Autenticación de correo electrónico: cómo configurar SPF, DKIM y DMARC correctamente
8 min de lectura
Los correos de su empresa llevan semanas acabando en la carpeta de spam de los clientes. El administrador de IT ha revisado todo, el servidor de correo funciona correctamente, pero Google sigue descartando los mensajes. El motivo es casi siempre el mismo: autenticación de correo electrónico ausente o mal configurada. Desde febrero de 2024, Google y Yahoo exigen DMARC para todos los remitentes masivos. Desde noviembre de 2025, Gmail rechaza categóricamente los correos no conformes. Quien no tenga SPF, DKIM y DMARC correctamente configurados no solo pierde entregabilidad, sino que convierte su dominio en una herramienta de phishing para los atacantes.
Lo más importante en resumen
- Google y Yahoo exigen DMARC para remitentes masivos desde febrero de 2024. Gmail rechaza los correos no conformes desde noviembre de 2025. Microsoft siguió en mayo de 2025.
- La adopción de SPF es del 93 por ciento en 2026, la de DKIM del 90 por ciento. DMARC se estanca en el 64 por ciento, y solo el 4 por ciento de los principales dominios aplican la política más estricta (reject).
- Los tres protocolos se complementan entre sí: SPF verifica el servidor remitente, DKIM firma el contenido criptográficamente y DMARC combina ambos con una política de aplicación e informes.
- El coste medio de una brecha por phishing fue de 4,88 millones de dólares en 2025. Una autenticación de correo correctamente configurada es la medida individual más eficaz contra el spoofing de dominio.
- La configuración de los tres protocolos lleva entre tres y cinco días laborables para una empresa mediana, pero requiere una preparación cuidadosa y un endurecimiento gradual de la política.
Tres protocolos, un objetivo: ¿quién puede enviar correos en su nombre?
La autenticación de correo electrónico responde a una pregunta sencilla: ¿está autorizado el servidor que envía este correo para hacerlo en nombre de este dominio? Sin autenticación, cualquier servidor de correo puede enviar mensajes con la dirección de su dominio. Correos de phishing, facturas falsas, instrucciones de fraude del CEO… todo es posible porque el protocolo SMTP no tiene verificación de remitente integrada.
Los tres protocolos SPF, DKIM y DMARC resuelven este problema en diferentes niveles. Se complementan mutuamente y solo son verdaderamente eficaces en conjunto. Una empresa que utiliza únicamente SPF sin DKIM y DMARC ha completado el trabajo a medias y apenas se beneficia de la inversión.
SPF (Sender Policy Framework): ¿quién puede enviar?
SPF define en un registro DNS TXT qué direcciones IP y servidores están autorizados a enviar correos electrónicos para su dominio. El servidor receptor comprueba en cada correo entrante si la IP del servidor remitente aparece en el registro SPF del dominio del remitente. Si no es así, el correo puede marcarse como sospechoso o rechazarse. Importante: SPF tiene un límite de máximo 10 consultas DNS. Las empresas con muchos proveedores externos (CRM, boletín informativo, sistema de tickets) superan rápidamente este límite. La solución son las herramientas de aplanamiento de SPF o la consolidación de la infraestructura de envío.
DKIM (DomainKeys Identified Mail): ¿el contenido no ha sido modificado?
DKIM añade una firma criptográfica a cada correo saliente. El servidor remitente firma los campos de cabecera definidos y el cuerpo con una clave privada. La clave pública se publica como registro DNS. El servidor receptor verifica la firma con la clave pública y puede determinar si el correo fue modificado durante el transporte. DKIM no solo protege la identidad del remitente, sino también la integridad del contenido. Esto es especialmente relevante para sectores con requisitos de cumplimiento en los que debe acreditarse la inalterabilidad de las comunicaciones comerciales.
DMARC (Domain-based Message Authentication, Reporting and Conformance): ¿qué ocurre en caso de infracción?
DMARC combina SPF y DKIM con una política que indica al servidor receptor qué debe hacer con los correos que no superen ninguna de las dos comprobaciones. Los tres niveles de política son: none (solo observar e informar), quarantine (enviar los correos sospechosos a la carpeta de spam) y reject (rechazar los correos por completo). Además, DMARC ofrece informes: los reportes diarios muestran quién envía correos en su nombre, qué correos superan SPF y DKIM y cuáles no. Estos informes son muy valiosos para identificar la shadow IT y los proveedores externos no autorizados.
