El correo electrónico sigue siendo una de las herramientas más críticas para cualquier empresa. Se usa para enviar presupuestos, facturas, pedidos, comunicaciones internas, documentación legal y mensajes comerciales. Pero también es uno de los canales más atacados.
Muchas organizaciones invierten en antivirus, firewall, backup o doble factor de autenticación, pero no siempre revisan si su dominio de correo está correctamente protegido. Y ahí aparece un problema habitual: correos legítimos que acaban en spam, mensajes rechazados por destinatarios importantes o intentos de suplantación usando el nombre de la empresa.
SPF, DKIM y DMARC son tres mecanismos técnicos que ayudan a proteger la identidad del dominio de correo. No sustituyen a una solución antispam ni eliminan todos los riesgos, pero sí son una base imprescindible para mejorar la seguridad, la entregabilidad y la confianza en las comunicaciones corporativas.
En este artículo explicamos qué son, por qué son importantes y qué errores suelen cometer muchas empresas al configurarlos.
Por qué el correo corporativo necesita autenticación
Enviar un correo parece sencillo, pero detrás intervienen servidores, proveedores cloud, registros DNS, plataformas de marketing, herramientas de facturación, CRM y servicios externos. Cada uno puede enviar mensajes en nombre de la empresa.
El problema aparece cuando los servidores que reciben esos correos no pueden comprobar con seguridad si el mensaje realmente viene de un origen autorizado. En ese caso, pueden marcarlo como spam, rechazarlo o aceptarlo con menor confianza.
La autenticación de correo empresarial ayuda a responder tres preguntas clave:
- ¿Este servidor está autorizado para enviar correos usando este dominio?
- ¿El mensaje ha sido firmado correctamente y no ha sido alterado?
- ¿Qué debe hacer el destinatario si el correo no supera las comprobaciones?
Estas preguntas son importantes tanto para proteger a la empresa como para proteger a sus clientes, proveedores y empleados frente a intentos de phishing o suplantación.
Qué es SPF y qué problema resuelve
SPF significa Sender Policy Framework. Es un registro DNS que indica qué servidores están autorizados para enviar correos en nombre de un dominio.
Por ejemplo, si una empresa usa Microsoft 365, una plataforma de email marketing y una herramienta de facturación que envía correos automáticos, todos esos servicios deberían estar correctamente contemplados en el registro SPF.
Cuando un servidor recibe un correo, puede consultar el SPF del dominio y comprobar si la IP que lo envía está autorizada. Si no lo está, el mensaje puede considerarse sospechoso.
Errores habituales en SPF
SPF es relativamente sencillo de entender, pero es frecuente encontrar configuraciones incorrectas. A veces se añaden proveedores sin retirar los antiguos, se duplican registros o se usan configuraciones demasiado permisivas.
Los errores más comunes son:
- Tener más de un registro SPF publicado para el mismo dominio.
- Olvidar plataformas externas que envían correos legítimos.
- Conservar proveedores antiguos que ya no deberían enviar correo.
- Usar mecanismos demasiado abiertos que reducen la protección real.
- Superar el límite de consultas DNS permitido por SPF.
Un SPF mal configurado puede provocar dos problemas opuestos: bloquear correos legítimos o permitir que demasiados sistemas puedan enviar mensajes en nombre del dominio.
Qué es DKIM y por qué mejora la confianza del mensaje
DKIM significa DomainKeys Identified Mail. A diferencia de SPF, que valida si un servidor está autorizado, DKIM añade una firma criptográfica al mensaje.
Esta firma permite comprobar que el correo no ha sido alterado desde que salió del servidor autorizado. También ayuda al receptor a asociar el mensaje con el dominio que lo firma.
En la práctica, DKIM aporta una capa adicional de confianza. Si un mensaje pasa DKIM, el servidor receptor tiene más señales para considerar que el correo es legítimo.
Por qué DKIM suele quedar pendiente
Muchas empresas creen que por tener Microsoft 365, Google Workspace u otro proveedor de correo ya tienen todo resuelto. Pero en algunos casos DKIM debe activarse, validarse o revisarse manualmente.
También hay que tener en cuenta que los servicios externos pueden requerir sus propios registros DKIM. Esto afecta a plataformas de email marketing, ERP, CRM, herramientas de ticketing, sistemas de facturación o aplicaciones SaaS que envían correos automáticos.
Si DKIM no está bien configurado, los mensajes pueden seguir saliendo, pero con peor reputación y más riesgo de acabar en spam.
Qué es DMARC y por qué es la pieza que muchas empresas olvidan
DMARC significa Domain-based Message Authentication, Reporting and Conformance. Es el mecanismo que une SPF y DKIM con una política clara para el dominio.
Con DMARC, la empresa puede indicar qué debe hacer el servidor receptor si un correo falla las comprobaciones: no hacer nada especial, ponerlo en cuarentena o rechazarlo.
