado del correo electrónico.
- Cuando un servidor receptor recibe un correo electrónico, comprueba la firma DKIM con la clave pública almacenada en los registros DNS del dominio remitente.
- Si la firma coincide y el mensaje no ha sido modificado, la autenticación DKIM se aprueba.
- DKIM garantiza la integridad del correo electrónico, pero no verifica si el remitente está realmente autorizado para enviar correos electrónicos para el dominio; ahí es donde entra en juego DMARC.
Cómo DMARC une SPF y DKIM
Aunque SPF y DKIM son potentes herramientas de autenticación, funcionan por separado: un correo electrónico puede pasar una y fallar la otra. DMARC impone la coherencia al exigir la alineación entre SPF y DKIM.
- La alineación de DMARC significa que el dominio «De» del correo electrónico debe ser el mismo que el utilizado en SPF o DKIM.
- Si ni SPF ni DKIM se alinean con DMARC, DMARC considera que el correo electrónico no está autorizado y proporciona una respuesta basada en la política establecida en el registro DMARC del dominio.
- Otra ventaja de DMARC es que proporciona a los propietarios de dominios informes periódicos sobre las autenticaciones de correo electrónico fallidas, lo que puede resultar muy útil para diagnosticar y resolver posibles problemas de seguridad.
Causas detrás del SMTP 451 4.7.24
Los fallos de DMARC, que dan lugar al error SMTP 451 4.7.24, suelen producirse debido a configuraciones erróneas en los registros de autenticación de correo electrónico, conflictos con servicios de terceros o problemas relacionados con el DNS.
Dado que DMARC depende de la alineación de SPF y DKIM, cualquier interrupción en estos protocolos puede hacer que un correo electrónico falle las comprobaciones de DMARC, lo que da lugar a su rechazo o al filtrado como spam.
Política DMARC mal configurada
Un registro DMARC mal configurado puede provocar rechazos de correo electrónico y problemas de entrega. Entre los errores más comunes se incluyen:
- Errores de sintaxis: La falta de un punto y coma (;), un formato incorrecto o etiquetas mal colocadas pueden romper la política DMARC.
- Direcciones de correo electrónico faltantes o incorrectas para los informes: Si las etiquetas «rua» (informes agregados) y «ruf» (informes forenses) contienen una dirección de correo electrónico no válida, los servidores de correo pueden ignorar las funciones de informe.
- Ausencia total de registros DMARC: Si un servidor de correo receptor requiere el cumplimiento de DMARC, pero su dominio carece de un registro DMARC, los correos electrónicos pueden ser rechazados de forma predeterminada.
Desalineación de SPF y DKIM
Los fallos de autenticación de SPF y DKIM pueden provocar fallos de DMARC, lo que hace que los correos electrónicos sean rechazados o marcados como spam. SPF garantiza que solo los servidores autorizados envíen correos electrónicos para tu dominio. Las configuraciones incorrectas comunes de SPF incluyen:
- IP faltantes: Envío de correos electrónicos desde servidores que no figuran en tu registro SPF.
- Exceso del límite de búsqueda: SPF falla si se requieren más de 10 búsquedas de DNS.
- Múltiples registros SPF: Un dominio debe tener solo un registro SPF para evitar conflictos.
Por su parte, DKIM verifica la autenticidad del correo electrónico con una firma criptográfica. Si DKIM está mal configurado, los correos electrónicos fallan en la autenticación. Entre los problemas comunes se incluyen:
- Falta la clave DKIM: La clave pública no se publica en el DNS.
- Rotación de claves incorrecta: Cambio de proveedores de correo electrónico sin actualizar los registros DKIM.
- Discrepancia de dominio: El valor d= de la firma DKIM debe coincidir con el dominio del remitente.
Problemas de reenvío y listas de correo
Cuando se reenvía un correo electrónico, ocurre lo siguiente:
- El nuevo servidor de correo reenvía el correo electrónico utilizando su propia infraestructura.
