Entender la autenticación de correo electrónico y la suplantación de dominios (spoofing): SPF, DKIM y DMARC

Tu negocio es un objetivo de ataques de phishing y spoofing (suplantación de identidad). Si tu correo electrónico no está autenticado, los atacantes pueden suplantar fácilmente tu dominio. Sin autenticación, cualquier persona en internet puede enviar un correo electrónico haciéndose pasar por ti.

Prueba Proton Mail gratis durante 14 días Solicita una demostración

¿Qué significa la autenticación de correo electrónico?

La autenticación de correo electrónico es un conjunto de estándares técnicos que verifican que el remitente de un correo electrónico es quien dice ser. Se desarrolló porque el protocolo de correo electrónico original (Simple Mail Transfer Protocol o SMTP) no cuenta con ninguna función integrada para evitar que se falsifique la dirección del remitente.

Para entender la autenticación, resulta útil saber que un correo electrónico tiene dos direcciones de remitente:

1. El remitente del sobre (RFC 5321)

Conocida también como dirección MAIL FROM, remitente P1 o ruta de retorno (return-path), esta es la dirección técnica que utilizan los servidores de correo electrónico en un segundo plano para el enrutamiento y la entrega.

Propósito: le indica al servidor receptor a dónde enviar los mensajes automáticos, como las notificaciones de rebote o los informes de no entrega (NDR).
Visibilidad: por lo general, los destinatarios nunca ven esta dirección en su cliente de correo electrónico, ya que forma parte del "sobre" oculto del mensaje.
Rol de seguridad: esta es la dirección que verifica SPF.

2. El remitente del encabezado (RFC 5322)

Conocida también como dirección De: o remitente P2, esta es la dirección visible en tu bandeja de entrada (por ejemplo, De: tu-banco@ejemplo.com).

Propósito: esta es la dirección "amigable" diseñada para la interacción humana, que informa al destinatario de parte de quién parece estar el mensaje.
Visibilidad: esta es la única dirección que ven la mayoría de los usuarios al abrir su bandeja de entrada.
Rol de seguridad: esta dirección es la que los atacantes suelen suplantar con más frecuencia (spoofing) y constituye el objetivo principal de las comprobaciones de alineación de DMARC.

Este diseño simplifica la suplantación de identidad de correo electrónico (spoofing), es decir, falsificar la dirección De:. Un atacante puede utilizar un remitente de sobre válido que controle para superar las comprobaciones básicas del servidor, mientras que utiliza un remitente de encabezado fraudulento para engañar al destinatario. Los protocolos de autenticación de correo electrónico como DMARC solucionan este problema al exigir que los dominios de estos dos remitentes coincidan.

¿Por qué es esencial la autenticación de correo electrónico para las empresas?

Para las empresas, implementar la autenticación de correo electrónico es una defensa no negociable. Permite:

Evitar la suplantación de identidad (spoofing) y el phishing: impide que los atacantes envíen correos electrónicos fraudulentos desde tu dominio.

Proteger la reputación de tu marca: evita que tu marca se asocie con spam y estafas de phishing.

Mejorar la entregabilidad del correo electrónico: indica a otros proveedores de correo electrónico que eres un remitente legítimo, lo que evita que tus correos terminen en la carpeta de spam.

Los 3 métodos principales de autenticación de correo electrónico

Una defensa sólida se basa en el funcionamiento conjunto de tres estándares: SPF, DKIM y DMARC. Cada uno se apoya en el anterior para crear una defensa de varias capas.

1. Sender Policy Framework (SPF)

Sender Policy Framework (SPF) es una lista pública de todos los servidores (por dirección IP) autorizados a enviar correos electrónicos en nombre de tu dominio.

Cómo funciona

Publicas esta lista como un registro TXT de DNS para tu dominio. Cuando un servidor de correo electrónico receptor recibe un mensaje, comprueba la IP del servidor emisor en esa lista. Si la IP está en la lista, el mensaje supera la comprobación SPF; de lo contrario, falla.

El punto débil

SPF solo verifica la dirección técnica de envío que utilizan los servidores de correo electrónico, no la dirección De: visible que los usuarios ven en su bandeja de entrada. Este vacío de seguridad permite a los suplantadores superar las comprobaciones SPF. Como SPF es un protocolo basado en rutas, también suele fallar cuando un correo electrónico se reenvía a través de una lista de direcciones o un servidor asociado. Como el servidor de reenvío no está en tu lista autorizada, la comprobación falla.

2. DomainKeys Identified Mail (DKIM)

DomainKeys Identified Mail (DKIM) añade una firma digital única e inviolable al contenido del mensaje, incluido el encabezado De:.