SPF, DKIM y DMARC en comparación
| Criterio | SPF | DKIM | DMARC |
|---|---|---|---|
| Qué se verifica | IP del servidor remitente | Firma criptográfica | Alineación SPF + DKIM |
| Protección contra | Servidores no autorizados | Manipulación de contenido | Spoofing de dominio |
| Tipo de registro DNS | TXT | TXT (CNAME en algunos proveedores) | TXT |
| Esfuerzo de configuración | Bajo (1 registro DNS) | Medio (par de claves + configuración) | Medio a alto (ajuste de política) |
| Error más frecuente | Más de 10 consultas DNS | Olvidar la rotación de claves | Pasar directamente a reject en lugar de hacerlo gradualmente |
| Adopción 2026 | 93 % | 90 % | 64 % (solo 4 % reject) |
Por qué DMARC es el componente crítico
SPF y DKIM por sí solos no son suficientes. Sin DMARC no existe ninguna política que indique al servidor receptor qué debe hacer ante un fallo de autenticación. Esto significa que incluso con SPF y DKIM correctamente configurados, un atacante puede enviar correos con una dirección de remitente falsificada que no supere ninguna de las dos comprobaciones, y el servidor receptor decidirá por su cuenta qué hacer con ellos.
64 %
de los dominios de correo tienen un registro DMARC en 2026. Pero solo el 4 por ciento aplica la política más estricta (reject). El resto solo observa.
4,88 millones de USD
coste medio de una brecha por phishing en 2025. El correo electrónico sigue siendo el principal vector de ataque para el phishing y el fraude del CEO.
41 %
de los bancos no tienen protección DMARC. Especialmente en sectores regulados, existe una brecha peligrosa.
Fuentes: EasyDMARC Adoption Report 2026, IBM Cost of a Data Breach 2025, PowerDMARC Security Trends 2026
La oleada de aplicación de los grandes proveedores de correo ha aumentado enormemente la urgencia. Google y Yahoo hicieron obligatorio DMARC en febrero de 2024 para los remitentes masivos. Gmail fue un paso más allá en noviembre de 2025 y comenzó a rechazar directamente los correos no conformes en lugar de simplemente marcarlos. Microsoft siguió en mayo de 2025 con Outlook.com y Microsoft 365. Quien no tenga un registro DMARC válido corre el riesgo de que sus correos comerciales simplemente dejen de llegar.
Para las empresas hay un aspecto adicional a considerar: el spoofing de dominio es una herramienta preferida para el fraude del CEO y el fraude de facturas. Un atacante que puede enviar correos en nombre de su dominio porque no hay un DMARC reject activo puede llegar a sus clientes con facturas falsas o instrucciones de pago. El daño reputacional de un ataque de este tipo supera con creces el coste de configurar DMARC. Y el perjuicio no afecta solo a la propia empresa: los clientes y socios que caen en los correos falsificados también sufren pérdidas económicas y pierden la confianza en su marca.
Los errores más frecuentes en la configuración
Los protocolos no son complejos, pero su implementación tiene trampas. Los siguientes cinco errores causan la mayoría de los problemas en las empresas medianas.
SPF con más de 10 consultas DNS: cada entrada include en el registro SPF genera consultas DNS. Las empresas que utilizan simultáneamente Salesforce, HubSpot, Mailchimp y Microsoft 365 superan rápidamente el límite de 10 consultas. El resultado: el registro SPF se ignora por completo. La solución es el aplanamiento de SPF, en el que las consultas anidadas se resuelven como rangos de IP directos.
Claves DKIM nunca rotadas: las claves DKIM deben cambiarse cada seis a doce meses. Muchas empresas configuran DKIM una vez y olvidan la rotación. Una clave privada comprometida permite a los atacantes enviar correos válidamente firmados en su nombre.
DMARC directamente en reject: quien inicia DMARC con la política reject de inmediato arriesga que los correos legítimos de proveedores externos sean bloqueados. El camino seguro: empezar con none, analizar los informes durante dos a cuatro semanas, pasar luego a quarantine y después de otras dos semanas activar reject.
Olvidar los subdominios: DMARC se aplica por defecto solo al dominio principal. Los subdominios como mail.empresa.es o newsletter.empresa.es necesitan su propio registro DMARC o el dominio principal debe configurar el parámetro sp= (Subdomain Policy). Los atacantes aprovechan específicamente los subdominios desprotegidos para el spoofing.
No analizar los informes: los informes DMARC se envían como XML a la dirección registrada en el registro. Sin una herramienta de análisis, son prácticamente inutilizables. Servicios como dmarcian, EasyDMARC o Valimail visualizan los datos y muestran qué fuentes envían correos en su nombre. Esta transparencia es el verdadero valor añadido de DMARC en modo de monitorización.
Checklist: configurar la autenticación de correo en 5 días
Día 1: inventario
- Inventariar todos los sistemas que envían correo electrónico: servidor de correo, CRM, herramienta de newsletter, sistema de tickets, automatización de marketing
- Verificar los registros SPF y DKIM existentes: dig TXT empresa.es y dig TXT selector._domainkey.empresa.es
- Listar todos los subdominios que envían correos
Día 2: configurar SPF
- Reunir todas las IPs de remitentes autorizados y las entradas include en un registro SPF
- Comprobar el límite de consultas DNS (máx. 10), aplicar aplanamiento si es necesario
- Publicar el registro SPF como registro DNS TXT y realizar la validación
Día 3: configurar DKIM
- Generar el par de claves DKIM para el servidor de correo principal (RSA 2048 bits o Ed25519)
- Publicar la clave pública como registro DNS TXT
- Activar la firma DKIM en el servidor de correo y enviar correos de prueba
- Activar DKIM para proveedores externos (la mayoría de las herramientas SaaS ofrecen integración DKIM basada en CNAME)
Día 4: iniciar DMARC en modo monitorización
- Publicar el registro DMARC con p=none y la dirección rua para los informes
- Configurar el destinatario de los informes (dirección externa o herramienta de análisis DMARC)
- Revisar los primeros informes a las 24 horas: ¿qué fuentes superan SPF y DKIM, y cuáles no?
