Guía práctica para implementar SPF, DKIM y DMARC paso a paso, reducir suplantaciones y mejorar la entregabilidad de tus correos
¿Por qué necesitas DMARC?
Si tu dominio envía facturas, cotizaciones o campañas, eres objetivo del phishing. DMARC, junto con SPF y DKIM, permite indicar qué servidores pueden enviar en tu nombre, autenticar mensajes y decirle a los receptores qué hacer con correos sospechosos. Resultado: menos suplantaciones, mejor reputación y más entregabilidad.
Conceptos clave en 1 minuto
- SPF: lista de servidores autorizados para enviar en tu nombre.
- DKIM: firma criptográfica que prueba que el mensaje no fue alterado.
- DMARC: política que usa SPF/DKIM para decidir si aceptar, poner en cuarentena o rechazar.
Checklist previo (10 minutos)
- Ten acceso a tu DNS (panel del registrador o hosting).
- Identifica todas las fuentes de envío: correo corporativo (Google/Microsoft), CRM, facturación, newsletters, helpdesk, etc.
- Crea un buzón para reportes DMARC (por ejemplo, dmarc@tu-dominio.com).
Paso a paso en 60 minutos
1) Publica o corrige tu SPF (10–15 min)
- Host/Nombre: @ (o raíz del dominio).
- Tipo: TXT
- Valor (ejemplos)
- Google Workspace:
v=spf1 include:_spf.google.com ~all
- Microsoft 365:
v=spf1 include:spf.protection.outlook.com ~all
- Google Workspace:
- Añade más proveedores con include: o ip4:/ip6:. Evita más de 10 búsquedas DNS.
- Usa ~all (softfail) mientras validas. Cambiarás a -all cuando todo esté correcto.
2) Activa DKIM en tu proveedor (10–15 min)
- Genera la clave en tu plataforma de correo (p. ej., “selector1”).
- Registros DKIM (ejemplo genérico):
- Host: selector1._domainkey
- Tipo: TXT
- Valor:
v=DKIM1; k=rsa; p=CLAVE_PUBLICA
- Habilita la firma DKIM en el panel del proveedor y envía un correo de prueba.
3) Publica DMARC en modo monitoreo (5–10 min)
- Host/Nombre: _dmarc
- Tipo: TXT
- Valor recomendado de inicio:
v=DMARC1; p=none; rua=mailto:dmarc@tu-dominio.com; ruf=mailto:dmarc@tu-dominio.com; fo=1; adkim=s; aspf=s; pct=100
- p=none: monitorea sin bloquear.
- rua (agregados) y ruf (forenses) envían reportes a tu buzón.
- adkim=s y aspf=s: alineación estricta; menos falsos positivos a futuro.
- fo=1: reportes cuando SPF o DKIM fallen.
4) Analiza reportes y corrige (1–2 semanas sugeridas)
- Revisa qué fuentes fallan SPF/DKIM y corrige: agrega include al SPF, activa DKIM en el servicio faltante o detén emisores no autorizados.
5) Endurece la política (10–15 min)
Hazlo por fases para no cortar envíos legítimos:
- Fase 1:
v=DMARC1; p=quarantine; pct=25; adkim=s; aspf=s; rua=mailto:...
- Fase 2 (tras 1–2 semanas sin fallos): pct=50 → pct=100.
- Fase 3:
v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:...
- Si usas subdominios de envío (p. ej., mail.tu-dominio.com), añade sp= para definir su política:
- sp=quarantine o sp=reject alineados a tu fase.
Errores comunes (y cómo evitarlos)
- SPF con demasiados includes: supera el límite de 10 búsquedas; compacta orígenes o usa IPs.
- Olvidar DKIM: DMARC requiere que SPF o DKIM pasen y estén alineados.
- p=reject de golpe: corta campañas legítimas; avanza por porcentajes.
- Dominios “huérfanos” (sin uso): publícales p=reject para impedir abuso.
- No monitorear: sin revisar reportes, no sabrás quién te suplanta.
Buenas prácticas de entregabilidad
- Envía desde dominios/subdominios dedicados por tipo de correo (transaccional vs. marketing).
- Mantén contenido y reputación: tasas bajas de rebote y spam.
- Firma también correos del dominio raíz y subdominios.
- Actualiza claves DKIM periódicamente (rotación).
- Documenta en TI/Marketing qué servicios pueden enviar y quién aprueba cambios DNS.
Preguntas rápidas
- ¿DMARC sirve sin SPF/DKIM? No; depende de ellos.
- ¿Rechazo todo desde el día 1? No; inicia con p=none, luego quarantine y, cuando todo funcione, reject.
- ¿Afecta la tasa de entrega? Sí, mejora al reducir suplantaciones y aumentar confianza.
¿Quieres que implementemos DMARC por ti, sin caer la entregabilidad?
En www.SiteSupremacy.com auditamos tus emisores, configuramos SPF, DKIM y DMARC, saneamos tu reputación y optimizamos tu sitio web, SEO y funnels para convertir más.
Escríbenos en www.sitesupremacy.com y pon tu correo y tu web a prueba de suplantaciones.