Para evitar que suplanten el correo de tu empresa necesitas configurar tres protocolos en el dominio: SPF, DKIM y DMARC. Funcionan como un control de identidad en la puerta de entrada del correo: SPF dice qué servidores tienen permiso para enviar en tu nombre, DKIM firma cada mensaje para demostrar que no lo han manipulado y DMARC comprueba ambos y decide qué hacer con el correo que no pasa el filtro. Con los tres bien puestos, cuando un estafador intente enviar un mensaje haciéndose pasar por tu empresa, el servidor del destinatario lo detecta y lo rechaza o lo aparta antes de que llegue a la bandeja de entrada.
Es una de las medidas de seguridad con mejor relación esfuerzo-resultado que existen: no requiere comprar nada, se configura en el DNS de tu dominio y protege tu reputación, la de tus clientes y la de tus proveedores. Vamos a ver qué es cada uno, cómo frenan la suplantación (el llamado spoofing) y, sobre todo, cómo implantarlos por fases sin bloquear correo legítimo por el camino.
Qué es el spoofing y por qué te afecta
El spoofing de correo consiste en falsificar el remitente de un email para que parezca que lo envía una persona o empresa de confianza. El protocolo original del correo electrónico se diseñó hace décadas sin ningún mecanismo para verificar quién envía de verdad un mensaje: por defecto, cualquiera puede escribir en el campo «De:» la dirección que quiera. Ahí está el problema.
Los ataques más habituales que aprovechan esta debilidad son el phishing (correos que imitan a tu empresa para engañar a clientes) y el fraude del CEO o BEC, en el que alguien se hace pasar por un directivo para pedir una transferencia urgente o un cambio de número de cuenta. En ambos casos, el daño no es solo económico: si tu dominio se usa para estafar, tu reputación como remitente cae y tus correos legítimos empiezan a acabar en la carpeta de spam.
SPF: quién puede enviar en tu nombre
SPF (Sender Policy Framework) es una lista pública de los servidores autorizados a enviar correo desde tu dominio. Se publica como un registro TXT en el DNS y, cuando llega un mensaje, el servidor del destinatario consulta esa lista: si el correo viene de una dirección que está en ella, pasa la comprobación; si viene de un servidor desconocido, salta la alarma.
Es como el listado de repartidores autorizados de una empresa: si aparece alguien con un uniforme que no está en la lista, desconfías. SPF por sí solo tiene un punto débil: valida el servidor de envío, pero no protege el contenido del mensaje ni cubre bien los casos en que el correo se reenvía. Por eso no basta con SPF; necesita apoyarse en DKIM y DMARC.
DKIM: una firma que prueba que el mensaje es auténtico
DKIM (DomainKeys Identified Mail) añade a cada correo una firma digital cifrada. Tu servidor firma los mensajes con una clave privada que solo tú conoces, y el destinatario verifica esa firma con la clave pública que has publicado en tu DNS. Si la firma cuadra, dos cosas quedan demostradas: que el mensaje salió realmente de tu dominio y que nadie lo ha alterado en el trayecto.
Siguiendo el símil, si SPF es la lista de repartidores autorizados, DKIM es el sello lacrado del paquete: aunque alguien interceptara el envío, no podría abrirlo y volver a cerrarlo sin que se note. DKIM resiste mejor los reenvíos que SPF, pero tampoco le dice al destinatario qué hacer cuando algo falla. Esa decisión la toma el tercer protocolo.
La clave está en combinarlos: SPF y DKIM aportan las pruebas (quién envía y que el mensaje es íntegro), pero es DMARC quien fija la política y ordena al servidor receptor qué hacer con el correo sospechoso. Los tres juntos son los que de verdad cierran la puerta a la suplantación.
DMARC: la política que decide y te informa
DMARC (Domain-based Message Authentication, Reporting and Conformance) es el que une SPF y DKIM y añade dos cosas decisivas. La primera, una política: le dice al servidor del destinatario qué hacer con los mensajes que no superan las comprobaciones. La segunda, los informes: te envía reportes periódicos sobre quién está enviando correo con tu dominio, incluidos los intentos de suplantación. Esa visibilidad es oro para saber qué está pasando con tu correo antes de endurecer nada.
DMARC también comprueba la alineación: que el dominio que aparece en el «De:» visible coincida con el dominio validado por SPF o DKIM. Así se cierra el hueco por el que un atacante podría pasar las comprobaciones técnicas mostrando, aun así, tu marca en el remitente.
Las tres políticas de DMARC
La política se define con el parámetro p= y admite tres valores, pensados precisamente para ir avanzando de forma progresiva:
- p=none (monitorización): no bloquea nada. El correo que falla las comprobaciones se entrega igual, pero tú recibes los informes. Es el punto de partida para observar tu tráfico real sin arriesgarte a perder mensajes legítimos.
- p=quarantine (cuarentena): el correo que no pasa las comprobaciones se aparta, normalmente a la carpeta de spam. Un paso intermedio: ya proteges, pero das margen por si algo legítimo se te ha escapado.
- p=reject (rechazo): el correo que falla se rechaza directamente y no llega al destinatario. Es el nivel máximo de protección y el objetivo final, pero solo debe activarse cuando ya tienes la certeza de que todo tu correo legítimo pasa correctamente.
