Guía de configuración de protocolos de correo electrónico de Red Sift
Obtén más información sobre SPF
Ya tengo SPF, ¿necesito DMARC para proteger mi dominio? ¿Qué hace DMARC que no haga SPF?
Sí. A partir de 2026, DMARC es obligatorio para los remitentes de correo masivo según los principales proveedores de bandeja de entrada y es esencial para una protección completa del dominio.
Qué hace SPF
- SPF autoriza las direcciones IPv4/IPv6 de envío.
- SPF protege el encabezado del correo electrónico que no es visible para el usuario final (conocido como
Return-Path,MAIL FROM, "Envelope From" o dirección de rebotado). Si este encabezado falta, la comprobación SPF se realizará sobre la direcciónEHLO/HELO.
Lo que SPF no hace
- SPF no exige que haya ninguna alineación entre el dominio
Fromy la direcciónReturn-Pathmencionada anteriormente que comprueba, lo que significa que ambos no tienen que coincidir desde la perspectiva de SPF. - SPF no proporciona ninguna funcionalidad de reporte, lo que significa que el receptor del correo no enviará ningún informe al remitente con los resultados de la autenticación del correo.
- SPF no sobrevive al reenvío automático ni a los flujos de correo indirectos.
Estas limitaciones llevaron a la introducción de DMARC para indicar explícitamente a los receptores qué hacer y proporcionar informes de autenticación. Estos informes permiten al remitente tomar las acciones necesarias para corregir los flujos de correo legítimos. Para 2026, DMARC se ha convertido en el estándar de autenticación de correo electrónico, requerido por Google, Yahoo y Microsoft para remitentes masivos.
DMARC se basa en SPF como uno de sus pilares, pero además agrega características adicionales ya que:
- Se centra en el encabezado
From, que es visible para el usuario final ("Header From"). - Exige que el dominio utilizado por SPF se alinee (ya sea coincidencia exacta o subdominio) con el dominio encontrado en la dirección visible
Fromdel correo. - Ignora las diferencias entre soft fail y hard failen tu configuración SPF, es decir,
~ally-allse tratan por igual como un fallo SPF. - Proporciona una funcionalidad de reporte para enviar los resultados de autenticación al propietario del
Frompara saber si su dominio está siendo mal utilizado. También ayuda en la resolución de problemas de entregabilidad, ya que los reportes facilitan detectar cualquier error de configuración en tus remitentes legítimos. - Proporciona una política que indica a los receptores qué hacer con un correo que no pase la autenticación. Esta política es aplicada por los receptores. No hay aplicación de políticas cuando solo se utiliza SPF sin DMARC.
Ahora, los principales proveedores de bandeja de entrada usan señales visuales en sus clientes de correo para mostrar si un correo está autenticado. Por ejemplo, Gmail muestra un signo de interrogación (?) para correos no autenticados — observa el ejemplo a continuación. Este indicador visual se ha convertido en estándar entre los proveedores de bandeja de entrada en 2026.
Haz una revisión SPF gratuita con Red Sift, sin registro.
¿Qué es una declaración include en SPF?
Un include es un mecanismo SPF que señala a un dominio que debe ser consultado al verificar si la IP de envío está permitida o no. Si la IP de envío forma parte del include, entonces es una coincidencia y SPF aprueba el correo.
Por ejemplo, si tienes include:_spf.google.com como parte de tu registro SPF y la IP de origen de un correo es una IP de Google, el resultado será una coincidencia, ya que has autorizado a Google a enviar en tu nombre y la IP de envío se encuentra dentro del mecanismo include.
¿Qué son los macros en SPF?
Un macro en SPF se refiere a un mecanismo que se utiliza en los registros SPF para definir conjuntos reutilizables de direcciones IP. Los macros en SPF aumentan la flexibilidad y el mantenimiento de los registros SPF permitiendo definir conjuntos complejos de direcciones IP en un solo mecanismo, que luego se puede referenciar en múltiples registros SPF. Esto facilita la gestión de grandes conjuntos de servidores de envío autorizados sin duplicar la misma información varias veces.
Por ejemplo, en vez de listar direcciones IP individuales para cada servidor autorizado en tu registro SPF, puedes definir un macro así:
@spf.salesforce.com IN TXT "v=spf1 exists:%{i}.spf.mta.salesforce.com -all"
En este ejemplo, el macro es el mecanismo %{i}, que corresponde al IP del remitente. Esto significa que el dominio sería algo como 233.124.65.65._spf.mta.salesforce.com.
Gestionar SPF de esta manera te permite manejar una amplia lista de IPs sin alcanzar el límite de búsquedas SPF y además oculta las direcciones IP que apruebas para consultas públicas.
El problema con los macros en SPF
El riesgo con los macros en SPF es que la mayoría de las infraestructuras de correo electrónico heredadas no los soportan, lo que puede causar graves problemas de entrega. Sabemos gracias a estudios técnicos y nuestra propia experiencia que solo un 75% de los servidores SMTP procesan los macros correctamente. Por eso, en 2026 las organizaciones adoptan cada vez más la gestión dinámica de SPF en lugar de depender de macros o aplanamiento manual.
