¿Cuál es el orden correcto para implantar SPF, DKIM y DMARC?

1) Inventariar todos los servicios que envían email desde tu dominio (servidor de correo, plataforma de email marketing, CRM, facturación, ATS). 2) Publicar SPF con todos los servicios autorizados, terminado en -all (hardfail). 3) Configurar DKIM en cada servicio que lo permita (M365, Google Workspace, SendGrid, Mailchimp). 4) Publicar DMARC en p=none con dirección de informes (rua). 5) Analizar 2-4 semanas, corregir falsos positivos. 6) Subir a p=quarantine. 7) Tras 2-4 semanas más, subir a p=reject. Total: 4-12 semanas.

¿Cuánto cuesta implantar SPF, DKIM y DMARC en una pyme?

Configuración técnica básica con un proveedor: 1.500-3.500 € (4-6 semanas). Implantación completa con análisis de informes DMARC, plataforma DMARC analyzer (Postmark, Dmarcian, Valimail), BIMI y MTA-STS: 3.500-6.500 €. Mantenimiento anual (revisión informes, ajustes ante cambios de proveedores): 800-1.500 €/año. Subvencionable parcialmente con Kit Consulting categoría ciberseguridad.

¿Qué es BIMI y por qué interesa configurarlo?

BIMI (Brand Indicators for Message Identification) permite que el logo de tu empresa aparezca junto al correo en la bandeja de entrada (Gmail, Yahoo, Apple Mail) si tienes DMARC en p=quarantine o p=reject. Refuerza la confianza del destinatario, reduce el éxito del phishing por suplantación de tu marca y mejora ligeramente las tasas de apertura. Requiere un VMC (Verified Mark Certificate) emitido por Entrust o DigiCert (250-1.500 €/año) tras verificar la marca registrada.

¿Qué errores son los más frecuentes al configurar SPF/DKIM/DMARC?

1) Olvidar incluir en SPF algún servicio legítimo (Mailchimp, ZohoCRM, Brevo), provocando que correos legítimos sean rechazados. 2) Superar el límite de 10 lookups DNS en SPF (error PermError). 3) Publicar SPF con +all (autoriza a cualquier servidor, peor que no tener SPF). 4) Configurar DKIM con claves de 1024 bits (vulnerables en 2026, usar 2048 bits). 5) Saltar directamente a DMARC p=reject sin pasar por p=none de monitorización. 6) No revisar nunca los informes XML de DMARC.

Seguridad email empresarial: SPF, DKIM, DMARC anti-phishing

Q: ¿Qué hacen exactamente SPF, DKIM y DMARC?

SPF (Sender Policy Framework) declara en un registro DNS TXT qué servidores están autorizados a enviar correo en nombre de tu dominio. DKIM (DomainKeys Identified Mail) añade una firma criptográfica a cada mensaje saliente que el receptor verifica con una clave pública publicada en tu DNS. DMARC (Domain-based Message Authentication, Reporting and Conformance) une SPF y DKIM, define la política ante fallos (none, quarantine, reject) y proporciona informes XML diarios sobre quién envía correo usando tu dominio.

Q: ¿Es obligatorio para alguna normativa?

Directamente no es obligación legal específica, pero está exigido de facto por: Google y Yahoo (desde febrero 2024 los remitentes masivos > 5.000 emails/día deben tener SPF + DKIM + DMARC alineado); pliegos AAPP que valoran la madurez en ciberseguridad; aseguradoras de ciberriesgo como condición de póliza; ISO 27001 control A.13.2.3 (mensajería electrónica); ENS dimensión Autenticidad (RD 311/2022). El RGPD lo recomienda implícitamente al exigir medidas técnicas adecuadas.

SPF autoriza servidores de envío, DKIM firma los mensajes y DMARC define la política ante fallos. Los tres protegen el dominio del phishing y la suplantación.

