¿Alguien está enviando correos desde tu dominio sin tu permiso?

Sin SPF, DKIM y DMARC, cualquier persona en el mundo puede enviar correos que parecen venir de tuempresa.cl. Tus clientes los recibirán como si fueran tuyos. Esta guía te muestra cómo impedirlo.

Por qué el correo electrónico es el vector de ataque número uno

El 90% de los ciberataques exitosos comienzan con un correo electrónico. No es exageración: es la estadística consistente que reportan todas las grandes empresas de seguridad año tras año. Y tiene una razón técnica concreta: el correo electrónico fue diseñado en los años 70 sin ningún mecanismo de verificación de identidad.

Cuando tu proveedor de correo envía un mensaje, el servidor receptor no tiene forma nativa de saber si ese mensaje realmente vino de quien dice ser. Es como recibir una carta en papel sin sobres sellados ni firma notarial: cualquiera puede escribir el nombre del remitente que quiera.

Los tres ataques que debes entender

Spoofing (suplantación de dominio): Un atacante envía correos desde gerencia@tuempresa.cl sin tener acceso a tu servidor. El destinatario ve tu nombre de empresa y cree que es legítimo.

Phishing desde tu dominio: Se usa el spoofing para engañar a tus clientes o empleados. El correo parece tuyo pero contiene un enlace malicioso o solicita una transferencia bancaria urgente.

BEC (Business Email Compromise): Un atacante se hace pasar por el gerente general o el contador de una empresa para pedirle a un empleado que transfiera fondos. En Chile, este fraude ha causado pérdidas de millones de pesos en PYMEs.

SPF: el primer escudo

Qué hace SPF en términos simples

SPF (Sender Policy Framework) es como una lista de servidores autorizados que publicas en el DNS de tu dominio. Le dices al mundo: “Los únicos servidores que pueden enviar correos desde @tuempresa.cl son estos”. Cuando llega un correo que dice ser de tu empresa, el servidor receptor consulta esa lista. Si el servidor que envió el correo no está en la lista, puede rechazarlo o marcarlo como sospechoso.

Cómo se ve un registro SPF

Un registro SPF es una línea de texto que se agrega al DNS de tu dominio como un registro tipo TXT:

v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all

Desglose de este ejemplo:

v=spf1: declara que esto es un registro SPF versión 1
include:_spf.google.com: autoriza los servidores de Google (Google Workspace)
include:spf.protection.outlook.com: autoriza los servidores de Microsoft (Microsoft 365)
~all: todo lo demás se marca como sospechoso (softfail)

El significado de los calificadores al final

Símbolo	Nombre	Significado
`+all`	Pass	Acepta todo (¡nunca uses esto!)
`~all`	Softfail	Marca como sospechoso pero acepta
`-all`	Fail	Rechaza cualquier servidor no listado
`?all`	Neutral	No hace nada (inútil para seguridad)

Para la mayoría de las empresas, empieza con ~all y cuando hayas verificado que todo tu correo legítimo está listado, cambia a -all.

Cómo crear tu registro SPF

Identifica todos los sistemas que envían correos desde tu dominio:
- Tu proveedor de correo principal (Google, Microsoft, otro)
- Plataformas de email marketing (Mailchimp, Brevo, HubSpot)
- Tu sistema de gestión o ERP si envía correos automáticos
- Tu sitio web (formularios de contacto, notificaciones)
- Plataformas de facturación electrónica
Obtén el bloque SPF de cada proveedor (lo buscan en su documentación de soporte)
Combina todo en un solo registro TXT (solo puede haber un SPF por dominio)

Ejemplos de bloques SPF de proveedores comunes:

Google Workspace: include:_spf.google.com
Microsoft 365: include:spf.protection.outlook.com
Mailchimp: include:servers.mcsv.net
Brevo (ex-Sendinblue): include:spf.sendinblue.com
AWS SES: include:amazonses.com

DKIM: la firma digital de tus correos

Qué hace DKIM en términos simples

DKIM (DomainKeys Identified Mail) funciona como una firma digital en cada correo que envías. Tu servidor de correo firma cada mensaje con una clave privada secreta. El destinatario puede verificar esa firma consultando una clave pública que publicas en tu DNS.

Si alguien intercepta un correo y modifica el contenido, la firma ya no coincide y el servidor lo detecta. Si alguien intenta enviar un correo falso en tu nombre, no tiene tu clave privada, por lo que no puede firmar correctamente.

Por qué DKIM es diferente a SPF

SPF verifica que el servidor que envía es el correcto. DKIM verifica que el contenido del correo no fue alterado en el camino. Son complementarios: necesitas ambos.

Cómo activar DKIM (el proceso general)

A diferencia de SPF que tú creas manualmente, DKIM requiere que tu proveedor de correo genere el par de claves.

En Google Workspace:

Ve a admin.google.com > Apps > Google Workspace > Gmail
Selecciona “Autenticar el correo electrónico”
Selecciona tu dominio y haz clic en “Generar nueva clave”
Google te entregará un registro DNS para agregar (tipo TXT)
Agrega ese registro en tu DNS
Espera 48 horas y haz clic en “Iniciar autenticación”

En Microsoft 365:

Ve al Centro de Administración de Exchange
Selecciona Flujo de correo > Conectores, o busca “DKIM” en el buscador del admin
Selecciona tu dominio y activa DKIM
Microsoft te dará dos registros CNAME para agregar en tu DNS
Agrega ambos registros y espera hasta 48 horas

Cómo se ve un registro DKIM en tu DNS

El registro que genera tu proveedor es largo y se ve algo así:

Nombre: selector1._domainkey.tuempresa.cl
Tipo: TXT
Valor: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNA...

