Abre su informe DMARC y ve algo confuso:

  • dkim=pass
  • spf=fail en el resultado de la política DMARC
  • …y sin embargo SPF para otro dominio sí pasó

En muchos casos el patrón tiene este aspecto (valores anonimizados):

<header_from>company-domain.example</header_from>
<spf>
  <domain>region-mail-out.amznsmtp.example</domain>
  <result>pass</result>
</spf>
<policy_evaluated>
  <spf>fail</spf>
</policy_evaluated>

Si utiliza Amazon WorkMail, esta situación es muy habitual. WorkMail envía a través de Amazon SES de forma interna — y eso tiene implicaciones para la alineación SPF en DMARC.

SPF pasa — la alineación DMARC falla

Primer punto importante: su registro SPF normalmente no está "roto". Lo que falla es la comprobación de alineación DMARC.

DMARC examina tres dominios (todos anonimizados aquí):

  • From visible: user@company-domain.example (header_from)
  • MAIL FROM / Return-Path: b1234@region-mail-out.amznsmtp.example
  • Dominio DKIM d=: d=company-domain.example

SPF se evalúa para el dominio MAIL FROM, por ejemplo:

SPF domain: region-mail-out.amznsmtp.example
SPF result: pass

A continuación DMARC pregunta: «¿Este dominio SPF está alineado con el dominio From visible?»

  • Si su registro DMARC usa aspf=s (estricto), el dominio debe ser exactamente el mismo.
  • Si usa aspf=r (relajado), se permite un subdominio.

Con el comportamiento predeterminado de WorkMail, el MAIL FROM es un dominio controlado por Amazon como region-mail-out.amznsmtp.example. Ese dominio nunca coincidirá con company-domain.example, por lo que la alineación SPF falla — aunque la comprobación SPF subyacente haya tenido éxito.

Por qué Amazon WorkMail usa un dominio MAIL FROM de Amazon

Amazon WorkMail está construido sobre Amazon SES. Cuando envía un correo a través de WorkMail, SES es quien gestiona la entrega real.

De forma predeterminada, SES usa una identidad de envío interna similar a esta (también anonimizada):

MAIL FROM: b1234@region-mail-out.amznsmtp.example
Return-Path: <b1234@region-mail-out.amznsmtp.example>

Esto es técnicamente correcto — SPF pasa porque la infraestructura de envío de SES está autorizada. Pero para DMARC crea una discrepancia:

  • From: user@company-domain.example
  • Dominio SPF: region-mail-out.amznsmtp.example

Resultado: Alineación SPF = fail. Mientras tanto, DKIM (firmado con d=company-domain.example) normalmente pasa y está alineado — por lo que DMARC, en conjunto, sigue pasando.

Dos opciones cuando ve SPF fail en los informes DMARC

Una vez que comprende esto, dispone básicamente de dos estrategias:

Opción 1: Aceptar la alineación solo con DKIM

En muchos casos, puede simplemente aceptar que:

  • La alineación SPF falla (debido al dominio MAIL FROM de Amazon)
  • La alineación DKIM pasa (porque DKIM utiliza su propio dominio)
  • DMARC pasa porque al menos uno de SPF o DKIM está alineado

Sus informes DMARC seguirán mostrando líneas donde <spf>fail</spf> aparece en <policy_evaluated>, pero estos mensajes se entregan igualmente porque la alineación DKIM los salva.

Opción 2: Corregir la alineación SPF con un dominio MAIL FROM personalizado

Si desea ver todo en verde en DMARC y obtener informes más limpios, puede configurar un dominio MAIL FROM personalizado. En lugar de usar un dominio de Amazon, SES (y por tanto WorkMail) enviará usando un MAIL FROM bajo su propia zona, por ejemplo:

MAIL FROM: bounce@bounce.company-domain.example
SPF domain: bounce.company-domain.example

La idea es sencilla:

  • Elija un subdominio como bounce.company-domain.example
  • Añada los registros MX y SPF TXT que SES le proporcione para ese subdominio
  • Actualice su política DMARC para usar la alineación SPF relajada (aspf=r)

Ahora DMARC ve que bounce.company-domain.example es un subdominio de company-domain.example. Con la alineación relajada, SPF pasa y queda alineado.

Configuración conceptual: MAIL FROM personalizado para WorkMail

Las etiquetas exactas de la consola pueden cambiar con el tiempo, pero el flujo de trabajo es siempre el mismo:

  1. Abra la consola de SES en la misma región donde está configurado WorkMail.
  2. Seleccione su dominio de envío (por ejemplo company-domain.example).
  3. Active un dominio MAIL FROM personalizado, como bounce.company-domain.example.
  4. Añada los registros DNS que SES le muestra:
    • Un registro MX para bounce.company-domain.example
    • Un registro TXT, normalmente un SPF como v=spf1 include:amazonses.example -all
  5. Espere a la verificación hasta que el MAIL FROM personalizado esté activo.
  6. Ajuste su registro DMARC si es necesario, por ejemplo: 
    v=DMARC1; p=reject; adkim=s; aspf=r; rua=mailto:dmarc-reports@redacted-domain.example; fo=1

Todos los dominios anteriores están anonimizados a propósito, pero el patrón es exactamente el que verá en un entorno real.

Lo que no debe hacer

Existe una tentadora "solución rápida" que casi siempre es una mala idea: cambiar la dirección From visible por un dominio propiedad de Amazon solo para que la alineación SPF funcione.

Eso significaría que sus clientes empezarían a recibir correos de algo como notifications@region-mail-out.amznsmtp.example en lugar de su propia marca. Pierde el reconocimiento de marca, la gestión de respuestas se vuelve complicada y ya no tiene protección DMARC sobre su propio dominio.

La forma correcta es casi siempre:

  • Seguir enviando como @company-domain.example
  • Dejar que DKIM firme con d=company-domain.example
  • Opcionalmente corregir la alineación SPF mediante un subdominio MAIL FROM personalizado

Cómo DMARCFlow le ayuda a desenredar WorkMail y SPF

Cuando observa por primera vez los informes DMARC en XML sin procesar, las líneas de "SPF fail" son fáciles de malinterpretar. ¿El registro está mal? ¿La IP está bloqueada? ¿O es simplemente un matiz de alineación?

DMARCFlow le ayuda de tres formas concretas:

  • Vistas separadas para comprobaciones SPF frente a alineación SPF — para que vea de inmediato si un fallo está relacionado con DNS o es un efecto secundario de la alineación.
  • Explicaciones adaptadas al proveedor para Amazon WorkMail, SES y otras plataformas que usan dominios de envío compartidos.
  • Recomendaciones prácticas para DMARC, SPF y DKIM, incluida la orientación sobre MAIL FROM personalizado si realmente tiene sentido para su caso.

Reflexiones finales

Si utiliza Amazon WorkMail y ve fallos de SPF en sus informes DMARC, no es el único. En la mayoría de los casos, su registro SPF está bien — lo que falla es la alineación con su dominio From.

Puede optar cómodamente por la alineación solo con DKIM, o dar un paso más y configurar un dominio MAIL FROM personalizado para que SPF también quede alineado. La clave es comprender lo que los informes le dicen realmente, en lugar de probar cambios de SPF al azar.

Si quiere saltarse las suposiciones, pase su dominio por DMARCFlow y deje que decodifiquemos los informes por usted.

¿No está seguro de si su SPF realmente falla?
Realice un análisis gratuito de DMARC/SPF/DKIM y compare las comprobaciones brutas con la alineación.
Análisis gratuito