El correo electrónico sigue siendo el vector principal para el phishing, la
suplantación de identidad y el compromiso del correo empresarial. Sin embargo, los
controles técnicos que detienen la mayoría de estos ataques son bien conocidos,
estandarizados y gratuitos de implementar. El desafío no es el conocimiento, sino
la ejecución. Muchas organizaciones tienen configuraciones parciales: un registro
SPF sin política DMARC, o una política DMARC atascada en none durante
años. Esta publicación presenta cinco pasos concretos que, tomados en conjunto,
construyen una postura de seguridad de correo electrónico genuinamente sólida.
1. Publique y Mantenga un Registro SPF
Sender Policy Framework (SPF) es la base. Le permite publicar, en DNS, una lista de todas las direcciones IP y servidores de correo autorizados para enviar correo electrónico en nombre de su dominio. Cuando un servidor de correo receptor revisa un mensaje entrante, consulta esta lista y verifica que el servidor de envío figure en ella.
Publicar un registro SPF es sencillo: añada un registro TXT al DNS de
su dominio. Un ejemplo mínimo tiene este aspecto:
v=spf1 include:_spf.google.com include:sendgrid.net ~allEl mantenimiento es la parte más difícil. Cada vez que añada un nuevo proveedor de servicios de correo — un CRM, una plataforma de marketing, un servicio de envío transaccional — deberá actualizar su registro SPF para incluirlo. Los remitentes olvidados son una de las causas más comunes de problemas de entregabilidad de correo. Algunos puntos a vigilar:
- El límite de 10 consultas. SPF permite como máximo 10
consultas DNS durante la evaluación. Si se supera este límite, el resultado es
un
permerror, que se contabiliza como un fallo. Aplane su registro o utilice un servicio SPF gestionado si tiene muchos remitentes. - Solo un registro SPF por dominio. Si existen dos registros
TXT que comienzan con
v=spf1, los servidores receptores devuelven unpermerror. Combínelos en uno solo. - Termine con
-allcuando esté listo. El softfail (~all) está bien durante el despliegue inicial, pero pase a un hard fail cuando esté seguro de que todos los remitentes legítimos están cubiertos.
Utilice el SPF Checker para inspeccionar su registro actual, identificar remitentes faltantes y verificar su número de consultas.
2. Implemente la Firma DKIM
DomainKeys Identified Mail (DKIM) adopta un enfoque diferente al de SPF. En lugar de listar direcciones IP autorizadas, DKIM adjunta una firma criptográfica a cada mensaje saliente. El servidor receptor busca la clave pública en su DNS y la utiliza para verificar la firma. Si la firma es válida, el mensaje no ha sido manipulado en tránsito y se originó genuinamente en un servidor que posee la clave privada correspondiente.
DKIM tiene una ventaja importante sobre SPF: sobrevive al reenvío de correo. Cuando se reenvía un mensaje, la IP de envío cambia, lo que rompe SPF. Sin embargo, la firma DKIM viaja con las cabeceras del mensaje y sigue siendo verificable en el destino final. Esto convierte a DKIM en el mecanismo más resiliente de los dos para satisfacer DMARC.
La rotación de claves es una práctica operativa importante que muchas organizaciones descuidan. Su clave privada DKIM debe rotarse al menos anualmente — con mayor frecuencia si maneja datos confidenciales u opera en un sector regulado. El proceso de rotación implica:
- Generar un nuevo par de claves.
- Publicar la nueva clave pública en DNS bajo un nuevo selector.
- Configurar su servidor de correo o ESP para firmar con la nueva clave.
- Esperar la propagación del DNS y confirmar que la nueva clave se valida correctamente.
- Eliminar la clave antigua del DNS después de un período de superposición adecuado.
Compruebe su configuración DKIM actual con el DKIM Checker. Puede verificar que la clave pública correcta está publicada y que las firmas de su servidor de correo se validan contra ella.
3. Despliegue una Política DMARC
DMARC — Domain-based Message Authentication, Reporting and Conformance — es la capa de control que se sitúa sobre SPF y DKIM. Indica a los servidores de correo receptores qué hacer cuando un mensaje no supera la alineación de SPF y DKIM, y les instruye para que le envíen informes sobre lo que observan.
Un registro DMARC se publica como registro TXT en
_dmarc.sudominio.com. La etiqueta clave es p=, que
establece la política:
| Política | Efecto | Cuándo utilizarla |
|---|---|---|
p=none |
Solo monitoreo — no se bloquea ningún mensaje. | Despliegue inicial; recopilación de datos. |
p=quarantine |
Los mensajes fallidos van a spam/correo no deseado. | Después de confirmar que todos los remitentes legítimos superan la autenticación. |
p=reject |
Los mensajes fallidos son rechazados de plano. | Aplicación completa — máxima protección. |
La ruta recomendada es none → quarantine → reject.
