EN RESUMEN
Microsoft exigirá que los dominios que envíen más de 5.000 correos al día a cuentas Outlook/Hotmail cumplan con protocolos de autenticación como DMARC, SPF y DKIM. De lo contrario, los correos podrían ser marcados como spam o bloqueados. Esta medida, alineada con Google y Yahoo, busca reducir el phishing y mejorar la seguridad del correo electrónico.
Índice de temas
Correos enviados a la carpeta de spam
A partir del 5 de mayo de 2025, Microsoft ha anunciado que, si el dominio del remitente de un correo electrónico no cumple con ciertas reglas, sus correos electrónicos podrán terminar en la carpeta de spam. Así de sencillo.
Llegado el momento, Microsoft ha afirmado que incluso podría decidir bloquear completamente esos dominios.
Se trata de una medida que se alinea con las políticas que ya implementaron Google y Yahoo hace tiempo y que persigue que el envío y recepción de correos electrónicos sean más seguros y con garantías de su origen.
La medida afecta a los dominios que envíen más de 5.000 correos electrónicos por día a direcciones de outlook.com, hotmail.com y live.com.
DMARC, el concepto de referencia
DMARC —Domain-based Message Authentication, Reporting & Conformance— es el servicio de referencia sobre el que se sustenta esta medida y con ella la comprobación del origen de los correos electrónicos.
Se trata de un concepto, en ocasiones desconocido, que ayuda a proteger a los usuarios de aquellos correos que resultan ser falsos o engañosos.
El servicio asegura que solo las personas autorizadas puedan enviar mensajes desde un dominio. Con ello se reduce el riesgo de fraudes tan extendidos como el phishing o el spoofing. Al mismo tiempo, DMARC permite que las empresas puedan mejorar la entrega de sus correos y evitar que sean marcados como spam. Y, para conseguir este objetivo, recurre a dos comprobaciones indispensables: SPF y DKIM.
¿Qué es SPF?
Expresado de forma sencilla, SPF —Sender Policy Framework— es como una lista de verificación que dice a los servidores de correo quién está autorizado a enviar mensajes en nombre de un dominio.
Así, si alguien intenta enviar un correo desde un lugar no autorizado, el correo puede ser rechazado.
Por ejemplo, si una compañía es propietaria de un dominio llamado «mi-empresa.com» querrá que solo se permita que los correos se envíen desde un servidor de su proveedor de correo, definido como «proveedor.com».
De este modo, cualquier mensaje que provenga de otro servidor deberá ser rechazado por el destinatario, ya que sabrá que el remitente no está autorizado a ello.
¿Qué es DKIM?
DKIM —DomainKeys Identified Mail— es la segunda comprobación que puede hacerse para verificar la validez de un correo electrónico. Básicamente, se trata de agregar una firma digital a cada correo enviado.
Este mecanismo permite que el servidor que recibe el correo verifique que el mensaje realmente proviene del origen especificado y que no ha sido alterado en el camino.
Por ejemplo, si la misma compañía anterior, “mi-empresa.com”, quiere lanzar una campaña de publicidad de un producto, enviando correos electrónicos a una lista de destinatarios, DKIM permitirá que los receptores verifiquen que el mensaje realmente proviene de «mi-empresa.com» y que no ha sido alterado en el camino. Así, si alguien intenta modificar el contenido del mensaje para engañar a los posibles clientes, la firma DKIM ya no coincidirá y el correo será marcado como sospechoso.
Pero volvamos a DMARC…
Una vez que hemos entendido las dos comprobaciones, SPF y DKIM, sobre el origen de un correo electrónico, DMARC unificará su verificación indicando cómo proceder en caso de que alguna de las comprobaciones falle. Es decir, DMARC se encargará de señalar a los servidores de correo cómo deben actuar si las comprobaciones de SPF y DKIM no resultan satisfactorias.
Por ejemplo, si alguna de las comprobaciones no se cumple, DMARC podría optar simplemente por rechazar los mensajes o que estos se enviaran a la carpeta de spam.
Así, siguiendo con el ejemplo anterior, si alguien intenta enviar un correo no autorizado desde un servidor que dice llamarse «mi-empresa.com» pero que en realidad es un intento de phishing o spoofing, DMARC puede decidir que ese mensaje sea rechazado de inmediato.
¿Cómo se activa el servicio DMARC?
Para las empresas que aún no han implementado DMARC es hora pues de actuar. No solo es importante para evitar que sus correos se pierdan en el limbo del spam, sino también para proteger la reputación de la compañía y la seguridad de sus correos.
La forma de habilitar DMARC es relativamente sencilla. Solo es necesario crear un registro DMARC en el DNS del dominio de la empresa.
Ese registro debe tener una estructura parecida a la siguiente:
v=DMARC1; p=quarantine; rua=mailto:informes@empresa.com; ruf=mailto:informes@empresa.com; pct=100; sp=none;
donde
- v=DMARC1 indica que estamos ante un registro DMARC;
- p=none/quarantine/reject define qué hacer cuando las comprobaciones de SPF y/o DKIM no se cumplen (no hacer nada, enviar a cuarentena o rechazar);
- rua=mailto:informes@empresa.com especifica la dirección de correo a donde se enviarán los informes sobre aquellos correos que han tenido fallos en la autenticación;
- ruf=mailto:informes@empresa.com indicará a dónde se enviarán los informes forenses (detallados) sobre los correos fallidos;
- pct=100 indica que las comprobaciones se aplican al 100% de los correos;
- sp=none/quarantine/reject las comprobaciones se aplicarán a los subdominios.
Una vez definidas las acciones a realizar —tras las comprobaciones del SPF y DKIM— solo habrá que guardar los cambios y esperar un tiempo para que esa información se propague por todos los servicios de DNS —esto puede tardar desde unos minutos hasta 48 horas.
Soluciones avanzadas para DMARC
Aunque la configuración de DMARC puede hacerse de forma manual, con los permisos de administración adecuados, actualmente existen herramientas avanzadas que ayudan a configurar y verificar si un dominio está cumpliendo las normas definidas por DMARC, sobre todo en aquellas compañías que disponen de múltiples dominios y realizan numerosas campañas de marketing.
Por ejemplo, Red Sift OnDMARC es una de esas herramientas que pueden gestionar fácilmente la configuración de los servicios DMARC, la autenticación de los correos y recibir informes sobre posibles intentos de suplantación.
En resumen, las nuevas exigencias de Microsoft son una llamada a la acción. Ignorar estas reglas podría causar problemas serios en muchas compañías.
Sin embargo, si se actúa ahora, no solo se evitarán esos problemas, sino que también se mejorará la confianza de los destinatarios en las comunicaciones y en los mensajes recibidos.
Usted decide. Pero, si no ha hecho ya, recuerde que posiblemente es hora de implantar DMARC.
