Por qué los usuarios de Microsoft 365 necesitan DMARC

Microsoft 365 (anteriormente Office 365) es una de las plataformas de correo electrónico más ampliamente implementadas en el mundo. Cuando añade un dominio personalizado a M365, Microsoft crea automáticamente ciertas entradas DNS para el autodiscover y el enrutamiento de correo, pero SPF y DKIM no se configuran automáticamente para dominios personalizados. Debe activarlos manualmente.

Lo más crítico es que incluso una configuración perfecta de SPF y DKIM no ofrece ninguna protección contra el spoofing sin DMARC. SPF y DKIM son mecanismos de autenticación; DMARC es la política que indica a los servidores de correo receptores qué hacer cuando estas verificaciones fallan. Sin DMARC, un actor malicioso puede enviar correo electrónico afirmando provenir de su dominio, y la mayoría de los servidores de correo lo aceptarán.

El riesgo ha aumentado considerablemente en los últimos años. Google y Yahoo ahora exigen DMARC para los remitentes masivos: las organizaciones que envíen 5.000 o más mensajes diarios a direcciones de Gmail o Yahoo deben tener un registro DMARC activo, o su correo corre el riesgo de ser rechazado o clasificado como correo no deseado. Incluso por debajo de ese umbral, la ausencia de DMARC deja su dominio expuesto a campañas de phishing que dañan la reputación de su marca y erosionan la confianza de los destinatarios.

Punto clave: Microsoft 365 le proporciona la infraestructura para autenticar el correo electrónico, pero publicar el registro SPF, activar DKIM y añadir un registro DMARC son pasos que usted debe realizar. Esta guía los cubre todos en orden.

Paso 1: Verifique su registro SPF para Microsoft 365

SPF (Sender Policy Framework) indica a los servidores de correo receptores qué direcciones IP y servicios están autorizados para enviar correo electrónico en nombre de su dominio. Para Microsoft 365, el registro SPF que debe publicar es:

v=spf1 include:spf.protection.outlook.com -all

Este registro autoriza todos los rangos de IP utilizados por Exchange Online Protection para enviar en su nombre. El calificador -all al final es un hard fail, que indica a los servidores receptores que rechacen el correo de fuentes no incluidas en su registro SPF.

Importante: no cree registros SPF duplicados

Una zona DNS solo puede tener un registro SPF TXT por nombre de dominio. Si ya tiene un registro SPF (por ejemplo, de un proveedor de correo anterior o una plataforma de marketing), debe fusionar el mecanismo include:spf.protection.outlook.com en el registro existente en lugar de publicar uno segundo. Dos registros SPF en el mismo nombre provocarán un fallo SPF permanente.

Por ejemplo, si también usara Mailchimp, el registro combinado tendría el siguiente aspecto:

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all
Límite de consultas SPF: SPF tiene un límite de 10 consultas DNS por evaluación. Cada mecanismo include: cuenta como una consulta, y las consultas anidadas dentro de esos mecanismos también cuentan. Si tiene muchos servicios de envío, puede que necesite aplanar su registro SPF o usar una herramienta para comprobar si está aproximándose al límite.

Después de publicar su registro SPF, use el SPF Checker gratuito para confirmar que el registro se resuelve correctamente y pasa una verificación de sintaxis para su dominio.

Paso 2: Active y configure DKIM en Microsoft 365

DKIM (DomainKeys Identified Mail) añade una firma criptográfica a los mensajes salientes. Cuando un servidor receptor verifica la firma con la clave pública publicada en su DNS, confirma que el mensaje no fue alterado en tránsito y que se originó genuinamente desde una fuente autorizada.

Microsoft 365 firma el correo saliente con DKIM por defecto usando un dominio propiedad de Microsoft (onmicrosoft.com). Sin embargo, para la alineación DMARC, su firma DKIM debe coincidir con su dominio personalizado, no con el subdominio de Microsoft. Debe activar explícitamente la firma DKIM para el dominio personalizado.

