En los primeros meses de 2024, Microsoft y Google anunciaron cambios significativos en sus políticas de seguridad de correo electrónico, endureciendo los requisitos de autenticación para proteger a los usuarios contra el spam, phishing y suplantación de identidad (spoofing).
A partir de febrero de 2024, estas plataformas comenzaron a bloquear o marcar como spam los correos que no cumplan con configuraciones adecuadas de SPF, DKIM y DMARC, afectando especialmente a los remitentes de alto volumen.
En esta entrada te explicamos a fondo:
- Qué son DKIM y DMARC.
- Qué cambios han introducido Google y Microsoft.
- A quiénes afectan estas nuevas políticas.
- Cómo adaptar tu infraestructura para cumplir con los nuevos requisitos.
1. Antecedentes: El Auge del Phishing y la Necesidad de Autenticación
Durante la última década, los ataques por correo electrónico se han vuelto más sofisticados. Los actores maliciosos falsifican dominios legítimos para engañar a usuarios, infectar sistemas o robar credenciales. Esto ha impulsado la adopción de estándares de autenticación de correo como:
- SPF (Sender Policy Framework) – Define qué servidores están autorizados a enviar correos en nombre de un dominio.
- DKIM (DomainKeys Identified Mail) – Firma criptográficamente los mensajes para verificar que no han sido alterados y que provienen del dominio legítimo.
- DMARC (Domain-based Message Authentication, Reporting, and Conformance) – Indica a los servidores receptores cómo manejar los mensajes que no pasen SPF o DKIM, y proporciona reportes de cumplimiento.
Hasta ahora, muchas empresas no implementaban estos mecanismos de forma completa o correcta. Esto está cambiando.
2. Nuevas Políticas de Google y Microsoft: DKIM y DMARC Obligatorios
Google (Gmail) – A partir del 1 de febrero de 2024
Google ha impuesto los siguientes requisitos a todos los remitentes que envíen más de 5,000 correos al día a direcciones de Gmail:
- SPF y DKIM deben estar configurados correctamente para el dominio remitente.
- DMARC debe estar presente con al menos una política de
p=none(aunque se recomiendaquarantineoreject). - Los mensajes deben usar un dominio alineado (alignment) en SPF y DKIM con el dominio visible en el «From:» del mensaje.
- Los correos deben tener un encabezado List-Unsubscribe válido en caso de tratarse de newsletters o correos comerciales.
- Se recomienda usar el formato
ARC(Authenticated Received Chain) si se retransmiten correos por sistemas intermedios.
📌 Documentación oficial de Google
Microsoft (Outlook/Exchange Online) – Políticas progresivas
Microsoft, aunque no ha fijado una fecha única y dura como Google, ha adoptado medidas similares y ha comenzado a:
- Rechazar o filtrar más agresivamente correos sin DKIM y DMARC válidos, especialmente si provienen de dominios mal configurados o nuevos.
- Incentivar el uso de autenticación reforzada mediante Microsoft Defender for Office 365.
- Aplicar reglas de filtrado más estrictas a remitentes de alto volumen y sistemas de envío masivo (p. ej., CRMs, ERPs, plataformas de marketing).
📌 Microsoft Email Authentication Documentation
3. ¿Qué Significan DKIM y DMARC en la Práctica?
✅ DKIM (DomainKeys Identified Mail)
- Utiliza criptografía asimétrica.
- El servidor de envío firma el contenido del correo con una clave privada.
- El receptor consulta el DNS del dominio remitente y obtiene la clave pública (registro TXT en
selector._domainkey.tudominio.com) para verificar la firma.
Ejemplo de registro DKIM DNS:
selector1._domainkey IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3..."
✅ DMARC (Domain-based Message Authentication, Reporting, and Conformance)
- Se configura como un registro DNS TXT en
_dmarc.tudominio.com. - Especifica la política de tratamiento (
none,quarantine,reject) y direcciones para enviar reportes.
Ejemplo de registro DMARC:
_dmarc IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; sp=reject; adkim=s; aspf=s"
4. ¿A Quiénes Afectan Estas Políticas?
Estas políticas afectan a:
- Empresas que envían newsletters, notificaciones automáticas, facturas o campañas de marketing.
- Desarrolladores de aplicaciones SaaS que envían emails transaccionales desde sus dominios.
- Organizaciones con dominios personalizados que utilizan proveedores externos como SendGrid, Mailgun, Amazon SES, etc.
Incluso si envías pocos correos, los proveedores están aplicando estas políticas de forma más estricta cada día, por lo que es crítico alinear tu configuración de autenticación de correo.
5. Consecuencias de No Cumplir
- Correos entregados en carpeta de spam o promociones.
- Correos bloqueados completamente (sin aviso).
- Daño a la reputación del dominio.
- Problemas con entregabilidad de correos importantes como facturas, links de recuperación de contraseña o alertas del sistema.
- Bloqueos temporales de IP o dominio remitente.
6. ¿Cómo Cumplir? Checklist Técnica para Administradores
🔧 1. Verifica SPF:
- Asegúrate de tener un registro
v=spf1en tu dominio. - Incluye todos los servicios que envían correos por ti (
include:sendgrid.net,include:_spf.google.com, etc.).
🔧 2. Configura DKIM:
- Genera un par de claves (puedes usar herramientas de tu proveedor).
- Publica la clave pública como un registro TXT en DNS.
- Firma los mensajes desde tu servidor SMTP o proveedor.
🔧 3. Implementa DMARC:
- Comienza con
p=nonepara monitorear. - Luego pasa a
p=quarantineop=rejectcuando estés seguro de tu configuración. - Usa herramientas como DMARCian, Postmark, o Agari para analizar reportes
rua.
🔧 4. Prueba y monitorea:
- Usa herramientas como:
7. Conclusión: Un Nuevo Estándar de Seguridad en Email Corporativo
La era del correo electrónico sin autenticar está llegando a su fin. Microsoft y Google han dado un paso importante para reforzar la seguridad global del ecosistema email. Las organizaciones que no adapten su infraestructura corren el riesgo de quedar fuera del canal de comunicación más importante del mundo digital.
Implementar correctamente SPF, DKIM y DMARC no es solo una cuestión técnica, sino estratégica. Protege tu marca, mejora tu entregabilidad y evita que otros hablen en nombre de tu dominio.
