DNS, SPF, DKIM y DMARC explicados sin tecnicismos

Si tus correos corporativos acaban en la carpeta de spam de tus clientes, o si alguien puede enviar correos haciéndose pasar por tu empresa usando tu dominio, el problema casi siempre está en las mismas tres configuraciones DNS: SPF, DKIM y DMARC. Son siglas técnicas que esconden conceptos más sencillos de lo que parecen. Si entiendes para qué sirve cada una, puedes verificar si están bien configuradas y exigir que se corrijan. No necesitas ser técnico para entender el problema; sí necesitas entenderlo para saber si tu proveedor IT lo está gestionando bien.

1. DNS: la base sobre la que se construye todo

El DNS (Domain Name System) es el sistema que traduce un nombre de dominio (tuempresa.com) en una dirección IP que los servidores entienden. Pero el DNS almacena muchos más tipos de información además de las IPs: también incluye registros de correo (MX), registros de texto (TXT) y otros tipos que permiten verificar la identidad del dominio.

SPF, DKIM y DMARC son registros TXT en el DNS de tu dominio. Cuando un servidor de correo recibe un mensaje que dice venir de tudominio.com, consulta el DNS de tudominio.com para verificar si ese mensaje es legítimo. Si los registros no están correctamente configurados, el servidor receptor tiene dos opciones: aceptar el correo sin verificación (lo que permite la suplantación) o marcarlo como spam por precaución.

La gestión del DNS de tu dominio está en manos de la registradora o del proveedor de hosting donde compraste el dominio (GoDaddy, IONOS, OVHcloud, Namecheap, etc.). Solo alguien con credenciales de acceso a ese panel puede añadir o modificar registros DNS.

2. SPF: la lista blanca de servidores autorizados

El registro SPF (Sender Policy Framework) es una lista de los servidores autorizados para enviar correo en nombre de tu dominio. Cuando un servidor de correo recibe un mensaje de tudominio.com, consulta el SPF y comprueba si la IP del servidor que lo envió está en la lista.

Un registro SPF típico para una empresa con Microsoft 365 tiene este aspecto: v=spf1 include:spf.protection.outlook.com -all

El -all al final es la política para cualquier servidor no autorizado: con el guión indica "rechazar" (hard fail). Con ~all indica "marcar como sospechoso" (soft fail). Con +all indica "aceptar todo", que es equivalente a no tener SPF.

• Sin SPF: cualquier servidor del mundo puede enviar correos como si fueran de tudominio.com. Esto es exactamente lo que usan los atacantes para el phishing que suplanta tu identidad.
• SPF mal configurado: si usas Microsoft 365 para el correo, una herramienta de email marketing (Mailchimp, Brevo) y además un ERP que envía notificaciones por correo, los tres tienen que estar en el registro SPF. Si falta alguno, sus correos pueden ir a spam.
• El límite de 10 consultas DNS: el estándar SPF limita a 10 las consultas DNS durante la verificación. Si tu registro incluye demasiados include: anidados, puedes superar ese límite y el SPF falla silenciosamente, haciendo que correos legítimos acaben en spam. Herramientas como kitterman.com/spf/validate.html muestran cuántas consultas usa tu registro.

3. DKIM: la firma digital en cada correo

DKIM (DomainKeys Identified Mail) añade una firma criptográfica a cada correo que envías. Funciona como una firma digital notarial: el servidor de correo que envía el mensaje firma el correo con una clave privada que solo él conoce. El servidor receptor puede verificar esa firma consultando la clave pública correspondiente en tu DNS.

Si la firma es válida, significa dos cosas: el mensaje proviene de un servidor que tiene la clave privada (que solo tú controlas) y el mensaje no ha sido modificado en tránsito (cualquier cambio en el contenido invalida la firma). DKIM protege tanto contra la suplantación de remitente como contra la manipulación del contenido del correo durante el tránsito.

La configuración de DKIM la genera tu proveedor de correo (Microsoft 365, Google Workspace, tu servidor SMTP propio). Lo que tienes que hacer tú es añadir el registro CNAME o TXT que te proporcionan en tu panel de DNS. Si cambias de proveedor de correo, necesitas eliminar el registro DKIM del antiguo y añadir el del nuevo: si los dos están activos simultáneamente, puede haber conflictos en la verificación.

En Microsoft 365, el DKIM se activa desde el portal de Defender (protection.office.com > Email & collaboration > Policies & rules > DKIM). Microsoft genera dos registros DKIM (selector1 y selector2) para permitir la rotación de claves sin interrumpir el servicio. En Google Workspace, se genera desde Admin Console > Apps > Google Workspace > Gmail > Authenticate email.

4. DMARC: las instrucciones para cuando algo falla

DMARC (Domain-based Message Authentication, Reporting and Conformance) es la capa que completa el sistema. SPF y DKIM verifican la autenticidad del mensaje; DMARC le dice al servidor receptor qué hacer cuando esa verificación falla, y genera informes que te permiten ver quién está enviando correos con tu dominio.

