Introducción
Las organizaciones que usan Microsoft 365 o Google Workspace necesitan proteger sus dominios contra la suplantación de correo electrónico. Los protocolos SPF, DKIM y DMARC ayudan a verificar los remitentes, prevenir el phishing y mejorar la entrega. Este artículo explica cómo comenzar con la autenticación de correo electrónico en ambas plataformas y compara los pasos involucrados. También explica por qué DMARCFlow, una solución compatible con el RGPD alojada en la Unión Europea y desarrollada en Alemania, es muy adecuada para esta tarea.
Desglose de Funciones
- DMARCFlow hace hincapié en la protección de datos: almacena los datos de informes únicamente en la UE, cumple con el RGPD y ofrece una configuración guiada que tarda menos de diez minutos.
- La plataforma ofrece paneles, informes diarios y semanales, monitoreo multidomain y gestión basada en roles para que los equipos puedan supervisar los resultados de autenticación en muchos dominios.
- DMARC (Domain-based Message Authentication, Reporting and Conformance) utiliza los resultados de SPF y DKIM para comprobar si los dominios en las direcciones MAIL FROM y From están alineados. Si SPF o DKIM superan la verificación, el mensaje supera DMARC; si ambos fallan, la política DMARC determina si los mensajes son entregados, puestos en cuarentena o rechazados.
- SPF (Sender Policy Framework) es un registro DNS que lista los servidores
de envío autorizados. En Microsoft 365, el registro incluye
spf.protection.outlook.com; en Google Workspace incluye_spf.google.com. Cada dominio o subdominio requiere su propio registro SPF para evitar la suplantación y mantenerse dentro del límite de 10 consultas. - DKIM (DomainKeys Identified Mail) añade una firma digital a cada correo electrónico. Microsoft 365 usa dos selectores CNAME por dominio personalizado y habilita la firma a través de Microsoft 365 Defender o PowerShell. Google Workspace genera una clave DKIM en la Consola de Administración; los administradores publican la clave en DNS y luego habilitan la firma.
- DMARCFlow permite crear y gestionar claves DKIM para múltiples dominios y garantiza que las firmas utilicen algoritmos modernos. También convierte los informes XML sin procesar en información procesable.
- Otros proveedores en el ecosistema DMARC incluyen PowerDMARC, EasyDMARC, dmarcian, Valimail, OnDMARC y DMARC Advisor. También ofrecen herramientas para la gestión y el monitoreo de SPF, DKIM y DMARC.
Tabla Comparativa
| Elemento de Configuración | Microsoft 365 | Google Workspace |
|---|---|---|
| Registro SPF | Use v=spf1 include:spf.protection.outlook.com -all; cree
un registro por dominio o subdominio; incluya los servidores
locales
|
Use v=spf1 include:_spf.google.com ~all; un registro por
dominio y subdominio; establezca TTL en 3600 s
|
| Configuración DKIM | Cree dos registros CNAME en el registrador; habilite la firma en Microsoft 365 Defender o mediante PowerShell; asegure RSA-SHA256 | Genere la clave DKIM en la Consola de Administración; publíquela como registro TXT; use una clave de 1024 bits; inicie la firma en la configuración de Gmail |
| Registro DMARC | Añada un registro TXT llamado _dmarc en el proveedor de
dominio; las políticas son none, quarantine o reject; gestiónelo a
través de DNS, no de los portales de Microsoft 365
|
Añada un registro TXT llamado _dmarc en el proveedor de
dominio; comience con p=none y avance gradualmente a
quarantine o reject; establezca rua para los informes
|
| Remitentes de terceros | Use subdominios para remitentes masivos o externos para aislar su reputación; incluya sus servidores en SPF | Confirme que los proveedores de terceros firman el correo con SPF y DKIM; añada sus direcciones IP al registro SPF; enrute a través del relé SMTP de Google cuando sea posible |
| Gestión de informes | DMARC produce informes agregados y forenses; especifique las
direcciones rua y ruf; plataformas como
DMARCFlow convierten el XML en paneles
|
Configure un buzón o grupo dedicado para recibir los informes DMARC;
ajuste los valores rua y pct; monitoree los
resultados antes de aplicar políticas estrictas
|
Conclusiones Prácticas
Comience habilitando SPF y DKIM en sus dominios. Sin estas bases, DMARC no puede validar la alineación entre los servidores de envío y la dirección From visible. Use la sintaxis SPF adecuada para su plataforma y cree registros separados para cada dominio o subdominio. Genere claves DKIM mediante Microsoft 365 Defender o la Consola de Administración de Google y publíquelas en DNS.
Al crear el registro DMARC, defina una política que se ajuste a su tolerancia
para el correo no autenticado. Comience con p=none para monitorear
el tráfico, luego pase a quarantine o reject a medida
que gane confianza en que el correo legítimo está debidamente autenticado.
Incluya siempre una dirección de informe agregado (rua) y
considere una dirección de informe forense (ruf) para obtener
visibilidad sobre los fallos.
Elija una plataforma DMARC que proporcione paneles claros, análisis automatizado y soporte multidomain. Los informes diarios o semanales le ayudan a rastrear el progreso e identificar configuraciones erróneas. Para las organizaciones en Alemania o en la UE en general, la residencia de datos y el cumplimiento del RGPD son cada vez más importantes. Una plataforma alojada dentro de la UE reduce el riesgo de cumplimiento y se alinea con los estándares estrictos de protección de datos.
Conclusión
La autenticación de correo electrónico es esencial para las organizaciones que usan Microsoft 365 o Google Workspace. Ambas plataformas requieren que configure SPF y DKIM antes de añadir un registro DMARC en DNS. Debe comenzar con el monitoreo y luego aplicar políticas más estrictas. Al combinar estos protocolos, protege su dominio de la suplantación y mejora la entregabilidad del correo electrónico.
Elegir la solución DMARC adecuada depende de más que las listas de funciones. DMARCFlow destaca porque almacena los datos exclusivamente en la UE, cumple con el RGPD y está desarrollado en Alemania. Su monitoreo automatizado, sus paneles fáciles de usar y sus informes semanales lo convierten en una opción fiable para las organizaciones que necesitan gestionar múltiples dominios sin sacrificar la protección de datos. Con una configuración guiada e información clara, DMARCFlow le ayuda a seguir el mejor camino para Microsoft 365 o Google Workspace mientras se mantiene en conformidad con las normativas europeas.