Días 5 a 6 semanas: endurecimiento gradual
- Identificar las fuentes no autorizadas y legitimarlas o bloquearlas
- Tras 2 semanas de informes estables: configurar p=quarantine
- Tras otras 2 semanas: activar p=reject
- Añadir la política de subdominios mediante el parámetro sp=
- Planificar la rotación de claves DKIM cada 6 meses
Conclusión: tres registros DNS que protegen su dominio
La autenticación de correo electrónico ya no es una buena práctica opcional, es obligatoria. Quien no tenga un registro DMARC con aplicación activa arriesga tanto problemas de entregabilidad con Google, Yahoo y Microsoft como el uso indebido de su dominio para ataques de phishing. La configuración no requiere software costoso ni un proyecto de consultoría externo. Requiere rigor en el inventario, paciencia en el endurecimiento gradual y la disciplina de analizar los informes con regularidad.
Empiece hoy con una comprobación SPF de su dominio principal. Verifique si hay una clave DKIM publicada. Y si no existe ningún registro DMARC: configúrelo con p=none y una dirección de notificaciones. Los propios informes le mostrarán quién envía correos en su nombre. El resultado suele ser sorprendente y casi siempre requiere acción.
Un último apunte para las empresas que ya tienen SPF y DKIM configurados pero dudan con DMARC: el modo de monitorización (p=none) no tiene ningún efecto sobre la entrega de sus correos. Solo recopila datos. No hay ningún motivo para posponer este paso. La transparencia que ofrecen los informes DMARC es ya en sí misma una mejora de seguridad, incluso antes de que se bloquee el primer correo.
Preguntas frecuentes
¿Qué ocurre si no configuro DMARC?
Sin DMARC, los atacantes pueden enviar correos en nombre de su dominio sin que los servidores receptores tengan una política para bloquearlos. Desde noviembre de 2025, Gmail rechaza los correos masivos no conformes. Microsoft 365 siguió en mayo de 2025. Sus correos comerciales pueden acabar en spam o ser rechazados por completo, mientras que los correos de phishing con su dominio llegan sin obstáculos.
¿En qué orden configuro SPF, DKIM y DMARC?
Primero SPF, luego DKIM, luego DMARC. SPF es el punto de entrada más sencillo y solo requiere un registro DNS. DKIM necesita un par de claves y configuración en el servidor de correo. DMARC requiere que al menos uno de los otros dos protocolos funcione, preferiblemente ambos. Inicie siempre DMARC con p=none y endurézca gradualmente.
¿Qué es el límite de 10 consultas DNS de SPF?
El estándar SPF permite un máximo de 10 consultas DNS por verificación. Cada entrada include en su registro SPF genera al menos una consulta. Las empresas que utilizan muchos servicios de terceros para el envío de correo superan rápidamente este límite. Si se supera, el registro SPF completo se ignora, lo cual es peor que no tener SPF. La solución es el aplanamiento de SPF o la consolidación de la infraestructura de envío.
¿Cuánto tiempo tarda DMARC en ser efectivo?
La configuración técnica lleva un día. Hasta que la política reject esté activa y sea segura, pasan cuatro a seis semanas. Durante ese tiempo, DMARC funciona en modo monitorización (p=none) y recopila informes sobre quién envía correos en su nombre. Esta fase es crucial para identificar los proveedores externos legítimos y no bloquearlos accidentalmente.
¿Necesito una herramienta especial para DMARC?
Para la configuración, no. SPF, DKIM y DMARC son registros DNS que pueden configurarse con cualquier proveedor DNS. Para el análisis de los informes DMARC sí se recomienda encarecidamente una herramienta de análisis. Los informes llegan como archivos XML y son difícilmente aprovechables sin visualización. Servicios como dmarcian, EasyDMARC, Valimail o PowerDMARC ofrecen paneles claros desde aproximadamente 100 euros al año para pequeñas empresas.
Lecturas recomendadas
- Privileged Access Management: por qué las cuentas de administrador son la principal puerta de entrada para los ataques (SecurityToday)
- Threat Intelligence para empresas medianas: detectar amenazas antes de que golpeen (SecurityToday)
- Ciberseguro 2026: qué verifica realmente la aseguradora y qué deben preparar los CISOs (SecurityToday)
Más de la red MBF Media
Fuente imagen: Pexels / cottonbro studio (px:7439124)
