Guía de migración y autenticación de correo empresarial en Microsoft 365

Configuración paso a paso de Red Sift para una migración de correo segura y fiable a Microsoft 365 Business. 

Migrar a Microsoft 365 (Exchange Online + Defender for Office 365) afecta a identidad, flujo de correo y autenticación, entre ellas Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) y Domain-based Message Authentication, Reporting, and Conformance (DMARC). 

Un traspaso fluido protege la entregabilidad, previene suplantaciones y evita interrupciones en el negocio. Esta guía proporciona un camino probado y basado en la seguridad, con listas de comprobación repetibles.

Esta guía es especialmente valiosa para organizaciones que migran de Proofpoint a Microsoft 365, donde la autenticación de correo y la configuración del flujo de correo se vuelven críticas durante la transición. Para una guía detallada y específica de Proofpoint, consulta nuestra sección dedicada a la migración de Proofpoint a Microsoft 365.

El propósito de esta guía es prepararte para la migración de los servicios de envío de correo electrónico y darte la tranquilidad de que no tendrás interrupciones en la entrega de correo debido a una configuración de autenticación de email incompleta.

Fuera del alcance de esta guía queda todo lo demás que puedas estar migrando a Microsoft 365, como los servicios de identidad, datos incluyendo correos, calendarios y archivos, antispam/antiphishing entrante, protección de datos contra fugas outbound, etcétera.

Recomendamos buscar soporte de Microsoft y sus partners.

1. Descubrir y diseñar: Inventariar dominios, remitentes, gateways, SaaS de terceros y necesidades de cumplimiento.
2. Preparar: Verificar dominios, configurar Azure AD, DNS básico y usuarios piloto.
3. Configurar: Flujo de correo, conectores, dominios aceptados, antispam/antiphishing, reglas de transporte.
4. Autenticar: Publicar SPF; habilitar DKIM; desplegar DMARC (p=none) y comenzar monitoreo.
5. Migrar: Migración de datos (IMAP/GWMMO/GWMT), enrutamiento coexistente o por etapas, cambio de cliente final.
6. Aplicar y optimizar: Subir DMARC a cuarentena/rechazo, finalizar enrutamiento y desmantelar sistemas heredados.

Resultado esperado: Flujo de correo seguro en Microsoft 365 con aplicación de DMARC y riesgo mínimo de entrega.

Migrar desde Proofpoint Essentials o Proofpoint Email Protection a Microsoft 365 requiere una gestión cuidadosa de las capas de seguridad de correo que previamente gestionaba Proofpoint:

1. Reconfiguración del flujo de correo: Actualiza los registros MX de la infraestructura de Proofpoint a los servidores de correo de Microsoft 365, asegurando que el filtrado entrante pase suavemente a Defender for Office 365

2. Dependencias de autenticación: Proofpoint suele manejar la autenticación SPF a través de su propia infraestructura. Deberás reemplazar los includes de SPF de Proofpoint por sus equivalentes de Microsoft 365, manteniendo autorizaciones de terceros si las hubiera

3. Transición de firma DKIM: Si Proofpoint firmaba el correo saliente mediante DKIM, configura Exchange Online para asumir esa función — normalmente implica generar nuevas claves DKIM en Microsoft 365 y publicar sus registros DNS correspondientes

4. Migración de políticas: Las reglas de transporte, filtros de adjuntos, políticas de contenido y listas de permitidos/bloqueados configuradas en Proofpoint deben recrearse en el centro de administración de Exchange y Defender for Office 365

5. Archivado y cumplimiento: Si usabas Proofpoint Archive, planea la extracción de datos y migración al archivado nativo de Microsoft 365 o a una solución de terceros

6. Periodo de coexistencia: Durante la operación en paralelo, gestiona cuidadosamente qué sistema se encarga del filtrado entrante y saliente para evitar doble escaneo o brechas de seguridad

La mayoría de migraciones de Proofpoint a Microsoft 365 se benefician del monitoreo DMARC durante toda la transición para detectar fallos de autenticación antes de que afecten la entregabilidad.

• Tenant de Microsoft 365 creado y configurado de forma segura [https://learn.microsoft.com/en-us/microsoft-365/security/?view=o365-worldwide]
• Dominios verificados en M365; propiedad comprobada.
• Inventario de todas las fuentes de correo: marketing/masivo, CRM, ticketing, cuentas sin respuesta, aplicaciones locales, escáneres/MFPs, gateways (Cisco, Proofpoint, etc.) y SaaS de terceros.
• DNS actual exportado; TTL reducidos (ej. 3600s) para acelerar el cambio.
• Ventana de cambio y plan de reversión acordados; partes interesadas notificadas.

Qué estás haciendo: Establecer un inventario de todos los activos que envían correo y una visibilidad básica de la entregabilidad antes, durante y después del traspaso.

Como parte de la lista previa a la migración ya deberías tener un inventario de todas tus fuentes de correo. Sin embargo, puede haber vacíos o diferencias de los que no seas consciente.

Con los reportes DMARC obtendrás visibilidad de los correos enviados en nombre de tus dominios gracias a los informes de retroalimentación enviados por prácticamente todos los receptores de correo. 

Sin Red Sift OnDMARC

Configura o amplía la política DMARC de tus dominios incluyendo una dirección de reporte agregado que apunte a la cuenta de correo donde quieras recibir los informes XML legibles por máquina 

Ejemplo: v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.tld

Revisa frecuentemente los informes XML legibles por máquina buscando remitentes legítimos para añadir al inventario.

