Guía Red Sift de configuración de protocolos de correo electrónico
Obtén más información sobre SPF
Ya tengo SPF, ¿necesito DMARC para proteger mi dominio? ¿Qué hace DMARC que no haga SPF?
Sí. A partir de 2026, DMARC es obligatorio para los remitentes de correo masivo según los principales proveedores de bandeja de entrada y es esencial para una protección completa del dominio.
Qué hace SPF
- SPF autoriza las direcciones IPv4/IPv6 de envío.
- SPF protege el encabezado del correo electrónico que no es visible para el usuario final (conocido como
Return-Path,MAIL FROM, "Envelope From" o dirección de rebotado). Si este encabezado falta, la comprobación SPF se realizará sobre la direcciónEHLO/HELO.
Lo que SPF no hace
- SPF no exige que haya ninguna alineación entre el dominio
Fromy la direcciónReturn-Pathmencionada anteriormente que comprueba, lo que significa que ambos no tienen que coincidir desde la perspectiva de SPF. - SPF no proporciona ninguna funcionalidad de reporte, lo que significa que el receptor del correo no enviará ningún informe al remitente con los resultados de la autenticación del correo.
- SPF no sobrevive al reenvío automático ni a los flujos de correo indirectos.
Estas limitaciones llevaron a la introducción de DMARC para indicar explícitamente a los receptores qué hacer y proporcionar informes de autenticación. Estos informes permiten al remitente tomar las acciones necesarias para corregir los flujos de correo legítimos. Para 2026, DMARC se ha convertido en el estándar de autenticación de correo electrónico, requerido por Google, Yahoo y Microsoft para remitentes masivos.
DMARC se basa en SPF como uno de sus pilares, pero además agrega características adicionales ya que:
- Se centra en el encabezado
From, que es visible para el usuario final ("Header From"). - Exige que el dominio utilizado por SPF se alinee (ya sea coincidencia exacta o subdominio) con el dominio encontrado en la dirección visible
Fromdel correo. - Ignora las diferencias entre soft fail y hard failen tu configuración SPF, es decir,
~ally-allse tratan por igual como un fallo SPF. - Proporciona una funcionalidad de reporte para enviar los resultados de autenticación al propietario del
Frompara saber si su dominio está siendo mal utilizado. También ayuda en la resolución de problemas de entregabilidad, ya que los reportes facilitan detectar cualquier error de configuración en tus remitentes legítimos. - Proporciona una política que indica a los receptores qué hacer con un correo que no pase la autenticación. Esta política es aplicada por los receptores. No hay aplicación de políticas cuando solo se utiliza SPF sin DMARC.
Ahora, los principales proveedores de bandeja de entrada usan señales visuales en sus clientes de correo para mostrar si un correo está autenticado. Por ejemplo, Gmail muestra un signo de interrogación (?) para correos no autenticados — observa el ejemplo a continuación. Este indicador visual se ha convertido en estándar entre los proveedores de bandeja de entrada en 2026.
Haz una revisión SPF gratuita con Red Sift, sin registro.
¿Qué es una declaración include en SPF?
Un include es un mecanismo SPF que señala a un dominio que debe ser consultado al verificar si la IP de envío está permitida o no. Si la IP de envío forma parte del include, entonces es una coincidencia y SPF aprueba el correo.
Por ejemplo, si tienes include:_spf.google.com como parte de tu registro SPF y la IP de origen de un correo es una IP de Google, el resultado será una coincidencia, ya que has autorizado a Google a enviar en tu nombre y la IP de envío se encuentra dentro del mecanismo include.
¿Qué son los macros en SPF?
Un macro en SPF se refiere a un mecanismo que se utiliza en los registros SPF para definir conjuntos reutilizables de direcciones IP. Los macros en SPF aumentan la flexibilidad y el mantenimiento de los registros SPF permitiendo definir conjuntos complejos de direcciones IP en un solo mecanismo, que luego se puede referenciar en múltiples registros SPF. Esto facilita la gestión de grandes conjuntos de servidores de envío autorizados sin duplicar la misma información varias veces.
Por ejemplo, en vez de listar direcciones IP individuales para cada servidor autorizado en tu registro SPF, puedes definir un macro así:
@spf.salesforce.com IN TXT "v=spf1 exists:%{i}.spf.mta.salesforce.com -all"
En este ejemplo, el macro es el mecanismo %{i}, que corresponde al IP del remitente. Esto significa que el dominio sería algo como 233.124.65.65._spf.mta.salesforce.com.
Gestionar SPF de esta manera te permite manejar una amplia lista de IPs sin alcanzar el límite de búsquedas SPF y además oculta las direcciones IP que apruebas para consultas públicas.
