Dos síntomas, una misma raíz. Síntoma uno: tu correo legítimo llega a la carpeta de spam de tus clientes. Síntoma dos, peor: alguien envía correos haciéndose pasar por tu dominio para estafar en tu nombre. Detrás de ambos suele estar lo mismo —SPF, DKIM y DMARC ausentes o mal configurados—, tres registros DNS invisibles que, juntos, deciden si tu correo llega y si pueden suplantarte.
Qué hace cada uno (por dentro)
- SPF (Sender Policy Framework): un registro TXT en tu DNS que lista qué servidores tienen permiso de enviar correo en nombre de tu dominio. El servidor que recibe consulta ese registro y comprueba: "¿el servidor que me manda este correo está en la lista autorizada?".
- DKIM (DomainKeys Identified Mail): usa un par de llaves criptográficas. Tu servidor firma cada mensaje saliente con una llave privada; la pública vive en tu DNS (bajo un "selector"). El receptor verifica la firma y confirma dos cosas: que el correo salió de ti y que nadie lo alteró en el camino.
- DMARC (Domain-based Message Authentication): se apoya en los dos anteriores y añade lo que faltaba —una política y alineación—. Le dice al receptor qué hacer con el correo que no pasa las verificaciones, y exige que el dominio que el usuario ve coincida con el verificado por SPF/DKIM.
La pieza que casi nadie entiende: la alineación
¿Por qué no basta con SPF? Porque SPF valida el dominio "técnico" del sobre (el return-path), que el usuario nunca ve, no el dominio del "De:" que sí ve. Un estafador puede pasar SPF con su dominio y aun así poner tu nombre en el "De:". DMARC cierra ese hueco con la alineación: exige que el dominio visible coincida con el autenticado. Esa es la razón por la que DMARC es lo que de verdad frena la suplantación, y SPF/DKIM por sí solos no.
Cómo se despliega bien (sin bloquear tu propio correo)
Activar DMARC en modo estricto de golpe puede tumbar correo legítimo —por ejemplo, el que sale de sistemas que olvidaste incluir—. El despliegue correcto es gradual:
- Publica SPF y DKIM correctamente para todas tus fuentes de envío (M365, tu ERP, tu plataforma de facturación, tu herramienta de marketing).
- DMARC en
p=none: no bloquea nada, pero te envía reportes (rua) de quién envía en tu nombre y qué pasa/falla. Es tu radar. - Analiza los reportes unas semanas: descubres fuentes legítimas que faltaba autenticar —y también los intentos de suplantación—.
- Endurece por fases: pasa a
p=quarantine(a spam) y finalmente ap=reject(rechazo), ya sin miedo a bloquear lo bueno.
Los errores clásicos
- Dos registros SPF: tener más de un registro SPF invalida ambos. Debe ser uno solo, consolidado.
- El límite de 10 consultas de SPF: SPF permite un máximo de 10 búsquedas DNS; encadenar muchos servicios lo excede y rompe la validación. Hay que administrarlo.
- Reenvío que rompe SPF: cuando un correo se reenvía, el servidor intermedio puede romper SPF —otra razón para apoyarse en DKIM y DMARC, no solo en SPF—.
- Olvidar una fuente de envío: el sistema de facturación o el CRM que manda correos y nadie incluyó, y que empieza a caer en spam al endurecer.
Por qué ya no son opcionales
Además de tu entregabilidad y tu marca, los grandes proveedores de correo endurecieron sus requisitos: enviar volumen sin estos registros bien puestos es una vía rápida al spam. Es higiene básica, tanto en Microsoft 365 como en cualquier hosting de correo. Migrar el correo sin ajustarlos es la receta del correo perdido.
La pregunta que conviene hacerse
La pregunta no es "¿me llega el correo a mí?", sino ¿tengo SPF, DKIM y DMARC bien configurados y alineados —con DMARC al menos en modo reporte para ver quién usa mi dominio— o mi correo cae en spam y cualquiera puede suplantarme? Verificarlo, leer los reportes y endurecerlo por fases es parte de nuestra administración de Microsoft 365.