El correo electrónico es el vector de ataque número uno: el 90 % de los ciberataques comienzan con un email malicioso. Phishing, spear-phishing, Business Email Compromise (BEC), adjuntos con malware y enlaces a sitios de credential harvesting son amenazas diarias que tu equipo enfrenta con cada bandeja de entrada que abre. La buena noticia es que la combinación de tres tecnologías de autenticación de email (SPF, DKIM, DMARC) con medidas organizativas puede reducir drásticamente el riesgo. Esta guía le explica cómo implementarlas paso a paso. Si buscas el caso real, salta al caso de la bodega DO Ribera del Duero.

¿Por qué el email es el vector de ataque preferido?

El email es perfecto para los ciberdelincuentes por varias razones. Llega directamente al usuario final, saltando los controles perimetrales. Permite la suplantación de identidad (enviar un correo que parece venir de su banco, su jefe o un proveedor). Puede incluir adjuntos maliciosos o enlaces a sitios fraudulentos. Y explota la confianza y la urgencia, que son las palancas psicológicas más eficaces de la ingeniería social.

Los tipos de ataques por email más frecuentes son el phishing masivo (envíos a miles de destinatarios con mensajes genéricos, buscando que un porcentaje caiga), el spear-phishing (ataques personalizados dirigidos a personas específicas con información investigada), el Business Email Compromise o BEC (suplantación del CEO, del director financiero o de un proveedor para solicitar transferencias), y el malware por adjunto (documentos con macros maliciosas, PDFs con exploits, archivos comprimidos con ejecutables).

SPF: verificar quién puede enviar desde su dominio

SPF (Sender Policy Framework, RFC 7208) es un registro DNS TXT que indica qué servidores de correo están autorizados a enviar emails en nombre de su dominio. Cuando un servidor receptor recibe un correo que dice venir de su dominio, consulta el registro SPF para verificar si el servidor emisor está en la lista de servidores autorizados. Si no lo está, el correo se marca como sospechoso o se rechaza.

Para configurar SPF, identifica todos los servidores y servicios que envían email legítimamente desde su dominio (su servidor de correo, su proveedor de email marketing, su CRM si envía correos, tu sistema de facturación). Cree un registro TXT en el DNS de su dominio que liste todos estos servidores autorizados. Y verifica que funciona correctamente con herramientas como MXToolbox, dmarcian o el SPF Checker de Google.

Ejemplo de SPF para una pyme española típica que usa Microsoft 365 + Mailchimp + Brevo:

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net include:spf.sendinblue.com -all

El error más frecuente es olvidar algún servicio que envía correos legítimos, lo que provoca que sus propios correos sean rechazados. Haga un inventario exhaustivo antes de publicar el registro. Cuidado también con el límite de 10 lookups DNS (si lo superas, los receptores devuelven PermError y SPF deja de funcionar).

DKIM: firmar sus correos criptográficamente

DKIM (DomainKeys Identified Mail, RFC 6376) añade una firma criptográfica a cada correo que envía. El servidor receptor verifica esta firma contra una clave pública publicada en su DNS. Si la firma es válida, el receptor tiene la certeza de que el correo no ha sido modificado en tránsito y que realmente procede de su dominio.

La configuración de DKIM es más técnica que la de SPF porque requiere generar un par de claves criptográficas, publicar la clave pública en el DNS y configurar el servidor de correo para firmar los mensajes salientes con la clave privada. La mayoría de los servicios de correo empresarial (Microsoft 365, Google Workspace) simplifican este proceso con asistentes de configuración. En 2026 conviene usar claves de 2048 bits (las de 1024 se consideran vulnerables y desaprobadas).

DMARC: la política que une todo

DMARC (Domain-based Message Authentication, Reporting and Conformance, RFC 7489) es la pieza que une SPF y DKIM y le permite definir qué hacer con los correos que no pasan las verificaciones. Además, proporciona informes diarios en XML que le permiten monitorizar quién está enviando correos usando su dominio.