Además, DMARC permite recibir informes sobre quién está enviando correos en nombre del dominio. Esta parte es especialmente útil para descubrir servicios olvidados, configuraciones incorrectas o posibles intentos de suplantación.
La organización DMARC.org lo define como un protocolo de autenticación, política y reporting que se apoya en SPF y DKIM para mejorar la protección del dominio frente a correos fraudulentos. Puedes consultar la explicación oficial en DMARC.org.
El problema de dejar DMARC en modo “none” para siempre
Muchas empresas publican un registro DMARC con política p=none. Esto permite recopilar información sin afectar a la entrega de los correos, lo cual es correcto en una fase inicial.
El problema aparece cuando esa configuración se deja así indefinidamente. En modo “none”, DMARC observa, pero no bloquea ni pone en cuarentena los mensajes que fallan.
Lo recomendable es avanzar de forma controlada:
- Empezar con una política de monitorización.
- Analizar los informes y detectar remitentes legítimos.
- Corregir SPF, DKIM y proveedores externos.
- Pasar progresivamente a políticas más estrictas.
Este proceso debe hacerse con cuidado para no interrumpir comunicaciones legítimas de la empresa.
Por qué SPF, DKIM y DMARC son más importantes que antes
Los grandes proveedores de correo han endurecido sus requisitos para reducir spam, phishing y suplantaciones. Esto afecta especialmente a empresas que envían campañas, comunicaciones recurrentes o volúmenes elevados de correo.
Google indica en sus guías para remitentes que todos los remitentes deben configurar SPF o DKIM, y que los remitentes masivos deben usar SPF, DKIM y DMARC. También señala que los mensajes autenticados ayudan a proteger frente a spoofing y phishing, y tienen menos probabilidad de ser rechazados o marcados como spam. Puedes consultar la guía oficial en Google Workspace Admin Help.
Yahoo también incluye la autenticación del correo entre sus requisitos y buenas prácticas para remitentes, junto con otros aspectos como mantener bajo el índice de quejas de spam.
Esto significa que la autenticación del dominio ya no es solo una recomendación técnica. Se está convirtiendo en una condición práctica para que el correo corporativo funcione bien.
Qué riesgos tiene una empresa si no lo revisa
No configurar correctamente SPF, DKIM y DMARC no siempre genera un fallo visible inmediato. El correo puede seguir funcionando, pero con riesgos acumulados que afectan a la seguridad y a la reputación del dominio.
Los principales riesgos son:
- Correos legítimos que acaban en la carpeta de spam.
- Mensajes rechazados por clientes, proveedores o plataformas externas.
- Mayor facilidad para intentos de suplantación del dominio.
- Campañas de phishing usando una identidad aparentemente corporativa.
- Pérdida de confianza en comunicaciones comerciales o administrativas.
- Dificultad para saber qué servicios están enviando correos en nombre de la empresa.
En empresas con varios proveedores, departamentos o herramientas SaaS, este problema se vuelve más habitual. Marketing puede usar una plataforma, administración otra, soporte otra y dirección otra diferente. Si nadie centraliza la revisión, el dominio acaba acumulando configuraciones dispersas.
Ejemplos habituales en empresas
La autenticación de correo no solo afecta al buzón principal. También interviene en muchas comunicaciones que suelen pasar desapercibidas hasta que fallan.
Algunos ejemplos frecuentes son:
- Una herramienta de facturación que envía facturas desde el dominio corporativo.
- Un CRM que envía correos comerciales en nombre de los usuarios.
- Una plataforma de newsletter que usa el dominio de la empresa.
- Un sistema de tickets que responde automáticamente a clientes.
- Una aplicación web que envía avisos, formularios o confirmaciones.
- Un proveedor externo que envía comunicados usando una dirección corporativa.
Todos estos sistemas deben estar identificados y correctamente configurados. De lo contrario, pueden provocar problemas de entregabilidad o abrir la puerta a abusos.
Cómo revisar SPF, DKIM y DMARC sin romper el correo
La revisión debe hacerse de forma ordenada. Cambiar registros DNS sin analizar el entorno puede provocar que determinados correos dejen de entregarse.
Una buena revisión debería incluir estos pasos:
- Identificar todos los dominios y subdominios usados por la empresa.
- Listar todos los proveedores que envían correo en nombre de esos dominios.
- Revisar los registros SPF existentes y eliminar entradas obsoletas.
- Activar o validar DKIM en el proveedor principal de correo.
- Comprobar DKIM en plataformas externas que envían mensajes.
- Publicar DMARC en modo monitorización si todavía no existe.
- Analizar informes antes de aplicar políticas más restrictivas.
- Documentar la configuración y asignar responsables.
Este enfoque reduce el riesgo de interrupciones y permite avanzar hacia una política de correo más segura.
Relación con la ciberseguridad y el mantenimiento IT
SPF, DKIM y DMARC forman parte de una estrategia más amplia de seguridad. No sustituyen a un firewall, a una solución antispam o a la formación de usuarios, pero refuerzan una capa crítica: la identidad del correo corporativo.