El problema con los macros en SPF
El riesgo con los macros en SPF es que la mayoría de las infraestructuras de correo electrónico heredadas no los soportan, lo que puede causar graves problemas de entrega. Sabemos gracias a estudios técnicos y nuestra propia experiencia que solo un 75% de los servidores SMTP procesan los macros correctamente. Por eso, en 2026 las organizaciones adoptan cada vez más la gestión dinámica de SPF en lugar de depender de macros o aplanamiento manual.
Si un servidor de correo electrónico no soporta macros en SPF, el comportamiento puede variar de la siguiente manera:
No expansión
Si el servidor de correo receptor no soporta macros en SPF, no expandirá ni procesará ningún macro referenciado en el registro SPF. En su lugar, tratará la referencia del macro como una cadena literal. Esto significa que el registro SPF pierde su funcionalidad prevista, lo que puede llevar a comprobaciones SPF incompletas o inexactas. Aunque los macros no se suelan usar en registros SPF de producción, el comportamiento de no expansión se observa en servidores como iCloud.
Posibles fallos de SPF
Dependiendo de cómo esté estructurado el registro SPF con macros, la falta de expansión puede resultar en fallos SPF o resultados 'Neutral' (denotados con el mecanismo ?all). En cualquier caso, es posible que no se logre el efecto deseado de autorizar correctamente a los servidores legítimos de envío.
Impacto en la entregabilidad
Si los macros SPF desempeñan un papel crítico en la autorización de servidores legítimos, es posible que los correos fallen más fácilmente las comprobaciones SPF o sean marcados como sospechosos por los receptores que dependen de SPF para la autenticación.
Preguntas frecuentes: Guía de configuración de protocolos de correo electrónico
Antes de DMARC, en los registros SPF se utilizaba a menudo el mecanismo “-all” para imponer políticas estrictas a los remitentes. Sin embargo, las recomendaciones actuales del sector para 2026 favorecen “~all” para equilibrar la seguridad con la entregabilidad y evitar el rechazo innecesario de correos legítimos que fallen SPF pero pasen DKIM y DMARC.
La razón es que “~all”, combinado con DMARC (en p=reject), permite igualmente que los emails no autenticados no se entreguen cuando SPF y DKIM fallan, sin bloquear correos legítimos, mejorando así la entregabilidad global.
Las especificaciones DMARC (RFC 7489) indican que un prefijo “-” en el mecanismo SPF del remitente –como “-all”– puede implicar el rechazo de un email ya en la fase inicial, es decir, antes de que se aplique DMARC. Utiliza “-all” solo en dominios inactivos que nunca envían correo. DMARC no distingue entre Soft Fail y Hard Fail en SPF: considera ambos simplemente como un fallo de SPF.
DMARC requiere no solo que SPF o DKIM resulten positivos, sino también que al menos uno de los dominios utilizados con SPF o DKIM coincida con el dominio presente en la cabecera From. Un correcto alineamiento es fundamental en 2026 para la entrega de los correos, ya que los principales proveedores ahora exigen esta comprobación.
Para SPF, el alineamiento significa que la verificación de MAIL FROM/Return-PATH ha sido exitosa y la parte de dominio de MAIL FROM/Return-PATH coincide con el dominio de la dirección From. En modo Strict ambos deben ser idénticos; en modo Relaxed se aceptan también los subdominios si pertenecen al mismo organizational domain.
Ejemplo: si MAIL-FROM/RETURN-PATH es @ondmarc.com y el From-header es @knowledge.ondmarc.com, no están alineados en modo Strict, pero DMARC los consideraría válidos en modo Relaxed.
Un informe agregado DMARC recoge información sobre el estado de autenticación de los mensajes enviados en nombre de un dominio. Se trata de un informe bounce en XML que resume qué correos han pasado o fallado SPF y DKIM. Permite a los propietarios del dominio tener una visión precisa de las fuentes que envían correos en su nombre y el resultado (política del destinatario).
Los destinatarios utilizan la etiqueta 'rua' del registro DMARC para enviar estos reportes. Puedes definir la frecuencia usando la etiqueta ri en el registro DMARC (valor predeterminado: 86400 segundos, es decir, 24h). Los reportes forenses aportan mucho más detalle sobre cada fallo de autenticación. Los datos personales se eliminan, pero toda la información útil para resolver incidencias, como cabeceras SPF/DKIM, dirección completa del remitente y asunto, se transmite.
La dirección para recibir los informes forenses DMARC se indica mediante la etiqueta 'ruf'. No todos los sistemas soportan este tipo de reportes. Red Sift OnDMARC es una de las pocas soluciones que puede recibir reportes forenses, gracias a su colaboración con Yahoo.