La implementación de DMARC debe ser progresiva. En la primera fase configure la política como p=none (solo monitorización, sin bloqueo). Revise los informes durante 2-4 semanas para identificar correos legítimos que fallan las verificaciones y corríjalos. En la segunda fase cambie la política a p=quarantine (los correos que fallan se envían a spam). Monitorice durante 2-4 semanas más para verificar que no hay falsos positivos. Y en la tercera fase cambie la política a p=reject (los correos que fallan se rechazan directamente). Esta es la política más segura y la que debería ser su objetivo final.

Ejemplo de DMARC en fase reject final:

v=DMARC1; p=reject; sp=reject; pct=100; rua=mailto:dmarc-reports@tudominio.com; ruf=mailto:dmarc-forensic@tudominio.com; adkim=s; aspf=s; fo=1

Tabla técnica · Comparativa SPF vs DKIM vs DMARC vs BIMI vs MTA-STS

Protocolo	Qué hace	Tipo registro	Complejidad	Obligatorio en 2026
SPF	Autoriza servidores remitentes	DNS TXT	Baja	Sí (Google/Yahoo >5k envíos/día)
DKIM	Firma criptográfica del mensaje	DNS TXT (selector._domainkey)	Media	Sí (Google/Yahoo >5k envíos/día)
DMARC	Política ante fallos + informes	DNS TXT (_dmarc)	Media-Alta	Sí (Google/Yahoo >5k envíos/día, mín. p=none)
BIMI	Logo verificado en bandeja	DNS TXT + VMC	Alta	Recomendado (marca confianza)
MTA-STS	Cifrado TLS obligatorio entre servidores	DNS TXT + política HTTPS	Media	Recomendado (confidencialidad)
TLS-RPT	Informes de fallos TLS	DNS TXT (_smtp._tls)	Baja	Recomendado (visibilidad)
DNSSEC	Firma criptográfica de las respuestas DNS	DS / DNSKEY	Media	Recomendado (proteger registros)

Más allá de SPF/DKIM/DMARC: defensa en profundidad

La autenticación de email no es suficiente por sí sola. Debe complementarse con un filtrado anti-phishing avanzado que analiza el contenido de los correos, los adjuntos y los enlaces en busca de indicadores de ataque. Los filtros más eficaces incluyen sandbox para analizar adjuntos en un entorno aislado antes de entregarlos, reescritura de URLs para verificar los enlaces en el momento del clic (no solo en la entrega), análisis de impersonation para detectar suplantaciones de identidad sofisticadas, y machine learning para identificar patrones de phishing que evaden las reglas estáticas.

La formación del personal es el complemento imprescindible de la tecnología. Las simulaciones de phishing periódicas (al menos trimestrales) con formación inmediata para quienes caen son la herramienta más eficaz para reducir la tasa de clic en correos maliciosos reales.

Consulta mio artículo sobre concienciación en ciberseguridad para diseñar un programa de formación anti-phishing eficaz.

Plan de implementación en 30 días

En la primera semana, haga inventario de todos los servicios que envían email desde su dominio y configure SPF. En la segunda semana, configure DKIM en tu servicio de correo principal. En la tercera semana, publique DMARC en modo p=none y comience a recibir informes (use una plataforma DMARC analyzer como Postmark, Dmarcian, Valimail o EasyDMARC para procesar los XML). En la cuarta semana, analiza los informes, corrija los falsos positivos y planifique la migración a p=quarantine. En los meses siguientes, progrese de quarantine a reject conforme gane confianza en la configuración. Relacionado: Consultoría Ciberseguridad Empresas: Servicios y Costes.