Un registro DMARC básico tiene este aspecto: v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com

Las tres políticas DMARC, de menos a más restrictiva:

• p=none (monitorización): el servidor receptor acepta el correo independientemente del resultado de la verificación, pero envía informes a la dirección especificada en rua=. Es el punto de partida: te permite ver el panorama antes de activar restricciones.
• p=quarantine (cuarentena): los correos que no pasan la verificación van a la carpeta de spam del destinatario en lugar de ser rechazados. Es el paso intermedio que permite detectar falsos positivos antes de activar reject.
• p=reject (rechazo): los correos que no pasan la verificación son rechazados por el servidor receptor. Es la protección máxima, pero requiere estar seguro de que todo el correo legítimo pasa correctamente SPF y DKIM.

La configuración recomendada para una pyme es empezar en modo none durante 2-4 semanas revisando los informes (con un servicio como Postmark DMARC o DMARC Analyzer que los convierte en algo legible), luego pasar a quarantine y finalmente a reject una vez verificado que todo el correo legítimo supera la validación.

5. Cómo verificar que todo está bien configurado

No necesitas acceso al DNS para verificar el estado actual. Estas herramientas gratuitas comprueban el estado en minutos:

• MXToolbox (mxtoolbox.com): herramienta de referencia para verificar SPF, DKIM y DMARC de cualquier dominio. También comprueba el registro MX y el estado del servidor de correo. Gratuita para uso básico.
• mail-tester.com: envías un correo a una dirección temporal que genera la herramienta y obtienes un informe completo de SPF, DKIM, DMARC, contenido del correo y puntuación general en menos de 2 minutos. Muy útil para verificar el estado después de hacer cambios.
• Google Admin Toolbox (toolbox.googleapps.com): si usas Google Workspace, la herramienta de comprobación de correo de Google verifica el estado de todos los registros y da explicaciones claras de lo que está mal.
• DMARC Advisor (dmarcadvisor.com): especializado en DMARC. Verifica el registro y explica qué significa cada parámetro. La versión gratuita es suficiente para una pyme.

El servicio de ciberseguridad incluye la configuración y verificación completa de SPF, DKIM y DMARC para tu dominio. Para empresas que han tenido incidentes de phishing que suplantan su dominio, la prioridad es pasar a DMARC con política reject lo antes posible.

6. Casos especiales que complican la configuración

La configuración estándar de SPF, DKIM y DMARC funciona bien cuando toda la empresa usa un solo proveedor de correo. Los problemas aparecen cuando hay múltiples fuentes de correo saliente:

Plataformas de email marketing: Mailchimp, Brevo, Acumbamail y similares necesitan estar en el registro SPF y tener sus propios registros DKIM configurados. La mayoría de plataformas modernas ofrecen instrucciones específicas para esto y algunos permiten usar tu propio dominio para las firmas DKIM ("custom domain authentication").

ERP o software de gestión que envía correos: si tu software de facturación o ERP envía correos de confirmación de pedidos o facturas usando tu dominio, necesita estar en el SPF. Si usa un servidor SMTP propio, también necesita su propio registro DKIM. Si usa el SMTP de Microsoft 365 o Google Workspace, hereda la configuración de esos servicios.

Formularios de contacto del sitio web: los formularios de WordPress u otras CMS que envían correo desde el servidor de hosting también necesitan autorización en el SPF. Muchas instalaciones WordPress envían correo desde la IP del servidor de hosting, que no está en el SPF de la empresa. La solución es configurar el correo del sitio web para usar el SMTP del proveedor de correo corporativo (WP Mail SMTP, por ejemplo).

Para empresas con múltiples fuentes de correo, revisa también nuestro artículo sobre riesgos RGPD en el correo corporativo, donde se abordan los problemas de reenvíos y correos masivos que también afectan a la configuración de autenticación.

Comparativa de niveles de protección con SPF, DKIM y DMARC

Por dónde empezar mañana

1. Verifica el estado actual de tu dominio en MXToolbox (mxtoolbox.com). Busca tu dominio y comprueba los resultados de SPF, DKIM y DMARC. Si falta alguno o tiene errores, ya sabes qué hay que hacer primero.
2. Si no tienes SPF, créalo ahora: para Microsoft 365 es v=spf1 include:spf.protection.outlook.com -all. Para Google Workspace: v=spf1 include:_spf.google.com -all. Si usas ambos o tienes otras fuentes de correo, combínalos.
3. Activa DKIM en tu proveedor de correo (Microsoft 365 o Google Workspace) siguiendo las instrucciones específicas de cada uno. Copia los registros que te proporcionan en tu panel de DNS.
4. Añade DMARC en modo 'none' con una dirección de correo para los informes: v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com. Usa una dirección que alguien lea, o un servicio de análisis de informes DMARC.

Preguntas frecuentes