El correu electrònic continua sent una de les eines més crítiques per a qualsevol empresa. S’utilitza per enviar pressupostos, factures, comandes, comunicacions internes, documentació legal i missatges comercials. Però també és un dels canals més atacats.
Moltes organitzacions inverteixen en antivirus, firewall, backup o doble factor d’autenticació, però no sempre revisen si el seu domini de correu està correctament protegit. I aquí apareix un problema habitual: correus legítims que acaben a spam, missatges rebutjats per destinataris importants o intents de suplantació utilitzant el nom de l’empresa.
SPF, DKIM i DMARC són tres mecanismes tècnics que ajuden a protegir la identitat del domini de correu. No substitueixen una solució antispam ni eliminen tots els riscos, però sí que són una base imprescindible per millorar la seguretat, l’entregabilitat i la confiança en les comunicacions corporatives.
En aquest article expliquem què són, per què són importants i quins errors solen cometre moltes empreses en configurar-los.
Per què el correu corporatiu necessita autenticació
Enviar un correu sembla senzill, però al darrere hi intervenen servidors, proveïdors cloud, registres DNS, plataformes de màrqueting, eines de facturació, CRM i serveis externs. Cadascun d’aquests elements pot enviar missatges en nom de l’empresa.
El problema apareix quan els servidors que reben aquests correus no poden comprovar amb seguretat si el missatge realment prové d’un origen autoritzat. En aquest cas, poden marcar-lo com a spam, rebutjar-lo o acceptar-lo amb menys confiança.
L’autenticació del correu empresarial ajuda a respondre tres preguntes clau:
- Aquest servidor està autoritzat per enviar correus utilitzant aquest domini?
- El missatge ha estat signat correctament i no ha estat alterat?
- Què ha de fer el destinatari si el correu no supera les comprovacions?
Aquestes preguntes són importants tant per protegir l’empresa com per protegir els seus clients, proveïdors i empleats davant d’intents de phishing o suplantació.
Què és SPF i quin problema resol
SPF significa Sender Policy Framework. És un registre DNS que indica quins servidors estan autoritzats per enviar correus en nom d’un domini.
Per exemple, si una empresa utilitza Microsoft 365, una plataforma d’email màrqueting i una eina de facturació que envia correus automàtics, tots aquests serveis haurien d’estar correctament contemplats al registre SPF.
Quan un servidor rep un correu, pot consultar l’SPF del domini i comprovar si la IP que l’envia està autoritzada. Si no ho està, el missatge es pot considerar sospitós.
Errors habituals en SPF
SPF és relativament senzill d’entendre, però és freqüent trobar configuracions incorrectes. De vegades s’afegeixen proveïdors sense retirar els antics, es dupliquen registres o s’utilitzen configuracions massa permissives.
Els errors més comuns són:
- Tenir més d’un registre SPF publicat per al mateix domini.
- Oblidar plataformes externes que envien correus legítims.
- Conservar proveïdors antics que ja no haurien d’enviar correu.
- Utilitzar mecanismes massa oberts que redueixen la protecció real.
- Superar el límit de consultes DNS permès per SPF.
Un SPF mal configurat pot provocar dos problemes oposats: bloquejar correus legítims o permetre que massa sistemes puguin enviar missatges en nom del domini.
Què és DKIM i per què millora la confiança del missatge
DKIM significa DomainKeys Identified Mail. A diferència d’SPF, que valida si un servidor està autoritzat, DKIM afegeix una signatura criptogràfica al missatge.
Aquesta signatura permet comprovar que el correu no ha estat alterat des que va sortir del servidor autoritzat. També ajuda el receptor a associar el missatge amb el domini que el signa.
A la pràctica, DKIM aporta una capa addicional de confiança. Si un missatge supera DKIM, el servidor receptor té més senyals per considerar que el correu és legítim.
Per què DKIM sovint queda pendent
Moltes empreses creuen que, pel fet de tenir Microsoft 365, Google Workspace o un altre proveïdor de correu, ja ho tenen tot resolt. Però en alguns casos DKIM s’ha d’activar, validar o revisar manualment.
També cal tenir en compte que els serveis externs poden requerir els seus propis registres DKIM. Això afecta plataformes d’email màrqueting, ERP, CRM, eines de ticketing, sistemes de facturació o aplicacions SaaS que envien correus automàtics.
Si DKIM no està ben configurat, els missatges poden continuar sortint, però amb pitjor reputació i més risc d’acabar a spam.
Què és DMARC i per què és la peça que moltes empreses obliden
DMARC significa Domain-based Message Authentication, Reporting and Conformance. És el mecanisme que uneix SPF i DKIM amb una política clara per al domini.
Amb DMARC, l’empresa pot indicar què ha de fer el servidor receptor si un correu falla les comprovacions: no fer res especial, posar-lo en quarantena o rebutjar-lo.
