Volver al Blog
Autenticación de correo electrónico de Microsoft 365 en 2026: DMARC/DKIM/SPF o perderá la entrega

Autenticación de correo electrónico de Microsoft 365 en 2026: DMARC/DKIM/SPF o perderá la entrega

Escuchar este artículo

Loading...
0:00
0:00
Fix My PC Store2/16/2026

TL;DR: En 2026, los principales proveedores de buzones son más estrictos con la autenticación de correo electrónico de Microsoft 365. Si su SPF, DKIM y DMARC no están configurados y alineados, sus facturas, cotizaciones y respuestas de soporte pueden terminar en spam o ser rechazadas por completo. Esto tiene solución, pero solo si deja de adivinar y empieza a revisar su DNS, los encabezados y los remitentes de terceros.

Mire, llevo suficiente tiempo en esto como para recordar cuando “seguridad de correo electrónico” significaba “no abra el archivo adjunto llamado LOVE-LETTER.vbs” y todo el mundo pensaba que Windows XP iba a durar para siempre. En mis tiempos teníamos dial-up, monitores CRT que podían servir de ancla para un bote, y bandejas de entrada que aceptaban correo de prácticamente cualquiera con pulso.

Esos días se acabaron. En 2026, si su dominio no demuestra que está autorizado para enviar correo, los proveedores lo tratan como a un adolescente intentando comprar cerveza con una fotocopia borrosa de una identificación. Y luego me llama diciendo: “Hemmings, ¿por qué los clientes no están recibiendo nuestras facturas?” Veo este mismo problema tres veces por semana.

Qué cambió en 2026 (y por qué se rechaza su correo de Microsoft 365)

Los proveedores de buzones han endurecido la aplicación de la autenticación porque el spam, la suplantación (spoofing) y el compromiso de correo electrónico empresarial (BEC) siguen generando dinero para los delincuentes. El resultado es simple: el correo no autenticado o desalineado es castigado con envío a spam, limitación (throttling) o rechazo.

Y no, esto ya no es una “mejor práctica opcional”. Es como el cinturón de seguridad. Puede ignorarlo, claro, pero el parabrisas va a tener opiniones.

Síntomas comunes que estoy viendo en el mostrador de reparación

  • Facturas y cotizaciones se van a spam en Gmail, Yahoo y buzones alojados en Microsoft.
  • Respuestas de soporte desaparecen, especialmente cuando se envían desde sistemas de tickets o CRMs.
  • Rebotes aleatorios tipo “550” que empiezan a ocurrir “sin razón”. (Siempre hay una razón.)
  • Los clientes dicen: “Nunca recibimos su correo”, y usted jura que sí lo envió.

Conceptos básicos de autenticación de correo en Microsoft 365: SPF, DKIM, DMARC (en español claro)

Aquí está la versión aburrida pero efectiva.

SPF: “¿Qué servidores están autorizados a enviar por este dominio?”

SPF es un registro DNS (TXT) que indica quién está autorizado a enviar correo electrónico para su dominio. Cuando alguien recibe un mensaje que dice venir de usted, revisa su registro SPF para ver si el servidor remitente está en la lista.

Qué no hacer: No pegue cinco registros SPF distintos en el DNS porque cinco proveedores diferentes se lo dijeron. SPF debe ser un solo registro por dominio. Tener múltiples registros SPF es como poner dos volantes en un carro. Igual se va a estrellar, solo que con más confianza.

DKIM: “Este correo está firmado para que no pueda alterarse silenciosamente”

DKIM utiliza firmas criptográficas. Microsoft 365 (y otros sistemas) puede firmar los mensajes salientes, y los destinatarios pueden verificar la firma usando una clave pública publicada en su DNS.

Cuando me preguntan qué hace DKIM, les digo que es como un sello de seguridad en una cinta VHS. Si está roto, usted sabe que algo pasó entre el remitente y el destinatario.

DMARC: “Si SPF/DKIM fallan, esto es lo que debe hacerse, y aquí es donde se reporta”

DMARC se coloca por encima y le indica a los destinatarios qué hacer cuando falla la autenticación. También habilita reportes para que usted pueda ver quién está enviando correo “como si fuera usted”.

Las políticas DMARC normalmente avanzan por etapas:

  • p=none (solo monitoreo)
  • p=quarantine (tratar fallas como sospechosas, a menudo spam)
  • p=reject (rechazar por completo el correo no autenticado)

Implementación de políticas DMARC en 2026: qué significa “alineación” (y por qué importa)

Esta es la parte que complica a las pequeñas empresas. Usted puede tener SPF y DKIM “aprobando” y aun así fallar DMARC. ¿Por qué? Por la alineación.

Alineación en español claro

DMARC verifica si el dominio en la dirección visible From: coincide con el dominio que autenticó mediante SPF y/o DKIM.

  • Alineación SPF: el dominio usado en la verificación SPF (a menudo el return-path / envelope-from) se alinea con el dominio del From.
  • Alineación DKIM: el dominio de firma DKIM (d=) se alinea con el dominio del From.