Comience en none para recopilar informes sin afectar la entrega. Una
vez que haya revisado los datos y confirmado que todas las fuentes de envío
legítimas superan la alineación SPF o DKIM, pase a quarantine. Cuando
esté satisfecho con eso, avance a reject. Saltarse pasos o acelerar
esta progresión es la causa más común de bloqueo accidental de correo
legítimo.
Un registro de inicio mínimo tiene este aspecto:
v=DMARC1; p=none; rua=mailto:dmarc-reports@sudominio.comVerifique su configuración DMARC actual con el DMARC Checker. Mostrará su política actual, los ajustes de alineación y cualquier problema de configuración.
4. Monitoree sus Informes DMARC
Publicar un registro DMARC con una etiqueta rua inicia el flujo de
informes agregados. Todos los grandes proveedores de correo — Google, Microsoft,
Yahoo, Apple — envían estos informes a la dirección que usted especifique,
normalmente una vez al día. Cada informe es un archivo XML que contiene los
resultados de autenticación de cada dirección IP que envió correo usando su dominio
durante ese período.
El problema es que el XML de DMARC sin procesar no está diseñado para el consumo humano. Un dominio con mucho tráfico puede recibir decenas de informes al día, cada uno con cientos de registros. Leerlos manualmente para entender qué remitentes están fallando y por qué resulta impracticable.
Aquí es donde una herramienta de monitoreo dedicada se vuelve indispensable. DMARCFlow procesa sus informes agregados automáticamente — simplemente añada una dirección de informes proporcionada por DMARCFlow a su registro DMARC — y presenta los datos en un panel legible. Específicamente, DMARCFlow le ayuda a:
- Identificar remitentes no autorizados. Si alguien está suplantando su dominio, sus IPs de envío aparecerán en los informes junto a sus fuentes legítimas. DMARCFlow marca los remitentes desconocidos y le muestra cuánto volumen representan.
- Rastrear las tasas de superación de alineación. Puede ver exactamente qué porcentaje de su correo supera la alineación SPF, la alineación DKIM o ambas, desglosado por fuente de envío.
- Obtener recomendaciones accionables. En lugar de analizar XML, DMARCFlow le indica en lenguaje sencillo qué remitentes necesitan cambios de configuración y cuáles son esos cambios.
- Monitorear la progresión de la política. DMARCFlow asigna un nivel de madurez DMARC de 0 a 5 y una puntuación de seguridad sobre 100, para que tenga una imagen clara de dónde se encuentra y qué hacer a continuación.
Sin monitoreo, un registro DMARC en none no proporciona protección ni
información. Los informes son el mecanismo que hace que todo el sistema sea
accionable. No omita este paso.
5. Añada BIMI para Generar Confianza en la Marca
Brand Indicators for Message Identification (BIMI) es el más reciente de los cinco
estándares tratados aquí. Una vez que su dominio tenga una política DMARC en
quarantine o reject, puede publicar un registro BIMI que
indica a los clientes de correo compatibles que muestren el logotipo de su marca
junto a sus mensajes en la bandeja de entrada.
BIMI funciona apuntando a una versión SVG de su logotipo almacenada en una URL pública. Los clientes de correo que admiten BIMI — incluidos Gmail, Apple Mail y Yahoo Mail — obtienen el logotipo y lo muestran junto al nombre del remitente. El efecto visual es significativo: los destinatarios ven su logotipo verificado en lugar de un avatar genérico, lo que aumenta el reconocimiento, la confianza y las tasas de apertura.
Para optar a BIMI con un Certificado de Marca Verificada (VMC), su logotipo debe ser una marca registrada en la jurisdicción correspondiente. Para el nivel básico de BIMI (compatible con algunos proveedores sin VMC), los requisitos son más simples: un archivo de logotipo SVG Tiny P/S correctamente formateado y una política DMARC válida en nivel de aplicación.
Un registro BIMI se publica como registro TXT en
default._bimi.sudominio.com y tiene este aspecto:
v=BIMI1; l=https://sudominio.com/logo.svg; a=https://sudominio.com/vmc.pemLa etiqueta l= apunta a su logotipo SVG y a= a su
certificado VMC (opcional pero obligatorio para Gmail). Compruebe su configuración
y elegibilidad BIMI con el BIMI Checker.
Manténgase por delante de las amenazas de correo electrónico
Conocimientos prácticos de seguridad de correo electrónico sobre SPF, DKIM, DMARC y más — entregados en su bandeja de entrada. Sin spam, cancele la suscripción en cualquier momento.