IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Cloud Operations

Correo que sí llega: SPF, DKIM y DMARC bien configurados

09/07/2026 4 min de lectura Rubén Espinoza

Dos síntomas, una misma raíz. Síntoma uno: tu correo legítimo llega a la carpeta de spam de tus clientes. Síntoma dos, peor: alguien envía correos haciéndose pasar por tu dominio para estafar en tu nombre. Detrás de ambos suele estar lo mismo —SPF, DKIM y DMARC ausentes o mal configurados—, tres registros DNS invisibles que, juntos, deciden si tu correo llega y si pueden suplantarte.

Qué hace cada uno (por dentro)

  • SPF (Sender Policy Framework): un registro TXT en tu DNS que lista qué servidores tienen permiso de enviar correo en nombre de tu dominio. El servidor que recibe consulta ese registro y comprueba: "¿el servidor que me manda este correo está en la lista autorizada?".
  • DKIM (DomainKeys Identified Mail): usa un par de llaves criptográficas. Tu servidor firma cada mensaje saliente con una llave privada; la pública vive en tu DNS (bajo un "selector"). El receptor verifica la firma y confirma dos cosas: que el correo salió de ti y que nadie lo alteró en el camino.
  • DMARC (Domain-based Message Authentication): se apoya en los dos anteriores y añade lo que faltaba —una política y alineación—. Le dice al receptor qué hacer con el correo que no pasa las verificaciones, y exige que el dominio que el usuario ve coincida con el verificado por SPF/DKIM.

La pieza que casi nadie entiende: la alineación

¿Por qué no basta con SPF? Porque SPF valida el dominio "técnico" del sobre (el return-path), que el usuario nunca ve, no el dominio del "De:" que sí ve. Un estafador puede pasar SPF con su dominio y aun así poner tu nombre en el "De:". DMARC cierra ese hueco con la alineación: exige que el dominio visible coincida con el autenticado. Esa es la razón por la que DMARC es lo que de verdad frena la suplantación, y SPF/DKIM por sí solos no.

Cómo se despliega bien (sin bloquear tu propio correo)

Activar DMARC en modo estricto de golpe puede tumbar correo legítimo —por ejemplo, el que sale de sistemas que olvidaste incluir—. El despliegue correcto es gradual:

  1. Publica SPF y DKIM correctamente para todas tus fuentes de envío (M365, tu ERP, tu plataforma de facturación, tu herramienta de marketing).
  2. DMARC en p=none: no bloquea nada, pero te envía reportes (rua) de quién envía en tu nombre y qué pasa/falla. Es tu radar.
  3. Analiza los reportes unas semanas: descubres fuentes legítimas que faltaba autenticar —y también los intentos de suplantación—.
  4. Endurece por fases: pasa a p=quarantine (a spam) y finalmente a p=reject (rechazo), ya sin miedo a bloquear lo bueno.

Los errores clásicos

  • Dos registros SPF: tener más de un registro SPF invalida ambos. Debe ser uno solo, consolidado.
  • El límite de 10 consultas de SPF: SPF permite un máximo de 10 búsquedas DNS; encadenar muchos servicios lo excede y rompe la validación. Hay que administrarlo.
  • Reenvío que rompe SPF: cuando un correo se reenvía, el servidor intermedio puede romper SPF —otra razón para apoyarse en DKIM y DMARC, no solo en SPF—.
  • Olvidar una fuente de envío: el sistema de facturación o el CRM que manda correos y nadie incluyó, y que empieza a caer en spam al endurecer.

Por qué ya no son opcionales

Además de tu entregabilidad y tu marca, los grandes proveedores de correo endurecieron sus requisitos: enviar volumen sin estos registros bien puestos es una vía rápida al spam. Es higiene básica, tanto en Microsoft 365 como en cualquier hosting de correo. Migrar el correo sin ajustarlos es la receta del correo perdido.

La pregunta que conviene hacerse

La pregunta no es "¿me llega el correo a mí?", sino ¿tengo SPF, DKIM y DMARC bien configurados y alineados —con DMARC al menos en modo reporte para ver quién usa mi dominio— o mi correo cae en spam y cualquiera puede suplantarme? Verificarlo, leer los reportes y endurecerlo por fases es parte de nuestra administración de Microsoft 365.

#spf #dkim #dmarc #correo #microsoft 365 #entregabilidad

Preguntas frecuentes

¿Qué son SPF, DKIM y DMARC y cómo funcionan?

Son tres registros DNS que autentican tu correo. SPF lista los servidores autorizados a enviar por tu dominio; DKIM firma cada mensaje con una llave criptográfica para probar que salió de ti y no fue alterado; DMARC define una política sobre qué hacer con el correo que no pasa esas verificaciones y exige alineación entre el dominio visible y el autenticado. Juntos protegen tu entregabilidad y tu identidad.

¿Por qué no basta con SPF para evitar la suplantación?

Porque SPF valida el dominio técnico del sobre (que el usuario no ve), no el dominio del campo "De:" que sí ve. Un estafador puede pasar SPF con su propio dominio y aun así mostrar tu nombre en el "De:". DMARC cierra ese hueco con la alineación, exigiendo que el dominio visible coincida con el autenticado; por eso es DMARC, no SPF solo, lo que frena el spoofing.

¿Cómo activo DMARC sin bloquear mi correo legítimo?

De forma gradual: primero publica SPF y DKIM para todas tus fuentes de envío, luego pon DMARC en p=none (no bloquea, solo envía reportes de quién envía en tu nombre), analiza esos reportes unas semanas para detectar fuentes legítimas que faltaba autenticar, y solo entonces endurece a p=quarantine y finalmente p=reject.

¿Cuáles son los errores más comunes con estos registros?

Tener dos registros SPF (lo que invalida ambos), exceder el límite de 10 consultas DNS de SPF al encadenar muchos servicios, olvidar autenticar una fuente de envío (como el CRM o el sistema de facturación) que luego cae en spam, y confiar solo en SPF cuando el reenvío puede romperlo. Por eso importa apoyarse también en DKIM y DMARC.

Los nombres y logotipos de marcas mencionados en este artículo son propiedad de sus respectivos titulares. Su mención tiene fines informativos y no implica patrocinio ni afiliación más allá de las relaciones de partner que IT Experts de México declara explícitamente.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Cloud Operations

Etiquetado y gobierno de costos: saber qué área gasta qué en la nube
La factura de nube que se disparó: cómo hacemos el análisis forense de costos
Instancias reservadas y savings plans: cuándo comprometerse y cuándo no