Piénselo como el identificador de llamadas. Su teléfono dice “Mamá”, pero la llamada realmente viene de un número cualquiera de otro estado. Los proveedores cada vez son mejores diciendo: “Buen intento”.

Por qué los clientes de Microsoft 365 salen perjudicados

Microsoft 365 puede estar configurado correctamente, pero luego usted agrega un CRM, una plataforma de marketing, un formulario del sitio web, un escáner/impresora con scan-to-email o un sistema de tickets que envía “desde su dominio” sin la alineación adecuada de SPF/DKIM. DMARC detecta la discrepancia y su entregabilidad se descompone.

Configuración de DKIM en Microsoft 365: los pasos poco glamorosos que sí funcionan

Si quiere que la configuración de DKIM en Microsoft 365 se mantenga, hágalo de forma limpia y pruébelo. El proceso de Microsoft es directo, pero la gente se salta pasos y luego se sorprende cuando se rompe.

Qué debe hacer (a alto nivel)

  1. Confirmar que su dominio personalizado esté agregado y en buen estado en Microsoft 365.
  2. Publicar los dos registros CNAME de DKIM en el DNS público de su dominio (selectores).
  3. Habilitar la firma DKIM para el dominio en la configuración de seguridad de Microsoft 365.
  4. Enviar correos de prueba y revisar los encabezados para ver DKIM=pass y DMARC=pass.

Documentación de Microsoft (la fuente de verdad, no el grupo de “TI” de Facebook de su primo): Guía de Microsoft sobre la configuración de DKIM en Microsoft 365.

Qué no hacer: No asuma que “Microsoft se encarga”. Microsoft se encarga de muchas cosas, pero su DNS sigue siendo su DNS. Si los registros están mal, DKIM no funcionará, punto.

Alineación del registro SPF: deje de apilar includes como panqueques

SPF parece simple hasta que deja de serlo. La mayoría de las pequeñas empresas terminan con:

  • Envío desde Microsoft 365
  • Envío desde un CRM
  • Envío desde una plataforma de marketing
  • Envío desde un formulario de contacto del sitio web
  • Una copiadora intentando enviar escaneos como si estuviéramos en 2009

Las reglas de SPF que la gente sigue rompiendo

  • Un solo registro SPF TXT por dominio.
  • Mantenerse por debajo del límite de consultas DNS (SPF puede fallar si encadena demasiados includes/redirects).
  • Usar una política clara al final (a menudo -all cuando ya tiene confianza).

Qué no hacer: No use “~all” para siempre por miedo. Eso es como dejar la puerta principal sin llave porque no quiere lidiar con llaves. En algún momento, hay que cerrarla.

Cómo auditar dominios de Microsoft 365 (incluyendo remitentes de terceros) sin adivinar

Si quiere entregabilidad del correo empresarial, necesita una auditoría. No una “corazonada”. Una auditoría.

Aquí está el flujo de trabajo práctico que usamos cuando hacemos administración y soporte de Microsoft 365 para empresas en West Palm Beach y el resto de Palm Beach County.

Paso 1: Liste cada sistema que envía correo como su dominio

Anótelos. Todos.

  • Buzones de usuario de Microsoft 365
  • Buzones compartidos
  • Copiadoras y escáneres
  • Formularios de contacto del sitio web
  • CRMs (HubSpot, Salesforce, etc.)
  • Sistemas contables que envían facturas
  • Sistemas de tickets y herramientas de chat

Paso 2: Revise los registros DNS de SPF, DKIM y DMARC

Usted está verificando lo que el mundo ve. No lo que alguien cree que configuró hace dos años.

  • El registro SPF TXT existe, es único e incluye a los remitentes correctos.
  • Los registros CNAME de DKIM existen para los selectores de Microsoft 365 y para cualquier tercero que los requiera.
  • El registro DMARC existe y tiene direcciones de reporte que usted controla.

Paso 3: Envíe correos de prueba y lea los encabezados

Los encabezados no mienten. La gente sí. Usted quiere ver:

  • SPF=pass
  • DKIM=pass
  • DMARC=pass
  • Alignment=pass (SPF y/o DKIM alineados con el dominio del From)

Paso 4: Corrija el problema del “dominio From” con servicios de terceros

Aquí es donde vive la mayor parte del dolor. Un sistema de terceros puede enviar usando su propia infraestructura y, si no firma con DKIM usando su dominio o no alinea SPF correctamente, DMARC falla.

Opciones (depende del servicio):

  • Habilitar la firma DKIM con dominio personalizado en la plataforma de terceros.
  • Configurar la plataforma para usar Microsoft 365 como relay (si es compatible y apropiado).
  • Usar un subdominio dedicado para marketing (como mail.yourdomain.com) para no dañar la reputación de su dominio principal.

