Por qué importa ahora
Desde que Gmail y Yahoo endurecieron las reglas de remitentes masivos en 2024 y Microsoft 365 siguió patrones similares en 2025 y 2026, el correo sin SPF, DKIM y DMARC se trata cada vez más como spam o se bloquea. Reguladores y aseguradoras cibernéticas esperan DMARC en modo enforce como higiene básica. Para PYMES en Orange County: lleve DMARC a p=quarantine o p=reject o verá caer su entregabilidad y crecer su riesgo de suplantación.
Los tres registros en palabras simples
SPF (Sender Policy Framework)
Un registro TXT con los servidores autorizados a enviar por su dominio. SPF se rompe si excede 10 consultas DNS; manténgalo limpio.
DKIM (DomainKeys Identified Mail)
Firma criptográfica en los mensajes salientes, verificada con llave pública en DNS. Sobrevive el reenvío mejor que SPF y es la base de la alineación DMARC en muchos flujos.
DMARC
Política que indica a los receptores qué hacer cuando SPF o DKIM fallan la alineación (none, quarantine, reject) y a dónde enviar reportes. DMARC toma la decisión; SPF y DKIM son los sensores.
Despliegue paso a paso
Paso 1: Inventarie cada remitente (semana 1)
Liste cada servicio que envía correo con su dominio: Microsoft 365 o Google, CRM, automatización de marketing, facturación, tickets, e-commerce, RRHH, y cualquier app de negocio. Incluya impresoras que envían a correo. Olvidar remitentes es la principal causa de correo legítimo bloqueado.
Paso 2: Publique SPF y DKIM base (semana 1–2)
Construya un SPF que autorice solo a sus remitentes. Active DKIM en su proveedor principal y en cada tercero que lo soporte. Muchos SaaS piden un CNAME único para delegar llaves DKIM.
Paso 3: Publique DMARC en p=none con reportes (semana 2)
Inicie en p=none con rua= y ruf= apuntando a un procesador de reportes DMARC. Esto recopila datos sin afectar el flujo.
Paso 4: Analice los reportes por 2–4 semanas
Identifique remitentes no autorizados, shadow IT y legítimos olvidados. Ajuste SPF y añada DKIM. Aquí se invierte el tiempo y donde fallan otros despliegues por saltar el análisis.
Paso 5: Pase a p=quarantine al 25% y luego 100%
Use pct= para fases. Monitoree entregabilidad y reportes en cada paso.
Paso 6: Pase a p=reject
Cuando quarantine al 100% esté estable 2 semanas sin fallos legítimos, publique p=reject. Comunique internamente y mantenga reportes.
Errores comunes que rompen el correo
Más de 10 consultas DNS en SPF — aplane o consolide remitentes
Varios registros SPF en el mismo dominio — solo se permite uno
Olvidar autenticar subdominios de marketing
Llaves DKIM menores a 2048 bits
Saltar directo a p=reject sin reportes — la forma más rápida de bloquear nómina
No publicar BIMI tras enforce — pierde marca en clientes compatibles
Extras: ARC y BIMI
Para organizaciones con listas de correo o reenvíos intensivos, ARC preserva resultados DMARC entre saltos cuando es soportado. Tras DMARC en enforce, publicar BIMI con VMC añade su logo verificado en clientes compatibles: señal de confianza.
Lista rápida
Un único SPF consolidado con menos de 10 consultas DNS
DKIM en el proveedor principal y en todos los terceros masivos
DMARC en p=reject, 100%, con reportes fluyendo
Política de subdominio (sp=) explícita
BIMI con VMC donde convenga
Revisión trimestral de reportes
Preguntas frecuentes
¿DMARC en reject romperá mi CRM o ticketing?
No, si los autentica primero. Para eso sirve la fase de monitor.
Usamos Microsoft 365, ¿hay un camino más simple?
Sí. La guía de Microsoft más una herramienta de reportes cubre el 90% de casos PYME.
¿Cuánto toma el despliegue?
De 4 a 8 semanas. Empresas con mucho marketing toman más.
¿Lo exige PCI o HIPAA?
PCI 4.0.1 lo referencia en antiphishing; HIPAA lo espera como salvaguarda técnica. Vea PCI 4.0.1 e lista HIPAA.
¿Necesita ayuda?
BitBlockIT ejecuta programas DMARC de extremo a extremo para PYMES en Orange County. Contáctenos o explore ciberseguridad gestionada. Relacionado: deepfakes y fraude al CEO y bases de ciberseguridad.
BitBlockIT provides managed IT services, cybersecurity, cloud solutions, and IT consulting for Orange County and Southern California businesses. This page may describe our services, areas we serve, resources, blog, or contact information.
Loading…