Caso real: bodega DO Ribera del Duero · 28 empleados · SPF/DKIM/DMARC en 3 meses

Una bodega histórica con DO Ribera del Duero, 28 empleados, sede en la comarca arandina (Burgos), exportadora a 12 países, sufrió en 2024 dos intentos serios de fraude del CEO (BEC): un correo aparentemente del gerente que pedía a la responsable administrativa una transferencia urgente de 18.500 € a un supuesto proveedor portugués. El segundo intento, dos meses después, replicaba el patrón con un importe de 27.000 €. Ambos se detuvieron por la verificación telefónica de la administrativa, pero el incidente forzó la decisión de profesionalizar la seguridad del correo.

Inventario previo: el dominio enviaba correo desde Microsoft 365 (correo corporativo), Mailjet (newsletter mensual a 8.400 suscriptores), Holded (facturación) y un CRM HubSpot de marketing. No había SPF, ni DKIM, ni DMARC publicados. Cualquier servidor del mundo podía enviar correos suplantando el dominio.

Proyecto ejecutado en 3 meses con un coste total de 4.500 € (auditoría inicial 800 € + implantación técnica SPF/DKIM/DMARC 1.700 € + suscripción anual a Dmarcian para análisis de informes 480 € + formación anti-phishing a 28 empleados 600 € + 2 simulacros 400 € + BIMI con VMC anual 520 €):

Mes 1: inventario + SPF en producción con todos los servicios + DKIM en Microsoft 365 y Mailjet + DMARC p=none.
Mes 2: análisis de informes Dmarcian: detectados 312 intentos de suplantación procedentes de 47 IPs distintas (mayoría de Europa del Este y Asia). Identificados 2 servicios legítimos no incluidos en SPF (corregidos). DMARC subido a p=quarantine.
Mes 3: DMARC subido a p=reject con pct=100. BIMI publicado con logo verificado y VMC de Entrust. MTA-STS implantado. Formación anti-phishing obligatoria a los 28 empleados con simulacro trimestral programado.

Resultados medidos en 12 meses post-implantación: cero phishing exitoso con suplantación del dominio (los intentos siguen llegando pero son rechazados en origen por los receptores), tasa de clic en simulacro trimestral del 26 % inicial al 3 % al cuarto trimestre, logo BIMI visible en clientes Gmail y Apple Mail (aumento del 11 % en tasa de apertura de la newsletter B2B según métricas Mailjet), y desaparición de los intentos de BEC al perder los atacantes la viabilidad técnica de suplantar el dominio.

Mini-glosario de seguridad del correo

SPF: Sender Policy Framework · autoriza servidores remitentes (RFC 7208).
DKIM: DomainKeys Identified Mail · firma criptográfica del mensaje (RFC 6376).
DMARC: Domain-based Message Authentication, Reporting and Conformance · política y reporting (RFC 7489).
BIMI: Brand Indicators for Message Identification · logo verificado en bandeja.
VMC: Verified Mark Certificate · certificado de marca registrada para BIMI.
MTA-STS: Mail Transfer Agent Strict Transport Security · TLS obligatorio en servidor a servidor.
TLS-RPT: TLS Reporting · informes de fallos TLS para diagnóstico.
BEC: Business Email Compromise · fraude por suplantación dirigida (CEO fraud, vendor fraud).
Spear-phishing: phishing dirigido y personalizado a personas o roles concretos.
Credential harvesting: sitio fraudulento diseñado para capturar credenciales.
DMARC analyzer: plataforma que procesa informes XML diarios para hacerlos legibles.

¿Necesita securizar el correo electrónico de tu empresa? Hablamos para una configuración profesional de SPF, DKIM y DMARC, más una evaluación de sus defensas anti-phishing.

Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs, con sede en Aranda de Duero (Burgos). Relacionado: Auditoría de Ciberseguridad: Evaluación Completa.

Preguntas frecuentes

¿Qué hacen exactamente SPF, DKIM y DMARC?

SPF declara servidores autorizados (DNS TXT). DKIM firma criptográficamente cada mensaje (clave en DNS). DMARC une SPF + DKIM, define política ante fallos (none/quarantine/reject) y proporciona informes XML diarios.

