Email

Seguridad del correo electrónico corporativo: SPF, DKIM y DMARC explicados

Javier

Javier

1 min read
Correo electrónico corporativo seguro

Cualquiera puede enviar un correo que parezca venir de tu dominio. SPF, DKIM y DMARC son los tres registros DNS que lo impiden — y que Google y Microsoft ya exigen para no marcar tus correos como spam.

SPF: quién puede enviar en tu nombre

SPF (Sender Policy Framework) es un registro TXT en tu DNS que lista los servidores autorizados a enviar correo desde tu dominio. Si un atacante intenta enviar desde otro servidor, el registro SPF lo delata.

Ejemplo: v=spf1 include:_spf.google.com ~all

DKIM: firma digital en cada correo

DKIM añade una firma criptográfica a cada correo que sale. El receptor puede verificar que el mensaje no fue alterado en tránsito y que realmente salió de un servidor autorizado.

DMARC: qué hacer cuando fallan SPF o DKIM

DMARC es la política que le dice al servidor receptor qué hacer con los correos que no superan SPF o DKIM: ignorarlos, ponerlos en cuarentena o rechazarlos. También genera informes sobre intentos de suplantación.

Política recomendada una vez verificado el funcionamiento: v=DMARC1; p=reject; rua=mailto:[email protected]

¿Por dónde empezar?

  1. Configura SPF para todos tus dominios, incluidos los que no envían correo (v=spf1 -all).
  2. Activa DKIM en tu proveedor de correo (Google Workspace, Microsoft 365, Resend...).
  3. Empieza DMARC en modo monitor (p=none), analiza los informes durante 2-4 semanas y luego pasa a p=reject.

Estos tres registros no son opcionales en 2025: son el mínimo para que tu correo llegue a la bandeja de entrada y para que nadie suplante tu dominio.

SPF, DKIM y DMARC reducen el spoofing. Blindara monitoriza los patrones de uso del correo corporativo — accesos anómalos, reglas de reenvío creadas, volúmenes inusuales — para detectar cuentas comprometidas.

Read more