Cómo funciona

Esta firma se crea mediante una clave privada que solo tu servidor conoce. La clave pública correspondiente se publica en tu DNS. Los servidores receptores utilizan esta clave pública para verificar la firma. Si es válida, demuestra que el correo electrónico procede de tu dominio y que su contenido no se ha modificado en tránsito.

El punto débil

Al igual que ocurre con SPF, DKIM no detiene por sí mismo la suplantación de identidad de correo electrónico (spoofing). La firma demuestra que el mensaje es auténtico para el dominio que lo envió, no necesariamente para el dominio que se muestra en la dirección De:.

3. Autenticación de mensajes, informes y conformidad basada en dominios (DMARC)

La autenticación de mensajes, informes y conformidad basada en dominios (DMARC) es la política que vincula SPF y DKIM. DMARC es la regla que indica a los servidores de correo electrónico que solo confíen en los correos electrónicos si la dirección De: que ves coincide con las comprobaciones de autenticación que se realizan en segundo plano. Cierra la brecha de seguridad que los atacantes aprovechan cuando solo se usa SPF o DKIM.

Cómo funciona

DMARC requiere que el dominio de la dirección De: visible coincida con el dominio utilizado en la comprobación de SPF o DKIM que haya sido superada. Este paso vital conecta la dirección del remitente visible con la verificación técnica.

También indica a los servidores qué hacer: tu política de DMARC (p) es lo que indica a los servidores receptores cómo gestionar los fallos:

p=none (Monitor): no realizar ninguna acción. Solo te envía informes sobre quién está enviando correos electrónicos desde tu dominio.
p=quarantine (Cuarentena): enviar los correos electrónicos fallidos a la carpeta de spam.
p=reject (Rechazar): bloquear por completo los correos electrónicos fallidos.

Protege tu negocio de la suplantación (phishing) y de la suplantación de identidad de correo electrónico (spoofing) de dominios

Más del 90 % de todas las vulneraciones de datos comienzan con un ataque de suplantación (phishing) o suplantación de identidad de correo electrónico (spoofing). Implementar SPF, DKIM y DMARC es tu primera línea de defensa, pero debe combinarse con un proveedor de correo electrónico que sea seguro por defecto.

Proton Mail for Business está diseñado para bloquear estas amenazas antes de que lleguen a tu equipo. Nuestra detección avanzada contra la suplantación de identidad de correo electrónico (spoofing), la tecnología PhishGuard y el cifrado de extremo a extremo ofrecen una defensa integral que es sencilla de administrar.

Prueba Proton Mail gratis durante 14 días Solicita una demostración

Cómo configurar la autenticación de correo electrónico (paso a paso)

Proteger tu dominio implica añadir algunos registros en los ajustes de tu sistema de nombres de dominio (DNS), los cuales administra tu registrador de dominios (como GoDaddy, Namecheap o Cloudflare).

Paso 1

Crea tu registro SPF

Primero, identifica todos los servicios que utilizas para enviar correos electrónicos (por ejemplo, tu proveedor de correo electrónico, un servicio de boletines como Mailchimp, un CRM). Tu registro SPF debe incluirlos todos. Por ejemplo, el registro SPF de Proton Mail es v=spf1 include:_spf.proton.me mx ~all. Deberías añadir esto como un registro TXT en los ajustes de tu DNS.

Paso 2

Configura tu firma DKIM

En el panel de administrador de tu Proton Mail (o de otro proveedor), ve a los ajustes de dominio. El sistema generará una clave DKIM única para ti. El proceso de configuración de DKIM en Microsoft 365, Google Workspace o Proton es similar: copias la clave generada y creas un nuevo registro TXT en tu DNS según las instrucciones.

Paso 3

Implementa tu política DMARC

Añadir la política DMARC (p) es el paso final. Se debe implementar por etapas para evitar el bloqueo de tus propios correos electrónicos legítimos:

Empieza con p=none: crea un registro DMARC con una política de p=none. Este modo de monitorización te permite recibir informes sobre fallos de correo electrónico sin afectar a la entrega de tu correo.
Analiza los informes: usa los informes DMARC para encontrar cualquier servicio legítimo que esté fallando en las comprobaciones y añádelos a tus registros SPF y DKIM.
Pasa a p=quarantine: cuando estés seguro, cambia tu política a p=quarantine. Esto enviará los correos electrónicos fallidos a la carpeta de spam.
Pasa a p=reject: tras realizar más monitorización, pasa a p=reject para bloquear la entrega de todos los correos electrónicos fraudulentos.

Para obtener instrucciones de configuración detalladas, que incluyen capturas de pantalla y valores de registro, consulta la guía de soporte de Proton.