Cómo activar DKIM para su dominio personalizado en M365

  1. Vaya al portal de Microsoft Defender en security.microsoft.com.
  2. Vaya a Correo electrónico y colaboración → Directivas y reglas → Directivas de amenaza → DKIM.
  3. Seleccione su dominio personalizado de la lista.
  4. Microsoft mostrará dos registros CNAME que debe publicar en su DNS. Siguen este formato: 
    selector1._domainkey.sudominio.com  CNAME  selector1-sudominio-com._domainkey.sudominioonmicrosoft.onmicrosoft.com
selector2._domainkey.sudominio.com  CNAME  selector2-sudominio-com._domainkey.sudominioonmicrosoft.onmicrosoft.com
  5. Publique ambos registros CNAME en su proveedor de DNS. La propagación del DNS puede tardar hasta 48 horas, aunque normalmente es mucho más rápida.
  6. Vuelva al portal de Defender y active la firma DKIM en Habilitado para su dominio.

Microsoft utiliza dos selectores (selector1._domainkey y selector2._domainkey) para admitir la rotación de claves sin interrupciones. Cuando Microsoft rota sus claves DKIM, alterna entre selectores automáticamente sin que usted deba realizar ninguna acción.

Después de activar DKIM y esperar a que se propague el DNS, use el DKIM Checker para verificar que ambos selectores se resuelven y devuelven claves públicas válidas.

Paso 3: Publique su registro DMARC

Con SPF y DKIM en su lugar, está listo para publicar un registro DMARC. DMARC lo une todo: define la política para lo que ocurre cuando la autenticación falla, e indica a los servidores receptores dónde enviar los informes agregados y forenses sobre el tráfico de correo de su dominio.

Comience con una política de monitorización. Esto le permite observar los resultados de autenticación del mundo real sin afectar a la entrega del correo mientras identifica todas sus fuentes de envío legítimas:

v=DMARC1; p=none; rua=mailto:dmarc@sudominio.com; ruf=mailto:dmarc@sudominio.com

Publique esto como un registro DNS TXT con la siguiente configuración:

  • Nombre / Host: _dmarc (su proveedor de DNS puede requerir el nombre completo: _dmarc.sudominio.com)
  • Tipo: TXT
  • Valor: la cadena del registro DMARC anterior
  • TTL: 3600 (1 hora) es un punto de partida razonable

Reemplace dmarc@sudominio.com con la dirección real donde desea recibir los informes DMARC. Puede ser cualquier buzón que controle, o mejor aún, una dirección que alimente una herramienta de informes DMARC.

Use el Generador de DMARC gratuito para construir su registro con la sintaxis correcta sin necesidad de edición manual. Una vez publicado, verifíquelo con el DMARC Checker para confirmar que el registro se está resolviendo como se espera.

Paso 4: Monitorice sus informes DMARC

Una vez que su registro DMARC esté activo con una dirección rua, los servidores de correo receptores comenzarán a enviar informes agregados (archivos XML) a esa dirección. Estos informes son su ventana para ver cómo se está utilizando y abusando de su dominio.

Qué le muestran los informes agregados (rua)

Los informes agregados contienen desgloses de los resultados de autenticación por IP y por fuente de envío. Para cada fuente, verá cuántos mensajes se enviaron, si SPF pasó o falló, si DKIM pasó o falló, y si se logró la alineación DMARC. Los informes se envían típicamente una vez cada 24 horas por dominio receptor.

Qué le muestran los informes forenses (ruf)

Los informes forenses (también llamados informes de fallos) se generan por mensaje cuando la autenticación falla. Contienen copias redactadas de los mensajes que han fallado, incluidas las cabeceras. No todos los proveedores envían informes forenses, y algunos solo los envían bajo condiciones específicas.

Fuentes comunes de Microsoft 365 que verá en los informes

Cuando empiece a recibir informes DMARC para un dominio alojado en M365, espere ver tráfico de:

  • Exchange Online Protection (EOP): la propia infraestructura de envío de Microsoft. Estos deberían superar SPF y DKIM una vez configurados correctamente.
  • Conectores de terceros: cualquier servicio externo integrado en su entorno M365 mediante configuración de smart host o conector.
  • Plataformas de marketing: herramientas como HubSpot, Mailchimp o Salesforce que envían en nombre de su dominio y pueden necesitar sus propios includes SPF o claves DKIM añadidas.
  • Reenvío automático: los mensajes reenviados a menudo rompen la alineación SPF y pueden aparecer como fallos incluso cuando se originan desde fuentes legítimas.