- SPF falla porque el servidor de reenvío no está en el registro SPF del remitente original.
- DKIM puede seguir pasando, pero solo si la firma original permanece intacta.
Dado que DMARC requiere que SPF o DKIM estén alineados, si SPF falla y el servicio de reenvío altera el correo electrónico (eliminando lo hecho con DKIM), DMARC falla, lo que provoca rechazos. M
Mientras tanto, las listas de correo (por ejemplo, Google Groups, Mailchimp, HubSpot) modifican los encabezados de los correos electrónicos antes de distribuirlos a los miembros de la lista. Esto puede romper las firmas DKIM, provocando que DMARC falle.
Además, la política de dominio del remitente (p=reject) podría bloquear los correos electrónicos que no superan DMARC.
Conflictos entre ESP y proveedores de alojamiento
El uso de proveedores de servicios de correo electrónico (ESP) de terceros, como Gmail, Outlook, SendGrid o AWS SES, puede provocar fallos en DMARC si la autenticación no está configurada correctamente.
Entre los problemas comunes relacionados con los ESP se incluyen:
- No añadir la entrada SPF del ESP al registro SPF de tu dominio.
- Algunos ESP desactivan la firma DKIM de forma predeterminada, lo que provoca fallos.
- El dominio «De» y el dominio de firma DKIM no coinciden, lo que provoca problemas de autenticación.
Además, las organizaciones que usan varios servicios de correo electrónico (por ejemplo, Microsoft 365 para los correos electrónicos internos y AWS SES para el marketing) suelen configurar SPF/DKIM para un solo servicio.
Esto último también provoca fallos de DMARC para los servicios no configurados y rechazos de correo electrónico o filtrado de spam debido a la falta de autenticación.
Problemas de DNS que afectan la autenticación
Cuando se actualizan los registros SPF, DKIM o DMARC, los cambios pueden tardar en reflejarse debido a los retrasos en la propagación del DNS. Durante ese tiempo, algunos servidores de correo siguen consultando registros antiguos, lo que genera fallos de autenticación.
Los errores de DMARC también pueden aparecer cuando los servidores de correo no logran localizar los registros DNS, ya sea por:
- Configuraciones incorrectas (entradas SPF/DKIM/DMARC incorrectas o faltantes).
- Interrupciones del proveedor de DNS o búsquedas lentas.
- Registros de dominio caducados, lo que provoca la desaparición de los registros de autenticación.
Cómo solucionar y corregir SMTP 451 4.7.24
Paso 1: Comprueba tu política DMARC
Dado que SMTP 451 4.7.24 se activa por fallos en la política DMARC, el primer paso es verificar la configuración de tu registro DMARC y corroborar que tu política no esté bloqueando involuntariamente correos electrónicos legítimos.
- Usa herramientas de búsqueda de DNS para verificar tu registro DMARC. Por ejemplo, MXToolbox DMARC Check Tool o la prueba de entregabilidad gratuita de Warmy.
- Realiza una comprobación DMARC para confirmar que tu registro DMARC existe en el DNS de tu dominio, que la sintaxis del registro es correcta (sin errores tipográficos ni configuraciones incorrectas) y que la política (p=none, p=quarantine, p=reject) se ajusta a tus objetivos de seguridad del correo electrónico.
- Chequea que la configuración de la política se ajuste a tus necesidades de seguridad del correo electrónico. Si tu política DMARC es demasiado estricta (p=reject) y los correos electrónicos legítimos fallan, cambia temporalmente a p=none para supervisar y recopilar informes de fallos DMARC antes de realizar ajustes.
Paso 2: Verifica la configuración SPF
Es necesario garantizar que todas las IP de envío autorizadas estén incluidas en tu registro SPF. A continuación te indicamos cómo hacerlo:
- Comprueba si todas las direcciones IP de envío están incluidas en tu registro SPF.