El error más común es querer llegar a reject el primer día. Sin haber observado antes el tráfico, es fácil bloquear la herramienta de facturación, el boletín de marketing o el CRM que envían en tu nombre. Por eso la implantación se hace por fases.
Cómo se implanta, paso a paso
Una puesta en marcha ordenada evita sustos y se apoya en la información que te dan los propios informes de DMARC. A grandes rasgos, el recorrido es este:
- 1. Inventario de remitentes: antes de tocar nada, identifica todos los servicios que envían correo con tu dominio: tu plataforma de correo, el ERP, la herramienta de facturación, el CRM, el software de newsletters, formularios de la web… Cada uno tendrá que quedar autorizado.
- 2. Configurar SPF y DKIM: publica el registro SPF con todos los servidores legítimos y activa la firma DKIM en cada plataforma que lo permita. Este es el cimiento sobre el que se apoya DMARC.
- 3. Arrancar DMARC en p=none: publica la política en modo monitorización y empieza a recibir informes. Durante unas semanas verás qué envía correctamente, qué falla y si hay intentos de suplantación.
- 4. Corregir y endurecer a quarantine: ajusta lo que aparezca mal en los informes (un servicio que faltaba por autorizar, una firma mal configurada) y, cuando el correo legítimo pase limpio, sube a
quarantine. - 5. Llegar a reject: con el tráfico ya controlado y estable, pasa a
rejectpara el nivel máximo de protección. A partir de ahí, sigue revisando los informes de forma periódica, porque los servicios que envían en tu nombre cambian con el tiempo.
Los cambios técnicos en el DNS son rápidos; lo que marca el calendario es la fase de observación. Conviene no tener prisa: es preferible dedicar unas semanas a mirar los informes que apagar sin querer un canal de correo que tu negocio necesita.
Un trabajo que conviene hacer bien acompañado
SPF, DKIM y DMARC no son magia ni resuelven toda la seguridad del correo por sí solos. Evitan que alguien se haga pasar exactamente por tu dominio, pero no frenan los mensajes desde dominios parecidos, las cuentas legítimas comprometidas ni los enlaces maliciosos. Son una capa fundamental que debe convivir con formación del equipo, filtrado avanzado y buenas prácticas. La parte delicada, además, está en los detalles: un SPF mal construido o un salto precipitado a reject pueden dejarte sin recibir facturas o pedidos, así que merece la pena revisar la configuración con criterio.
Si utilizas Microsoft 365, la plataforma admite y recomienda estos protocolos, pero no vienen activados con la política adecuada por defecto: hay que revisarlos y ajustarlos a tu caso. En 3L Systems te ayudamos a configurar SPF, DKIM y DMARC correctamente y a integrarlos dentro de una estrategia de protección más amplia. De hecho, revisar la autenticación del correo es uno de los puntos que analizamos en nuestras auditorías de seguridad, junto con el resto de vías por las que una empresa puede estar expuesta.
Si el correo es una pieza crítica en tu operativa —y hoy lo es en casi todas las empresas—, dedicar un rato a cerrar esta puerta es una de las inversiones de seguridad más sensatas que puedes hacer.
Preguntas frecuentes
¿Necesito los tres (SPF, DKIM y DMARC) o basta con uno?
Los tres se complementan y lo recomendable es tenerlos juntos. SPF autoriza qué servidores pueden enviar en nombre de tu dominio, DKIM firma el mensaje para probar que no se ha alterado y DMARC une ambos y decide qué hacer con el correo que no supera las comprobaciones. Con solo uno, la protección queda incompleta: DMARC es el que realmente cierra el círculo frente a la suplantación.
¿SPF, DKIM y DMARC frenan todo el phishing?
No. Estos protocolos evitan que alguien envíe correo haciéndose pasar exactamente por tu dominio, que es una parte importante del fraude. Pero no detienen los mensajes enviados desde dominios parecidos, cuentas legítimas comprometidas o enlaces maliciosos. Son una capa esencial que conviene combinar con formación, filtrado avanzado y buenas prácticas de seguridad.
¿Puedo poner la política DMARC en reject directamente?
No es lo aconsejable. Empezar en p=reject sin haber observado antes tu tráfico real puede bloquear correo legítimo (facturación, boletines, herramientas externas que envían en tu nombre). Lo prudente es ir por fases: arrancar en p=none para recibir informes, corregir lo que falle, pasar a quarantine y solo entonces llegar a reject.
¿Sirve esto si uso Microsoft 365 o Google Workspace?
Sí. Tanto Microsoft 365 como Google Workspace admiten y recomiendan configurar SPF, DKIM y DMARC en tu dominio. Contratar la plataforma no implica que la protección esté activada por defecto con la política adecuada: hay que revisar los registros DNS y ajustar la configuración a tu caso concreto.
¿Cuánto tarda en implantarse?
Los cambios técnicos en el DNS son rápidos y se propagan en horas. Lo que lleva tiempo es la fase de observación con DMARC en p=none: suelen recomendarse varias semanas para identificar todos los servicios que envían en tu nombre antes de endurecer la política. El calendario exacto depende de cuántas herramientas usen tu dominio para enviar correo.