Una macro SPF es un mecanismo en los registros SPF que permite definir conjuntos reutilizables de direcciones IP. Las macros SPF aportan mayor flexibilidad y facilidad de mantenimiento: puedes definir conjuntos complejos de IP en un único mecanismo y referenciarlos en varios registros. Por ejemplo, en lugar de enumerar cada IP autorizada, puedes usar una macro como “%{i}”, que recoge la IP saliente del correo. De este modo puedes gestionar fácilmente grandes listas de IP sin sobrepasar el límite de consultas SPF y hacer menos visibles las autorizaciones IP durante las consultas DNS.
Dependiendo de la estructura de la macro en el registro SPF, una macro que no se expande puede provocar errores SPF o un resultado neutral (?all). Si el envío de correos legítimos depende de las macros SPF, estas pueden causar más fallos o etiquetar como sospechoso el tráfico hacia sistemas que dependen de SPF.
Mail Transfer Agent Strict Transport Security (MTA-STS) es un estándar para el cifrado de los mensajes entre dos servidores de correo. Indica a los servidores remitentes que los emails deben entregarse solo a través de una conexión segura mediante Transport Layer Security (TLS), protegiendo así contra intentos de interceptación por parte de ciberdelincuentes.
La adopción de MTA-STS ha crecido rápidamente y en 2026 la seguridad del transporte será considerada esencial para la protección del correo en tránsito. Para activar MTA-STS en un dominio receptor, es necesario declarar el soporte mediante DNS y hacer disponible un archivo de políticas en el propio sitio web.
MTA-STS debe activarse con cautela para no provocar bloqueos accidentales. Se recomienda empezar por el modo Test: así, gracias a los reportes TLS, puedes identificar y solucionar errores antes de pasar al modo strict. Este enfoque gradual probablemente será el estándar para la protección del email en tránsito en 2026.
SMTP TLS Reporting (TLS-RPT), según RFC8460, sirve para reportar problemas de conectividad TLS desde los servidores MTA remitentes. Al igual que con DMARC, aquí también se reciben reportes por correo cuando los problemas TLS afectan la entrega. Los informes incluyen las políticas MTA-STS detectadas, estadísticas de tráfico, conexiones fallidas y motivos de error.
Con la función MTA-STS en Red Sift OnDMARC no tendrás que preocuparte por implementaciones complejas. Basta con añadir los Smart Record MTA-STS proporcionados por OnDMARC a tu DNS y Red Sift se encarga del hosting del archivo de política, gestión del certificado SSL y el envío automático de reportes TLS de incumplimiento. En 2026, el MTA-STS alojado es cada vez más un estándar previsto en plataformas modernas de DMARC, facilitando así la integración del cifrado en el transporte.
Según RFC 7671, DANE (DNS-based Authentication of Named Entities) es un nuevo estándar de Internet para establecer comunicaciones TLS entre cliente y servidor sin depender de las autoridades de certificación (CA) tradicionales.
En el modelo actual, cualquier CA puede emitir un certificado para cualquier dominio. DANE adopta otro enfoque, aprovechando la infraestructura DNSSEC (Domain Name System Security Extensions) para asociar criptográficamente un nombre de dominio a un certificado. DANE se basa en el protocolo DNSSEC existente para garantizar la autenticidad e integridad de la recepción.
DANE además introduce un nuevo tipo de registro DNS, TLSA, que señala al cliente el soporte de TLS por parte del servidor. Se recomienda implementar tanto MTA-STS como DANE. DANE es obligatorio para muchas entidades públicas, en particular en la UE.
MTA-STS y DANE sólo son eficaces si también el servidor remitente los soporta; muchos implementan sólo uno de los dos. Activar ambos aumenta la seguridad general. En 2026, las organizaciones suelen adoptar primero MTA-STS para máxima compatibilidad y después implementan DANE para un nivel de seguridad superior cuando resulta necesario.
La política para subdominios permite a los administradores proteger de forma diferenciada distintos dominios y subdominios, dependiendo del estado de implementación de DMARC. Por ejemplo, si todos los servicios de envío asociados al dominio principal ya están protegidos con SPF y DKIM, puedes establecer una política DMARC p=reject en el dominio principal y p=none en los subdominios, o viceversa.
Si un servicio de envío no soporta DMARC (es decir, no implementa SPF o DKIM), puedes asignarle un subdominio separado con su propia política DMARC, sin comprometer la protección de los demás dominios. Esto permite distribuir el tráfico entre distintos subdominios y protegerlos por separado según las necesidades.