Más allá de lo básico: ARC y BIMI

Una vez que tus registros SPF, DKIM y DMARC estén configurados, hay dos estándares opcionales que pueden aportar un valor adicional:

Cadena de recepción autenticada (ARC)

Mantiene intactos tus resultados de autenticación cuando se reenvían correos electrónicos (como a través de listas de direcciones), lo que a menudo rompe el SPF o el DKIM.

Indicadores de marca para la identificación de mensajes (BIMI)

Permite que el logotipo oficial de tu empresa se muestre junto a tus correos electrónicos en las bandejas de entrada compatibles. Piensa en ello como una «marca de verificación» para el correo electrónico. Para cumplir los requisitos, necesitas una política DMARC estricta (quarantine o reject).

Cómo protege Proton Mail tu correo electrónico profesional

Configurar la autenticación de correo electrónico es fundamental, pero solo es una parte de una estrategia de seguridad completa. Proton Mail añade capas adicionales de protección para mantener tu negocio a salvo de amenazas avanzadas.

Detección avanzada de suplantación de identidad de correo electrónico (spoofing)

Proton Mail comprueba automáticamente SPF, DKIM y DMARC en todos los mensajes entrantes. Los correos electrónicos que no superan estas comprobaciones se marcan claramente, lo que reduce el riesgo de suplantación de identidad.

PhishGuard

PhishGuard identifica enlaces sospechosos, patrones y otras señales de advertencia que los filtros básicos suelen pasar por alto, lo que ayuda a bloquear los intentos de suplantación antes de que lleguen a los empleados.

Cifrado de extremo a extremo y de acceso cero

Los correos electrónicos entre usuarios de Proton se cifran automáticamente de extremo a extremo. Todos tus datos se almacenan con cifrado de acceso cero, lo que significa que ni siquiera nosotros podemos leer tus correos electrónicos.

Confirmación de enlaces

Cuando los usuarios hacen clic en un enlace de un correo electrónico, Proton Mail muestra una vista previa completa de la URL de destino, lo que ayuda a evitar clics accidentales en sitios maliciosos.

Prueba Proton Mail gratis durante 14 días Solicita una demostración

Protege tus comunicaciones empresariales

Protege a tu empresa de la suplantación, la suplantación de identidad de correo electrónico (spoofing) y las vulneraciones de datos con el servicio de correo electrónico que prioriza la seguridad y la privacidad. Implementa una autenticación de correo electrónico sólida y benefíciate del cifrado de extremo a extremo y de una protección avanzada contra la suplantación, todo en una solución sencilla y segura.

Prueba Proton Mail for Business Solicita una demostración

Preguntas frecuentes

¿Cuál es la diferencia entre SPF y DKIM?: SPF comprueba quién tiene permiso para enviar correos electrónicos en tu dominio verificando el servidor de envío.
DKIM comprueba que el propio mensaje no haya sido manipulado mediante el uso de una firma digital.
Resuelven problemas distintos, por lo que necesitas ambos (y DMARC) para contar con una defensa completa.
¿Cómo comprueban la autenticación los servidores de correo electrónico?: Cuando un servidor de correo electrónico recibe un mensaje, busca los registros SPF, DKIM y DMARC del remitente. Registra los resultados (como spf=pass o dkim=fail) en un encabezado oculto llamado Authentication-Results. A continuación, tu proveedor de correo electrónico utiliza esa información, junto con muchas otras señales, para decidir si entrega el mensaje en tu bandeja de entrada, lo marca como spam o lo bloquea.
¿Cuánto tiempo tarda en funcionar DMARC?: El registro DNS suele activarse en unas pocas horas. But implementar DMARC de forma segura lleva tiempo: empiezas con una política de solo monitorización (p=none), analizas los informes, solucionas los problemas de los remitentes legítimos que fallen y luego pasas gradualmente a políticas más estrictas (p=quarantine o p=reject). Este proceso suele llevar varias semanas o meses.
¿Qué pasa si los estafadores suplantan mi correo electrónico?: DMARC incluye una función de informes que te indica si alguien está intentando suplantar la identidad de tu dominio. Si descubres esto, debes alertar a tu personal, informar a tus clientes y denunciar la estafa a las fuerzas del orden y a organizaciones contra la suplantación como la FTC o el Anti-Phishing Working Group.
¿Puede esto detener todos los ataques de suplantación?: Ninguna herramienta por sí sola lo detiene todo. SPF, DKIM y DMARC son excelentes para bloquear la suplantación de identidad de correo electrónico (spoofing) directa de dominios. Pero los atacantes también utilizan trucos como dominios similares o cuentas comprometidas. Por eso, la autenticación debe formar parte de una defensa por capas, junto con la formación de los usuarios y funciones de protección avanzadas como PhishGuard de Proton.