- Ejecuta una comprobación del registro SPF con el uso de herramientas como MXToolbox SPF Lookup o la prueba de entregabilidad gratuita de Warmy.
- Corrobora que tu registro SPF existe y tiene el formato correcto.
- El registro SPF debe incluir todos los servidores de correo y los ESP de terceros que envían correos electrónicos en tu nombre.
- Garantiza que el registro SPF no supere las 10 búsquedas DNS (superar este límite provoca que SPF falle).
Paso 3: Confirma la firma DKIM
Da un vistazo a la alineación de la firma DKIM en los encabezados del correo electrónico:
- Para usuarios de Gmail: Abre el correo electrónico, haz clic en «Más» (⋮) y selecciona «Mostrar original».
- Para usuarios de Outlook: Abre el correo electrónico, haz clic en «Archivo» > «Propiedades» > «Encabezados de Internet».
Busca «Authentication-Results:» en los encabezados. Si DKIM está configurado correctamente, deberías ve algo como:
- dkim=pass header.i=@tudominio.com
Si DKIM falla, es posible que aparezca:
- dkim=fail reason=signature verification failed
Asegúrate de que tu proveedor de servicios de correo electrónico firme correctamente los correos electrónicos salientes:
- Si falta DKIM, comprueba que tu ESP (por ejemplo, Google Workspace, Microsoft 365, SendGrid) tiene DKIM habilitado.
- Si DKIM falla, inspecciona el registro DNS TXT de tu dominio en busca de claves DKIM y corrobora que coincidan con los requisitos de tu proveedor de correo electrónico.
Ejemplo de un registro DKIM en DNS TXT:
- default._domainkey.yourdomain.com TXT «v=DKIM1; k=rsa; p=MIGfM…».
Si DKIM no está configurado, ponte en contacto con tu ESP o proveedor de alojamiento para habilitarlo.
Paso 4: Problemas con el reenvío de direcciones y las listas de correo
El reenvío de correo electrónico a menudo interrumpe la autenticación SPF porque la IP del reenviador no está en el registro SPF original. ARC (Authenticated Received Chain) ayuda a preservar los resultados de la autenticación durante el reenvío. Si haces uso de Google Workspace, Microsoft 365 u otro proveedor de correo electrónico, habilita los encabezados ARC.
Luego, inspecciona si las modificaciones de la lista de correo están interrumpiendo la autenticación. Las listas de correo (Google Groups, Mailchimp, HubSpot) suelen reescribir los encabezados de correo electrónico, lo que interrumpe DKIM.
Si es posible, configura las listas de correo para conservar los encabezados DKIM o emplea soluciones aprobadas por el ESP para el cumplimiento de DMARC.
Paso 5: Ajusta la política DMARC si es necesario
Una vez que SPF y DKIM estén correctamente configurados, ajusta tu política DMARC gradualmente para evitar rechazos de correo electrónico:
- Comienza con p=none para supervisar antes de aplicar políticas más estrictas. Usa esto inicialmente para recopilar informes DMARC sin afectar la entrega de correos electrónicos.
- Pasa gradualmente a p=quarantine o p=reject una vez que la autenticación esté completamente alineada
- p=quarantine: Mueve los correos electrónicos fallidos a la carpeta de spam en lugar de bloquearlos.
- p=reject: Bloquea estrictamente los correos electrónicos no autorizados (recomendado después de realizar las pruebas adecuadas).
Ejemplo de una estrategia de transición de la política DMARC:
- Semanas 1-2: p=none → Supervisar los informes.
- Semanas 3-4: p=quarantine (con una aplicación del 10-50 %).
- Semana 5+: p=reject (solo si la autenticación funciona perfectamente).
Warmy.io: Herramienta todo en uno para combatir los fallos de la política DMARC
El error SMTP 451 4.7.24 puede parecer un obstáculo frustrante, pero la realidad es que se puede prevenir con las herramientas y estrategias adecuadas.