Rechazo de correo saliente y protección de la reputación del dominio: lo que realmente pasa cuando ignora esto

Esto es lo que realmente pasa cuando lo ignora:

  • Su dominio recibe un golpe de reputación porque los destinatarios marcan mensajes como spam o los proveedores detectan fallas.
  • La entrega empeora con el tiempo, no mejora.
  • Alguien suplanta su dominio para enviar facturas falsas o cambios de nómina (BEC clásico), y ahora usted tiene un problema de confianza.

Si no tiene activados los reportes de DMARC, es posible que ni siquiera sepa que hay suplantación hasta que un cliente lo llame molesto. Y sí, esa llamada siempre llega a las 4:55 PM un viernes.

La descripción general de DMARC de Microsoft vale la pena si quiere la redacción oficial: Guía de Microsoft sobre cómo configurar DMARC para correo electrónico.

Endurecimiento del correo con TI administrada: por qué un MSP es útil (cuando no son solo “gente de checklist”)

Usted puede hacerlo por su cuenta si es cuidadoso. También puede reconstruir su propia transmisión en la entrada de su casa. Algunas personas pueden. La mayoría termina con tornillos de sobra y mal humor.

Un buen MSP no solo “pone DMARC en reject” y desaparece. Un buen MSP:

  • Implementa DMARC por fases (none - quarantine - reject) basándose en datos reales de reportes.
  • Da seguimiento a los remitentes de terceros y documenta por qué cada uno está autorizado.
  • Monitorea los reportes DMARC para detectar temprano nueva suplantación y nuevas malas configuraciones.
  • Entrega un resumen mensual en español claro: qué está enviando, qué está fallando y qué cambió.

Eso es parte de lo que hacemos con servicios de TI administrada para correo y Microsoft 365. No es glamoroso, pero mantiene la comunicación de su empresa funcionando como un buen refrigerador: silencioso, confiable y sin exigir atención todos los días.

Dónde encaja la ciberseguridad

La autenticación de correo también es un control de seguridad. Reduce el riesgo de suplantación, lo que disminuye las probabilidades de que alguien logre hacerse pasar por su propietario, su contable o su proveedor.

Si quiere el resto de las cerraduras en las puertas, vea servicios de ciberseguridad para empresas. Porque DMARC no evita que alguien haga clic en un enlace malicioso. Solo hace más difícil que los atacantes finjan ser usted.

Plan práctico de implementación de DMARC para pequeñas empresas en Palm Beach County

Aquí está el plan “aburrido pero efectivo” que recomiendo para la mayoría de las pequeñas empresas a las que ayudamos en West Palm Beach, Palm Beach Gardens, Jupiter, Lake Worth, Boynton Beach y Boca Raton.

Fase 1: DMARC p=none (monitoreo)

  • Publicar DMARC con p=none.
  • Activar reportes hacia buzones que usted controle.
  • Corregir fallas evidentes de SPF/DKIM e identificar remitentes desconocidos.

Fase 2: Pasar a quarantine

  • Después de entender sus remitentes, cambiar a p=quarantine.
  • Vigilar correo legítimo que empiece a fallar (normalmente un sistema de un proveedor olvidado).

Fase 3: Pasar a reject (cuando esté listo)

  • Cuando sus fuentes legítimas estén alineadas, establecer p=reject.
  • Seguir monitoreando los reportes. Se agregan nuevas herramientas, la gente se registra en nuevos CRMs y el ciclo se repite.

Lista rápida: qué verificar hoy

  • SPF: Un registro, incluye todos los remitentes legítimos, termina con un mecanismo all apropiado.
  • DKIM: Habilitado para cada dominio de Microsoft 365, CNAMEs de DNS correctos, encabezados muestran DKIM=pass.
  • DMARC: El registro existe, reportes habilitados, la política coincide con su nivel de madurez (none - quarantine - reject).
  • Alineación: DMARC aprueba con SPF y/o DKIM alineados para el dominio del From.
  • Remitentes de terceros: Cada uno tiene un método documentado para alinear (firma DKIM o alineación correcta de SPF/return-path).

Si todo eso suena como mucho, es porque lo es. El correo electrónico es como un carro viejo con “personalidad”. Funciona bien hasta que usted ignora el mantenimiento; entonces elige el peor momento para demostrar un punto.

Cuando esté listo para dejar de perder cotizaciones por filtros de spam y empezar a proteger la reputación de su dominio, comience aquí: servicios de TI para empresas. Lo mantendremos simple, documentaremos todo y no le venderemos cosas brillantes que no necesita.

Sugerencia de ubicación de imágenes de apoyo: Coloque la imagen m365-dmarc-alignment-message-header-results.jpg después de la sección de “alineación” anterior. Coloque third-party-sender-microsoft-365-spf-dkim-audit-checklist.jpg después de la sección de auditoría.

¿Necesita soporte de TI confiable para su empresa?

Obtenga servicios profesionales de TI administrada, soporte de Microsoft 365 y ciberseguridad de los expertos en tecnología empresarial de Palm Beach County.

Obtener ayuda de TI para empresas

También Te Puede Interesar