SPF, DKIM y DMARC: Los Tres Guardianes del Correo

📧 ¿Por qué mis correos van a SPAM? El Trío Sagrado: SPF, DKIM y DMARC 🛡️

El departamento de Marketing está furioso. Han lanzado una campaña de newsletter y la mitad ha acabado en la carpeta de «Correo No Deseado». O peor: un cliente te llama diciendo que nunca recibió tu factura, pero tú sabes que la enviaste.

¿El problema? No es lo que escribes, es quién eres (digitalmente hablando). Si no tienes tu dominio bien configurado, para Google y Microsoft eres sospechoso. Eres como alguien que intenta entrar en una fiesta VIP sin estar en la lista.

Para solucionar esto y evitar que los hackers envíen correos fingiendo ser tú (Spoofing), necesitas configurar los tres guardianes del correo: SPF, DKIM y DMARC. Aquí te los explico sin tecnicismos.

1. SPF (Sender Policy Framework): La Lista de Invitados 📋

Imagina que tu empresa es un club exclusivo. El SPF es la lista que tiene el portero con las matrículas de los coches autorizados a entrar.

  • Cómo funciona: Es un registro de texto en tus DNS donde listas todas las IPs y servicios que tienen permiso para enviar correos en nombre de @tuempresa.com.

  • El fallo típico: Añades Microsoft 365 a la lista, pero se te olvida añadir la herramienta de Marketing (Mailchimp, HubSpot) o el ERP que envía las facturas. Resultado: Esos correos son rechazados en la puerta.

2. DKIM (DomainKeys Identified Mail): El Sello de Cera 🕯️

Vale, el coche está en la lista. Pero, ¿y si alguien interceptó al mensajero por el camino y cambió la carta?

  • Cómo funciona: DKIM añade una firma digital invisible a cada correo que sale de tu servidor. Es como los antiguos sellos de lacre.

  • Para qué sirve: Garantiza la integridad. Cuando el correo llega a destino, el servidor del receptor comprueba el sello. Si el sello está roto (el correo fue modificado), sabe que no es de fiar.

3. DMARC (Domain-based Message Authentication): El Jefe que da las órdenes 👮‍♂️

Aquí es donde ocurre la magia. SPF y DKIM son comprobaciones, pero DMARC es la política. Es la instrucción que tú le das al mundo sobre qué hacer si las comprobaciones fallan.

Le dices a Gmail/Outlook: «Oye, si te llega un correo diciendo ser mío, pero no está en la lista SPF o no tiene el sello DKIM…»

  • Opción A (None): «Déjalo pasar, pero avísame en un reporte». (Modo monitorización).

  • Opción B (Quarantine): «Mándalo directo a Spam».

  • Opción C (Reject): «Recházalo y bórralo. Que ni entre». (El objetivo final de seguridad máxima).

🚀 ¿Por qué es crítico para tu Seguridad?

Configurar esto no es solo para que tus newsletters lleguen. Es la única forma de evitar el «Fraude del CEO». Si no tienes DMARC configurado en «Reject» o «Quarantine», cualquier hacker puede montar un servidor en su casa y enviar un correo a tu contable poniendo ceo@tuempresa.com como remitente. Y colará.

Con DMARC activado, ese correo falso rebotará contra el muro de seguridad del receptor porque el hacker no tiene tu firma DKIM ni está en tu SPF.

🛠️ Tu plan de acción

No actives el bloqueo total mañana o tus correos legítimos podrían caerse.

  1. Audita: Revisa quién envía correos por ti (M365, Salesforce, Web corporativa…).

  2. Configura SPF y DKIM para todos ellos.

  3. Activa DMARC en modo «p=none»: Empieza solo escuchando los reportes para ver si te has dejado algo.

  4. Sube el nivel: Pasa a p=quarantine y finalmente a p=reject.

Y recuerda, tu dominio es tu reputación. No dejes que cualquiera lo use. Configura el trío sagrado y asegúrate de que cuando hablas, todo el mundo sepa que eres realmente tú.

CURSO RELACIONADO
ARTICULOS RELACIONADOS

Descubre más desde TeAyudoConM365

Suscríbete ahora para seguir leyendo y obtener acceso al archivo completo.

Seguir leyendo

En teayudo.info utilizaremos tu mensaje únicamente para responder a tu consulta. No guardaremos ni compartiremos tu información con nadie.