Con Red Sift OnDMARC

• Configura o amplía la política DMARC del dominio usando una dirección de reporte agregado que apunte a OnDMARC, o usa el servicio Dynamic DMARC de OnDMARC para alojar los registros DMARC y evitar modificar DNS manualmente en el futuro
• Utiliza la interfaz intuitiva y potente para revisar la salida procesada y mejorada de los informes
• Marca los remitentes legítimos como activos para construir un inventario vivo de tus fuentes de email basado en datos reales

El éxito se ve así: Un inventario actualizado y vivo de fuentes de correo activas legítimas basado en al menos 4 semanas de datos de reporte, línea base de cumplimiento DMARC y estado de entrega y una ventana continua de visibilidad durante la migración 

Qué estás haciendo: Optimizar la configuración de correo para agilidad y fiabilidad.

Para agilizar cambios futuros y reducir errores al modificar el DNS, puedes optar por consolidar tu configuración SPF y DKIM con los servicios Dynamic SPF y Dynamic DKIM de OnDMARC.

Al mantener tu configuración próxima al inventario vivo de fuentes de correo y reportes DMARC también te aseguras de mantenerla actualizada.

El éxito se ve así: Configuración de SPF y DKIM centralizada, relacionada con el inventario vivo y basado en datos reales de DMARC. 

Qué estás haciendo: Habilitar Exchange Online para enviar mientras convives con otra infraestructura.

Configuraciones clave:

1. Conectores:
2. Saliente: Exchange Online → internet y/o → gateway heredado durante coexistencia.
3. Dominios aceptados y direcciones: Autoritativo vs. Internal Relay; reescritura de direcciones si es necesario.

• Extiende cuidadosamente el registro SPF en DNS con include: spf.protection.outlook.com asegurándote de no exceder 10 consultas DNS 
• Añade cuidadosamente los CNAME de DKIM proporcionados en DNS
• Envía correos de prueba a un proveedor neutral y revisa manualmente los encabezados para verificar y depurar

• Añade include: spf.protection.outlook.com a Dynamic SPF sin preocuparte por el límite de consultas DNS ni errores
• Añade los CNAME DKIM proporcionados a Dynamic DKIM
• Envía correos de prueba a la herramienta Investigate para validar o depurar fácilmente

El éxito se ve así: Los bucles de prueba de correo funcionan correctamente

Qué estás haciendo: Configurar y validar los activos que envían correo usando la infraestructura anterior para que lo hagan por Microsoft 365

Secuencia típica: Para cada activo que envía correo a través de la infraestructura previa

1. Preparar credenciales para que el activo envíe por Microsoft 365
2. Enviar correos de prueba, validar y depurar
3. Cuando esté listo, dejar la configuración permanente
4. Monitorear reportes DMARC para cualquier desviación

En este punto tienes:

• Visibilidad sobre la entregabilidad de correo mediante reportes DMARC
• Inventario de fuentes de correo basado en reportes reales DMARC
• (Opcionalmente) Consolidada la configuración de SPF y DKIM
• Configurado y probado el envío de correo saliente desde Microsoft 365
• Configurados, probados y migrados los activos que enviaban desde la infraestructura previa a Microsoft 365

Estás listo/a para continuar con el resto de tu migración a Microsoft 365.

Qué estás haciendo: Monitorear de manera continua el cumplimiento y la entregabilidad

Verificaciones de validación:

• Monitorea volumen de correo y tasas de cumplimiento en busca de retrocesos
• Alineación SPF/DKIM para dominios clave y remitentes de alto volumen

Limpieza:

• Cierra rutas heredadas; elimina conectores/gateways que ya no se usan.

• Remitentes ocultos (marketing, CRM, escáneres) surgen tarde → Utiliza el descubrimiento de OnDMARC desde el principio; contacta a los proveedores para obtener detalles DKIM/SPF antes del traspaso.
• Límite de búsquedas SPF (>10) → Usa los includes sabiamente; considera aplanar/SPF gestionado vía Dynamic DNS, disponible en Red Sift OnDMARC.
• DKIM no alineado (dominio d= incorrecto) → Haz coincidir d= con el dominio en From: o habilita opciones de alineación donde estén soportadas.
• El reenvío rompe SPF → Confía en DKIM; considera ARC/SRS para escenarios de reenvío intensivos.
• Vacíos de política tras eliminar gateway heredado → Recrea reglas críticas de transporte, listas de permitidos/bloqueados, requisitos TLS en Exchange/Defender.

• Guías de autenticación con un clic: Pasos claros para habilitar SPF/DKIM para Microsoft 365 y plataformas de terceros.
• Descubrimiento automático: Detecta remitentes sombra para evitar problemas en el traspaso.
• Optimización de SPF: Gestiona límites de búsquedas; evita registros frágiles ante cambios de proveedores.
• Evolución de políticas segura: Paso de none → quarantine → reject basado en datos en semanas, no meses.
• Informes ejecutivos: Muestra progreso y reducción de riesgos a stakeholders en cada ola de migración.
• Impulsado por IA: Red Sift Radar detecta y resuelve vulnerabilidades de seguridad 10 veces más rápido, sin aumentar plantilla. Una vez configurado, usa Radar para monitorear continuamente.
• Atención al cliente premiada: Nuestro equipo de ingenieros y managers te acompaña en cada paso. Valoración 4,9/5 en G2, Red Sift OnDMARC es #1 en Europa.

Para una guía completa sobre protocolos de autenticación de correo, consulta:

• Guía completa de implementación de DMARC
• Mejores prácticas de configuración SPF y DKIM
• Autenticación de correo en entornos Microsoft 365