A més, DMARC permet rebre informes sobre qui està enviant correus en nom del domini. Aquesta part és especialment útil per descobrir serveis oblidats, configuracions incorrectes o possibles intents de suplantació.
L’organització DMARC.org el defineix com un protocol d’autenticació, política i reporting que es basa en SPF i DKIM per millorar la protecció del domini davant de correus fraudulents. Pots consultar l’explicació oficial a DMARC.org.
El problema de deixar DMARC en mode “none” per sempre
Moltes empreses publiquen un registre DMARC amb política p=none. Això permet recopilar informació sense afectar el lliurament dels correus, cosa que és correcta en una fase inicial.
El problema apareix quan aquesta configuració es deixa així indefinidament. En mode “none”, DMARC observa, però no bloqueja ni posa en quarantena els missatges que fallen.
El més recomanable és avançar de manera controlada:
- Començar amb una política de monitorització.
- Analitzar els informes i detectar remitents legítims.
- Corregir SPF, DKIM i proveïdors externs.
- Passar progressivament a polítiques més estrictes.
Aquest procés s’ha de fer amb cura per no interrompre comunicacions legítimes de l’empresa.
Per què SPF, DKIM i DMARC són més importants que abans
Els grans proveïdors de correu han endurit els seus requisits per reduir spam, phishing i suplantacions. Això afecta especialment les empreses que envien campanyes, comunicacions recurrents o volums elevats de correu.
Google indica a les seves guies per a remitents que tots els remitents han de configurar SPF o DKIM, i que els remitents massius han d’utilitzar SPF, DKIM i DMARC. També assenyala que els missatges autenticats ajuden a protegir davant de spoofing i phishing, i tenen menys probabilitats de ser rebutjats o marcats com a spam. Pots consultar la guia oficial a Google Workspace Admin Help.
Yahoo també inclou l’autenticació del correu entre els seus requisits i bones pràctiques per a remitents, juntament amb altres aspectes com mantenir baix l’índex de queixes de spam.
Això significa que l’autenticació del domini ja no és només una recomanació tècnica. S’està convertint en una condició pràctica perquè el correu corporatiu funcioni correctament.
Quins riscos té una empresa si no ho revisa
No configurar correctament SPF, DKIM i DMARC no sempre genera una fallada visible immediata. El correu pot continuar funcionant, però amb riscos acumulats que afecten la seguretat i la reputació del domini.
Els principals riscos són:
- Correus legítims que acaben a la carpeta de spam.
- Missatges rebutjats per clients, proveïdors o plataformes externes.
- Més facilitat per a intents de suplantació del domini.
- Campanyes de phishing utilitzant una identitat aparentment corporativa.
- Pèrdua de confiança en comunicacions comercials o administratives.
- Dificultat per saber quins serveis estan enviant correus en nom de l’empresa.
En empreses amb diversos proveïdors, departaments o eines SaaS, aquest problema es torna més habitual. Màrqueting pot utilitzar una plataforma, administració una altra, suport una altra i direcció una de diferent. Si ningú centralitza la revisió, el domini acaba acumulant configuracions disperses.
Exemples habituals en empreses
L’autenticació del correu no només afecta la bústia principal. També intervé en moltes comunicacions que sovint passen desapercebudes fins que fallen.
Alguns exemples freqüents són:
- Una eina de facturació que envia factures des del domini corporatiu.
- Un CRM que envia correus comercials en nom dels usuaris.
- Una plataforma de newsletter que utilitza el domini de l’empresa.
- Un sistema de tickets que respon automàticament als clients.
- Una aplicació web que envia avisos, formularis o confirmacions.
- Un proveïdor extern que envia comunicats utilitzant una adreça corporativa.
Tots aquests sistemes han d’estar identificats i correctament configurats. En cas contrari, poden provocar problemes d’entregabilitat o obrir la porta a abusos.
Com revisar SPF, DKIM i DMARC sense trencar el correu
La revisió s’ha de fer de manera ordenada. Canviar registres DNS sense analitzar l’entorn pot provocar que determinats correus deixin d’entregar-se.
Una bona revisió hauria d’incloure aquests passos:
- Identificar tots els dominis i subdominis utilitzats per l’empresa.
- Llistar tots els proveïdors que envien correu en nom d’aquests dominis.
- Revisar els registres SPF existents i eliminar entrades obsoletes.
- Activar o validar DKIM al proveïdor principal de correu.
- Comprovar DKIM a les plataformes externes que envien missatges.
- Publicar DMARC en mode monitorització si encara no existeix.
- Analitzar informes abans d’aplicar polítiques més restrictives.
- Documentar la configuració i assignar responsables.
Aquest enfocament redueix el risc d’interrupcions i permet avançar cap a una política de correu més segura.
Relació amb la ciberseguretat i el manteniment IT
SPF, DKIM i DMARC formen part d’una estratègia més àmplia de seguretat. No substitueixen un firewall, una solució antispam o la formació dels usuaris, però reforcen una capa crítica: la identitat del correu corporatiu.