La clave no está únicamente en reaccionar cuando aparecen los fallos de la política DMARC, sino en trabajar de manera proactiva: optimizar la reputación del remitente, mantener el dominio en buen estado y asegurar que los registros de autenticación estén siempre configurados correctamente.
Aquí es donde Warmy.io marca la diferencia. Gracias a la combinación de inteligencia artificial, calentamiento automatizado de cuentas y supervisión en tiempo real, Warmy.io ayuda a mantener tus correos lejos de la carpeta de spam y garantiza que lleguen a la bandeja de entrada.
Ya sea que enfrentes fallos de DMARC, errores de autenticación o problemas generales de entrega, Warmy.io te ofrece todo lo necesario para enviar correos electrónicos con seguridad y confianza.
Generadores de registros SPF y DMARC gratuitos
Un registro SPF o DMARC mal configurado es una causa común de fallos en el correo electrónico, pues configurarlos manualmente puede ser complejo. Warmy.io automatiza y simplifica el proceso con sus generadores SPF y DMARC gratuitos.
- Generador de registros SPF para ayudarte a crear registros SPF y así autenticar tus servidores de correo electrónico
- Generador gratuito de registros DMARC para crear políticas DMARC para la protección del dominio contra la suplantación de identidad y los ciberataques.
Prueba de entregabilidad del correo electrónico para obtener un diagnóstico
Warmy.io ofrece una potente prueba de entregabilidad del correo electrónico gratuita que identifica los problemas que impiden que tus correos electrónicos lleguen a las bandejas de entrada. La prueba de entregabilidad incluye lo siguiente:
- Análisis de la ubicación en la bandeja de entrada: Entérate de si tus correos electrónicos llegan a la bandeja de entrada, a la carpeta de spam, a la de pestaña de promociones o si no se reciben y en qué porcentaje.
- Estado de la lista negra: Revisa si tu dominio o IP figura en las principales listas negras de spam para que puedas tomar medidas.
- Validación de SPF, DKIM y DMARC: Te permite comprobar si tus registros de autenticación están configurados de forma adecuada.
Calentamiento de correo electrónico impulsado por IA
Una de las principales razones de los rechazos de correo electrónico relacionados con DMARC es una mala reputación del remitente. Incluso si tus registros SPF, DKIM y DMARC están correctamente configurados, los proveedores de buzones de correo siguen evaluando si «confían» en tus mensajes.
Además, un aumento repentino del volumen de correo electrónico procedente de un dominio nuevo o inactivo puede activar las alarmas de los proveedores de correo electrónico, lo que da lugar a rebotes o bloqueos directos.
Para contrarrestar este problema, Warmy.io aumenta gradualmente la actividad del correo electrónico con el objetivo de conseguir que tu dominio sea de confianza y tenga una reputación positiva ante los proveedores de buzones de correo.
Domain Health Hub: Un vistazo al rendimiento de tu correo electrónico
En lugar de supervisar direcciones de correo electrónico individuales, Warmy.io proporciona un panel de control del estado del dominio, lo que ayuda a las empresas a adoptar un enfoque estratégico para la capacidad de entrega del correo electrónico.
El Domain Health Hub ofrece una puntuación del estado del dominio basada en una combinación de varios factores, como la autenticación, el estado de la lista negra y las pruebas de colocación en la bandeja de entrada. También podrás supervisar las tendencias de tu tasa de spam y el rendimiento general de la capacidad de entrega con opciones de seguimiento semanales o mensuales.
¿Por qué es importante? Si la reputación de tu dominio disminuye, esto afecta a todos los correos electrónicos enviados desde él, no solo a un buzón. El panel de salud del dominio te garantiza que siempre estarás por delante de posibles problemas. Podrás centrarte inmediatamente en lo que requiere tu atención.
No dejes que una autenticación deficiente o problemas de entrega frenen tus correos electrónicos. Regístrate hoy mismo para obtener una prueba gratuita de 7 días de Warmy.io y empieza a enviar con confianza.