¿En qué orden hay que implantarlos?

Inventario de servicios remitentes → SPF (-all) → DKIM en cada servicio → DMARC p=none + rua → analizar 2-4 semanas → p=quarantine → 2-4 semanas más → p=reject. Total: 4-12 semanas.

¿Cuánto cuesta en una pyme?

Configuración básica: 1.500-3.500 €. Implantación completa con DMARC analyzer + BIMI + MTA-STS: 3.500-6.500 €. Mantenimiento anual 800-1.500 €. Subvencionable con Kit Consulting categoría ciberseguridad.

¿Qué es BIMI y para qué sirve?

BIMI muestra el logo verificado junto al correo en Gmail, Yahoo, Apple Mail si tienes DMARC en p=quarantine o reject. Requiere VMC (Verified Mark Certificate) de Entrust o DigiCert (250-1.500 €/año).

¿Cuáles son los errores más frecuentes?

Olvidar servicios legítimos en SPF, superar 10 lookups DNS, publicar +all, DKIM con clave de 1024 bits, saltar a p=reject sin pasar por p=none, no revisar nunca los informes XML.

¿Es obligatorio para alguna normativa?

Google/Yahoo lo exigen desde feb 2024 a remitentes >5.000/día. ISO 27001 control A.13.2.3, ENS dimensión Autenticidad, aseguradoras ciberriesgo y muchos pliegos AAPP lo valoran. RGPD lo recomienda implícitamente.

¿Necesitas ayuda con esto?

Trabaja conmigo en seguridad del correo

Implantación profesional SPF + DKIM + DMARC + BIMI + MTA-STS y formación anti-phishing para PYMEs.

Agendar sesión →

Categorías

Estrategia y diagnóstico

Ejecución y canales

Inteligencia artificial aplicada al marketing

Formación, conferencias y ponencias

Experiencia de cliente

Dirección de marketing externa

Consultoría estratégica completa.

Por categoría

Industrias en las que trabajo

Dónde trabajo

Ámbito comercial

Por tamaño de empresa

Canarias, mercado con identidad propia.

Seguridad Email Empresarial: SPF, DKIM, DMARC

¿Por qué el email es el vector de ataque preferido?

SPF: verificar quién puede enviar desde su dominio

DKIM: firmar sus correos criptográficamente

DMARC: la política que une todo

Tabla técnica · Comparativa SPF vs DKIM vs DMARC vs BIMI vs MTA-STS

Más allá de SPF/DKIM/DMARC: defensa en profundidad

Plan de implementación en 30 días

Caso real: bodega DO Ribera del Duero · 28 empleados · SPF/DKIM/DMARC en 3 meses

Mini-glosario de seguridad del correo

Trabaja conmigo en seguridad del correo

¿Quieres aplicar esto a tu organización?

Seguridad Email Empresarial: SPF, DKIM, DMARC

¿Por qué el email es el vector de ataque preferido?

SPF: verificar quién puede enviar desde su dominio

DKIM: firmar sus correos criptográficamente

DMARC: la política que une todo

Tabla técnica · Comparativa SPF vs DKIM vs DMARC vs BIMI vs MTA-STS

Más allá de SPF/DKIM/DMARC: defensa en profundidad

Plan de implementación en 30 días

Caso real: bodega DO Ribera del Duero · 28 empleados · SPF/DKIM/DMARC en 3 meses

Mini-glosario de seguridad del correo

Sigue leyendo en Ciberseguridad

Trabaja conmigo en seguridad del correo

Más sobre ciberseguridad

EU AI Act · obligaciones que empiezan el 2 agosto 2026 para PYMEs españolas

Auditoría de Ciberseguridad: Evaluación Completa

Consultoría Ciberseguridad Empresas: Servicios y Costes

Plan Director de Seguridad: Estrategia Ciberseguridad

¿Quieres aplicar esto a tu organización?