Per això, convé integrar-los dins d’una revisió més àmplia de seguretat i sistemes. A Inmove IT podem ajudar a revisar la configuració del domini, els proveïdors de correu i les mesures necessàries per reduir riscos de suplantació.
Aquest tipus de revisió encaixa especialment bé amb serveis com antivirus, antispam i ciberseguretat per a empreses, auditories IT per revisar la seguretat dels sistemes i manteniment informàtic per a empreses.
Senyals que la teva empresa hauria de revisar l’autenticació del correu
No cal esperar a patir una incidència. Hi ha senyals clars que indiquen que convé revisar la configuració del correu corporatiu.
- Clients o proveïdors indiquen que els vostres correus arriben a spam.
- S’utilitzen diverses plataformes externes per enviar missatges.
- El domini fa anys que no revisa els seus registres DNS.
- S’ha migrat recentment el correu a Microsoft 365, Google Workspace o un altre proveïdor.
- S’envien newsletters, factures o comunicacions automàtiques.
- S’han rebut avisos de suplantació o correus sospitosos utilitzant noms de l’empresa.
- No existeix documentació clara sobre qui pot enviar correu amb el domini corporatiu.
Si es compleix un o diversos d’aquests punts, és recomanable revisar SPF, DKIM i DMARC abans que el problema afecti clients, proveïdors o processos interns.
Una configuració correcta també millora la imatge de l’empresa
La seguretat del correu no només és una qüestió tècnica. També afecta la confiança que transmet l’organització.
Quan els correus arriben correctament, no apareixen advertiments estranys i els destinataris poden confiar en el remitent, la comunicació empresarial funciona millor. Això és important en processos comercials, atenció al client, administració, selecció de personal i comunicació amb proveïdors.
En canvi, si els missatges arriben a spam o algú aconsegueix suplantar la identitat de l’empresa, l’impacte pot ser reputacional, econòmic i operatiu.
Per això, SPF, DKIM i DMARC haurien de formar part de qualsevol revisió seriosa del correu corporatiu i la ciberseguretat.
Protegir el domini també és protegir l’empresa
El correu electrònic continua sent una porta d’entrada crítica per a atacs, errors i problemes de reputació. SPF, DKIM i DMARC ajuden a protegir el domini corporatiu, millorar l’entregabilitat i reduir el risc de suplantació.
No es tracta només de publicar tres registres DNS. La clau és entendre quins serveis envien correu, validar que tots estiguin correctament autenticats i aplicar una política progressiva que no interrompi l’activitat de l’empresa.
Si la teva empresa no ha revisat recentment l’autenticació del seu correu, és un bon moment per fer-ho. Especialment si utilitzeu diversos proveïdors, envieu comunicacions automàtiques o heu detectat problemes de spam, rebuig de missatges o sospites de suplantació.
A Inmove IT ajudem empreses a revisar, protegir i mantenir els seus sistemes de correu dins d’una estratègia global de ciberseguretat i suport IT. Pots conèixer més sobre les nostres solucions de seguretat perimetral per protegir la xarxa empresarial o contactar amb el nostre equip per valorar la millor manera de reforçar el teu entorn.
Preguntes freqüents sobre SPF, DKIM i DMARC
Aquests són alguns dubtes habituals que apareixen quan una empresa comença a revisar la seguretat i l’entregabilitat del seu correu corporatiu.
SPF, DKIM i DMARC eviten tots els correus fraudulents?
No. Ajuden a protegir el domini davant de suplantacions i milloren l’autenticació del correu, però no substitueixen una solució antispam, la formació dels usuaris ni altres mesures de ciberseguretat.
Una mala configuració pot fer que els meus correus no arribin?
Sí. Una configuració incorrecta pot provocar rebutjos, enviaments a spam o errors en serveis externs que envien missatges en nom de l’empresa. Per això convé revisar abans d’aplicar polítiques estrictes.
N’hi ha prou amb tenir SPF configurat?
No és l’opció ideal. SPF és important, però DKIM i DMARC aporten capes addicionals de validació, signatura i política. La combinació dels tres ofereix una protecció molt més completa.
Què significa tenir DMARC en mode “none”?
Significa que el domini està recopilant informació, però no està indicant al receptor que bloquegi o posi en quarantena els missatges que fallen. És útil per començar, però no hauria de ser l’estat final permanent.
Cada quant s’hauria de revisar la configuració del correu?
Convé revisar-la sempre que s’afegeixi o s’elimini un proveïdor que envia correus, quan es migra el correu corporatiu o com a part d’una revisió periòdica de seguretat IT.
Això afecta només les empreses que envien newsletters?
No. Afecta qualsevol empresa que utilitzi correu corporatiu. Les newsletters augmenten la necessitat d’una bona configuració, però també hi intervenen factures, avisos automàtics, CRM, tickets de suport i comunicacions internes.