Si un servidor de correo electrónico no soporta macros en SPF, el comportamiento puede variar de la siguiente manera:
No expansión
Si el servidor de correo receptor no soporta macros en SPF, no expandirá ni procesará ningún macro referenciado en el registro SPF. En su lugar, tratará la referencia del macro como una cadena literal. Esto significa que el registro SPF pierde su funcionalidad prevista, lo que puede llevar a comprobaciones SPF incompletas o inexactas. Aunque los macros no se suelan usar en registros SPF de producción, el comportamiento de no expansión se observa en servidores como iCloud.
Posibles fallos de SPF
Dependiendo de cómo esté estructurado el registro SPF con macros, la falta de expansión puede resultar en fallos SPF o resultados 'Neutral' (denotados con el mecanismo ?all). En cualquier caso, es posible que no se logre el efecto deseado de autorizar correctamente a los servidores legítimos de envío.
Impacto en la entregabilidad
Si los macros SPF desempeñan un papel crítico en la autorización de servidores legítimos, es posible que los correos fallen más fácilmente las comprobaciones SPF o sean marcados como sospechosos por los receptores que dependen de SPF para la autenticación.
Preguntas frecuentes: Guía de configuración de protocolos de correo electrónico
En la era anterior a DMARC, los registros SPF solían usar el mecanismo "-all" para aplicar estrictamente las políticas del remitente. Sin embargo, la orientación actual de la industria en 2026 prefiere "~all" para equilibrar seguridad y entregabilidad, evitando el rechazo innecesario de correos válidos que podrían fallar SPF pero pasar DKIM y DMARC.
Esto se debe a que "~all" cuando se implementa junto con DMARC (en p=reject) sigue rechazando el correo no autenticado si SPF y DKIM fallan, pero no bloquea el correo legítimo, mejorando así la entregabilidad general del correo electrónico.
La especificación de DMARC (RFC 7489) indica que un prefijo "-" en el mecanismo SPF del remitente, como "-all", puede provocar que el rechazo se efectúe temprano durante el procesamiento, causando el rechazo del mensaje antes de cualquier evaluación DMARC. Utilice "-all" solo para dominios inactivos que no envían correos (dominios que no envían ningún correo en absoluto). DMARC ignora los matices entre soft fail y hard fail en la configuración de SPF, tratándolos a ambos como fallos de SPF.
DMARC no solo requiere que SPF o DKIM PASEN sino que también exige que al menos uno de los dominios utilizados por SPF o DKIM se alinee con el dominio que aparece en el encabezado From. Una correcta alineación es crítica para la entregabilidad de correos en 2026, ya que los principales proveedores de buzones aplican estos requisitos.
En el caso de SPF, la alineación de identificador significa que la verificación de MAIL FROM/Return-PATH debe PASAR y además el dominio en MAIL FROM/Return-PATH debe coincidir con el dominio del From. En alineación estricta, los dominios deben coincidir exactamente, mientras que en la alineación relajada se permiten subdominios siempre que provengan del mismo dominio organizacional.
Por ejemplo, si MAIL-FROM/RETURN-PATH es @ondmarc.com y el encabezado From es @knowledge.ondmarc.com, en alineación estricta no están alineados. Sin embargo, en modo de alineación relajada, DMARC aprobaría.
Un informe agregado de DMARC contiene información sobre el estado de autenticación de los mensajes enviados en nombre de un dominio. Es un informe de retroalimentación en XML diseñado para brindar visibilidad sobre los correos que aprobaron o fallaron SPF y DKIM. El informe ofrece a los propietarios de dominios una visión precisa de qué fuentes envían en su nombre y la disposición de esos correos (la política que aplicó el receptor).
Los destinatarios revisarán la etiqueta 'rua' de tu registro DMARC y enviarán allí los informes. Puedes especificar el intervalo de generación de informes agregados utilizando la etiqueta ri en tu registro DMARC (por defecto, está establecido en 86400 segundos, que equivale a 24 horas). Los informes forenses contienen información más detallada sobre fallos de autenticación individualizados. Se elimina cualquier información personal identificable (PII), pero se incluye información útil para solucionar el fallo DMARC, como detalles del fallo de encabezado SPF y DKIM, la dirección From completa y el Asunto del correo electrónico.
La dirección para recibir informes forenses DMARC se especifica mediante la etiqueta 'ruf' en tu registro DMARC. No todos los sistemas receptores son compatibles con el envío de informes forenses. Red Sift OnDMARC es una de las únicas aplicaciones DMARC del mercado que recibe informes forenses gracias a su alianza con Yahoo.