Por eso, conviene integrarlos dentro de una revisión más amplia de seguridad y sistemas. En Inmove IT podemos ayudar a revisar la configuración del dominio, los proveedores de correo y las medidas necesarias para reducir riesgos de suplantación.
Este tipo de revisión encaja especialmente bien con servicios como antivirus, antispam y ciberseguridad para empresas, auditorías IT para revisar la seguridad de los sistemas y mantenimiento informático para empresas.
Señales de que tu empresa debería revisar la autenticación del correo
No hace falta esperar a sufrir una incidencia. Hay señales claras que indican que conviene revisar la configuración del correo corporativo.
- Clientes o proveedores indican que vuestros correos llegan a spam.
- Se usan varias plataformas externas para enviar mensajes.
- El dominio lleva años sin revisar sus registros DNS.
- Se ha migrado recientemente el correo a Microsoft 365, Google Workspace u otro proveedor.
- Se envían newsletters, facturas o comunicaciones automáticas.
- Se han recibido avisos de suplantación o correos sospechosos usando nombres de la empresa.
- No existe documentación clara sobre quién puede enviar correo con el dominio corporativo.
Si se cumple uno o varios de estos puntos, es recomendable revisar SPF, DKIM y DMARC antes de que el problema afecte a clientes, proveedores o procesos internos.
Una configuración correcta también mejora la imagen de la empresa
La seguridad del correo no solo es una cuestión técnica. También afecta a la confianza que transmite la organización.
Cuando los correos llegan correctamente, no aparecen advertencias extrañas y los destinatarios pueden confiar en el remitente, la comunicación empresarial funciona mejor. Esto es importante en procesos comerciales, atención al cliente, administración, selección de personal y comunicación con proveedores.
En cambio, si los mensajes llegan a spam o alguien consigue suplantar la identidad de la empresa, el impacto puede ser reputacional, económico y operativo.
Por eso, SPF, DKIM y DMARC deberían formar parte de cualquier revisión seria de correo corporativo y ciberseguridad.
Proteger el dominio también es proteger la empresa
El correo electrónico sigue siendo una puerta de entrada crítica para ataques, errores y problemas de reputación. SPF, DKIM y DMARC ayudan a proteger el dominio corporativo, mejorar la entregabilidad y reducir el riesgo de suplantación.
No se trata solo de publicar tres registros DNS. La clave está en entender qué servicios envían correo, validar que todos estén correctamente autenticados y aplicar una política progresiva que no interrumpa la actividad de la empresa.
Si tu empresa no ha revisado recientemente la autenticación de su correo, es un buen momento para hacerlo. Especialmente si usáis varios proveedores, enviáis comunicaciones automáticas o habéis detectado problemas de spam, rechazo de mensajes o sospechas de suplantación.
En Inmove IT ayudamos a empresas a revisar, proteger y mantener sus sistemas de correo dentro de una estrategia global de ciberseguridad y soporte IT. Puedes conocer más sobre nuestras soluciones de seguridad perimetral para proteger la red empresarial o contactar con nuestro equipo para valorar la mejor forma de reforzar tu entorno.
Preguntas frecuentes sobre SPF, DKIM y DMARC
Estas son algunas dudas habituales que aparecen cuando una empresa empieza a revisar la seguridad y la entregabilidad de su correo corporativo.
¿SPF, DKIM y DMARC evitan todos los correos fraudulentos?
No. Ayudan a proteger el dominio frente a suplantaciones y mejoran la autenticación del correo, pero no sustituyen a una solución antispam, a la formación de usuarios ni a otras medidas de ciberseguridad.
¿Puede una mala configuración hacer que mis correos no lleguen?
Sí. Una configuración incorrecta puede provocar rechazos, envíos a spam o fallos en servicios externos que envían mensajes en nombre de la empresa. Por eso conviene revisar antes de aplicar políticas estrictas.
¿Es suficiente con tener SPF configurado?
No es lo ideal. SPF es importante, pero DKIM y DMARC aportan capas adicionales de validación, firma y política. La combinación de los tres ofrece una protección mucho más completa.
¿Qué significa tener DMARC en modo “none”?
Significa que el dominio está recopilando información, pero no está indicando al receptor que bloquee o ponga en cuarentena los mensajes que fallan. Es útil para empezar, pero no debería ser el estado final permanente.
¿Cada cuánto debería revisarse la configuración del correo?
Conviene revisarla siempre que se añada o elimine un proveedor que envía correos, cuando se migra el correo corporativo o como parte de una revisión periódica de seguridad IT.
¿Afecta esto solo a empresas que envían newsletters?
No. Afecta a cualquier empresa que use correo corporativo. Las newsletters aumentan la necesidad de una buena configuración, pero también intervienen facturas, avisos automáticos, CRM, tickets de soporte y comunicaciones internas.