Analice sus informes DMARC automáticamente

Los informes agregados DMARC llegan como adjuntos XML sin procesar, lo que no facilita precisamente su lectura. DMARCFlow recopila, analiza y visualiza automáticamente sus informes para que pueda ver exactamente qué fuentes están pasando o fallando la autenticación, sin abrir un solo archivo XML.

Empiece a leer sus informes DMARC de forma gratuita

Sin tarjeta de crédito. Panel de informes completo desde el primer día.

Paso 5: Pase a la aplicación

Comenzar con p=none es el enfoque correcto: le permite recopilar datos sin riesgo. Pero el objetivo siempre es la aplicación: una política de p=quarantine o p=reject que proteja activamente su dominio del spoofing.

Cuándo pasar de p=none a p=quarantine

Está listo para pasar a p=quarantine cuando sus informes DMARC muestren de forma consistente que la gran mayoría del correo legítimo supera la autenticación. Busque:

  • Una tasa de aprobación alta (idealmente del 95 %+) en todas sus fuentes de envío conocidas
  • Todos los principales servicios de envío (Exchange Online, herramientas de marketing, correo transaccional) apareciendo en los informes con resultados aprobados
  • Ninguna fuente de envío legítima que aún esté fallando la autenticación

Con p=quarantine, los mensajes que fallan se entregan en la carpeta de spam/correo no deseado en lugar de en la bandeja de entrada. Este es un paso de aplicación significativo que protege a los destinatarios mientras le proporciona una red de seguridad por si algún remitente legítimo todavía está mal configurado.

Cuándo pasar de p=quarantine a p=reject

Una vez que haya estado en p=quarantine durante varias semanas y sus informes no muestren ningún remitente legítimo fallando, puede pasar a p=reject. A este nivel, el correo que no supera DMARC es rechazado directamente por el servidor receptor; nunca llega a la bandeja de entrada ni a la carpeta de spam.

Cuidado con los problemas de reenvío: El reenvío de correo electrónico es la fuente más común de falsos fallos DMARC durante la aplicación. Cuando un mensaje es reenviado, el registro SPF original ya no coincide con la IP del servidor de reenvío, y DKIM puede romperse si el reenviador modifica el mensaje. Revise cuidadosamente sus informes para detectar tráfico de reenvío antes de pasar a p=reject.

Actualice su registro DMARC de forma progresiva. También puede usar la etiqueta pct para aplicar la política a un porcentaje de los mensajes que fallan; por ejemplo, pct=25 aplica la acción de quarantine o reject solo al 25 % de los mensajes que fallan, lo que le permite aumentar gradualmente:

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@sudominio.com

Lista de verificación DMARC para Microsoft 365

Use esta lista de verificación para confirmar que su configuración DMARC en M365 está completa:

  1. Registro SPF publicado: contiene include:spf.protection.outlook.com y ningún registro TXT duplicado en el mismo nombre
  2. SPF verificado: confirmado como aprobado mediante el SPF Checker
  3. DKIM activado en el portal de Microsoft Defender: el interruptor está en Habilitado para su dominio personalizado
  4. Ambos registros CNAME de DKIM publicados: selector1._domainkey y selector2._domainkey resolviéndose correctamente
  5. DKIM verificado: ambos selectores confirmados mediante el DKIM Checker
  6. Registro DMARC publicado: registro TXT en _dmarc.sudominio.com con p=none y una dirección rua válida
  7. DMARC verificado: confirmado mediante el DMARC Checker
  8. Informes fluyendo: informes agregados llegando a su dirección de informes designada o herramienta DMARC
  9. Todas las fuentes de envío identificadas: Exchange Online, herramientas de marketing y conectores visibles en los informes con resultados aprobados
  10. Política movida a aplicación: p=quarantine o p=reject una vez que los informes confirmen tasas de aprobación limpias

Configurar DMARC correctamente en Microsoft 365 es un proceso metódico, pero cada paso se apoya en el anterior. Una vez que alcance la aplicación, su dominio estará protegido contra el spoofing, cumplirá los requisitos establecidos por Google y Yahoo para el envío masivo, y habrá sentado las bases para mejoras adicionales en la seguridad del correo electrónico, incluida la visualización del logotipo BIMI en Gmail y Yahoo Mail.