Una macro SPF se refiere a un mecanismo utilizado en los registros SPF para definir conjuntos reutilizables de direcciones IP. Las macros SPF mejoran la flexibilidad y la capacidad de mantenimiento de los registros SPF al permitir definir conjuntos complejos de direcciones IP en un solo mecanismo, que luego se pueden referenciar en varios registros SPF. Por ejemplo, en lugar de listar cada dirección IP individualmente para cada servidor autorizado, puedes definir una macro como "%{i}" que llama a la IP del remitente del correo. Gestionar SPF de este modo te permite controlar una lista amplia de IPs sin alcanzar el límite de consultas SPF, y además oculta qué IPs apruebas para consultas públicas.
Sin embargo, dependiendo de cómo esté estructurado el registro SPF con macros, la falta de expansión de macros podría resultar en fallos SPF o resultados 'Neutral' (indicados por el mecanismo ?all). Si las macros SPF son cruciales para autorizar servidores legítimos, es más probable que los correos fallen la validación SPF o sean marcados como sospechosos por los receptores que dependen de SPF para la autenticación.
Mail Transfer Agent Strict Transport Security (MTA-STS) es un estándar que permite el cifrado de mensajes enviados entre dos servidores de correo. Especifica a los servidores de envío que los correos solo pueden enviarse a través de una conexión cifrada Transport Layer Security (TLS), lo que impide que los mensajes sean interceptados por ciberdelincuentes.
La adopción de MTA-STS ha crecido significativamente, y las organizaciones en 2026 reconocen la seguridad de la capa de transporte como esencial para proteger el correo electrónico en tránsito. Para que los dominios receptores permitan MTA-STS, deben anunciar su soporte en DNS y publicar un archivo de configuración de política en su sitio web.
La activación de MTA-STS debe hacerse cuidadosamente para evitar el bloqueo de correos. Debe desplegarse primero en modo de prueba, permitiendo que los informes TLS brinden información sobre cualquier error que deba resolverse antes de pasar a la fase final de aplicación. Este enfoque progresivo probablemente se convertirá en práctica estándar en 2026 para las organizaciones que implementen seguridad de transporte.
SMTP TLS Reporting (o TLS-RPT) permite la notificación de problemas de conectividad TLS detectados por los MTAs de envío y está definido en el RFC8460. Al igual que DMARC, TLS-RPT se basa en el envío de informes por correo para notificar a los propietarios del dominio cuando la entrega falla debido a problemas con TLS. Estos informes incluyen políticas MTA-STS detectadas, estadísticas de tráfico, conexiones no exitosas y motivos del fallo.
Con la función MTA-STS de Red Sift OnDMARC, no tienes que preocuparte por una implementación compleja. Simplemente añade los Smart Records de MTA-STS que OnDMARC proporciona a tu DNS y Red Sift se encarga de todo lo demás: alojar el archivo de política MTA-STS, mantener el certificado SSL y señalar cualquier violación de políticas mediante el informe TLS. Las plataformas DMARC modernas en 2026 incluyen cada vez más el alojamiento de MTA-STS como una característica estándar, facilitando el despliegue de la seguridad de transporte.
Publicado bajo el RFC 7671, DANE (DNS-based Authentication of Named Entities) introduce un nuevo estándar para configurar comunicaciones TLS entre un cliente y un servidor, sin depender de Autoridades Certificadoras (CAs) de confianza.
El modelo tradicional de TLS basado en CA permite que cualquier CA emita un certificado para cualquier dominio. DANE opera de forma diferente, apoyándose en la infraestructura DNSSEC (Domain Name System Security Extensions) para vincular un nombre de dominio a un certificado. DANE utiliza el protocolo DNSSEC existente para asegurar que los datos recibidos sean auténticos y no hayan sido manipulados.
DANE también introduce un nuevo tipo de registro DNS llamado TLSA, que señala al cliente que un servidor es compatible con TLS. Se recomienda implementar tanto MTA-STS como DANE. DANE es un requisito para muchos gobiernos, de modo que organismos públicos en la Unión Europea suelen estar obligados a implementarlo.
DANE y MTA-STS solo ayudan si el remitente los soporta, pero muchos remitentes solo soportan uno u otro, así que implementar ambos mejora la seguridad general. En 2026 las organizaciones suelen desplegar primero MTA-STS para una mayor compatibilidad y luego incorporar DANE para mayor seguridad cuando se requiere.
La política de subdominios permite a los administradores de dominio proteger diferentes dominios y subdominios en función del avance en la implementación de DMARC. Por ejemplo, si todos tus servicios de envío de correos en nombre del dominio principal están plenamente configurados con SPF y DKIM, puedes proteger el dominio principal con una política DMARC de p=reject mientras mantienes los subdominios en p=none, y viceversa.
También, si tienes un servicio de envío de correos que no cumple con DMARC (no soporta SPF ni DKIM), puedes decidir asignarle un subdominio y tener una política DMARC diferente para ese subdominio, sin que eso impida proteger tus otros dominios. Esto te permite distribuir el tráfico entre subdominios y proteger cada uno por separado.