El selector1 es un identificador. Los proveedores suelen tener selector1 y selector2 para rotar claves sin interrupciones.

DMARC: el coordinador y el reporte

Qué hace DMARC en términos simples

DMARC (Domain-based Message Authentication, Reporting & Conformance) es el que da instrucciones a los servidores receptores sobre qué hacer cuando un correo falla las verificaciones de SPF o DKIM. También te envía reportes diarios de quién está enviando correos usando tu dominio.

Sin DMARC, aunque tengas SPF y DKIM perfectos, cada servidor receptor decide por su cuenta qué hacer con los correos que fallan. Con DMARC, tú decides la política.

Las tres políticas de DMARC

Política	Acción	Cuándo usarla
`none`	Solo monitorear, no hace nada	Al comenzar, para revisar reportes sin afectar el correo
`quarantine`	Manda a spam los que fallan	Después de verificar que tu correo legítimo pasa correctamente
`reject`	Rechaza y descarta los que fallan	Estado final cuando todo está configurado y verificado

Cómo se ve un registro DMARC

El registro DMARC también es un TXT en tu DNS, bajo el subdominio _dmarc:

Nombre: _dmarc.tuempresa.cl
Tipo: TXT
Valor: v=DMARC1; p=none; rua=mailto:dmarc@tuempresa.cl; ruf=mailto:dmarc@tuempresa.cl; fo=1

Desglose:

v=DMARC1: versión del protocolo
p=none: política actual (solo monitorear)
rua=: dirección para recibir reportes agregados diarios (un resumen)
ruf=: dirección para reportes de mensajes individuales que fallaron
fo=1: genera reportes cuando SPF o DKIM falla (no solo cuando ambos fallan)

Usa una dirección de correo dedicada para reportes DMARC

Los reportes DMARC pueden ser voluminosos. Crea un buzón específico como dmarc@tuempresa.cl y usa una herramienta gratuita como DMARC Analyzer o Postmark DMARC para interpretarlos visualmente.

El camino de implementación DMARC recomendado

Fase 1 (semanas 1-4): Monitoreo

v=DMARC1; p=none; rua=mailto:dmarc@tuempresa.cl

Observa los reportes. Identifica todos los remitentes legítimos de tu dominio.

Fase 2 (semanas 5-8): Cuarentena parcial

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@tuempresa.cl

El pct=25 aplica la política solo al 25% de los correos que fallan. Así detectas problemas antes de bloquear todo.

Fase 3 (mes 3 en adelante): Rechazo total

v=DMARC1; p=reject; rua=mailto:dmarc@tuempresa.cl

Todos los correos que no pasen SPF o DKIM son rechazados. Este es el estado final deseable.

Configuración en los paneles DNS más comunes

En Cloudflare

Inicia sesión en dash.cloudflare.com
Selecciona tu dominio
Haz clic en DNS en el menú lateral
Haz clic en Agregar registro
Selecciona tipo TXT
En “Nombre”, escribe el nombre del registro (por ejemplo, @ para el dominio raíz en SPF, o _dmarc para DMARC)
En “Contenido”, pega el valor del registro
TTL: puede quedar en “Auto”
Importante: asegúrate de que el proxy (nube naranja) esté desactivado para registros de correo

En GoDaddy

Inicia sesión en godaddy.com > Mis productos
Junto a tu dominio, haz clic en DNS
En la sección de registros, haz clic en Agregar
Tipo: TXT
Host: escribe el nombre (usa @ para el dominio principal)
Valor TXT: pega el contenido del registro
TTL: 1 hora es suficiente
Guarda los cambios

En NIC.cl

Si registraste tu dominio .cl directamente en NIC.cl:

Inicia sesión en nic.cl
Ve a Mis dominios y selecciona tu dominio
Haz clic en Administrar DNS
Selecciona Agregar registro o Nuevo registro
Tipo: TXT
Nombre/Host: el subdominio que corresponda
Valor: el contenido del registro

Nota importante para NIC.cl: Si tu dominio .cl tiene los DNS apuntando a otro proveedor (como Cloudflare), debes agregar los registros en ese otro proveedor, no en NIC.cl. NIC.cl solo gestiona los registros si también es tu servidor DNS autoritativo.

Tabla de registros DNS de ejemplo completa

Aquí un ejemplo completo para una empresa que usa Google Workspace y Mailchimp:

Tipo	Nombre	Valor	Propósito
TXT	@	`v=spf1 include:_spf.google.com include:servers.mcsv.net ~all`	SPF
TXT	google._domainkey	`v=DKIM1; k=rsa; p=MIGf...` (entregado por Google)	DKIM Google
TXT	_dmarc	`v=DMARC1; p=quarantine; rua=mailto:dmarc@empresa.cl`	DMARC
MX	@	`aspmx.l.google.com` (prioridad 1)	Recepción de correo
MX	@	`alt1.aspmx.l.google.com` (prioridad 5)	Recepción de correo backup

Cómo verificar que todo está bien configurado

Herramientas de verificación gratuitas

MXToolbox (mxtoolbox.com): la herramienta más completa. Busca tu dominio y muestra el análisis de SPF, DKIM y DMARC con diagnóstico de errores en lenguaje claro.

Google Admin Toolbox (toolbox.googleapps.com): verifica la propagación DNS y el estado de DKIM si usas Google Workspace.

Mail Tester (mail-tester.com): envías un correo real a la dirección que te dan y recibes un puntaje de 1 a 10 con detalles de SPF, DKIM, DMARC y otros factores.

Qué buscar en los resultados

✓ SPF: debe aparecer como “SPF Record Published” y el resultado de la verificación debe ser “Pass”

✓ DKIM: debe aparecer como “DKIM Signature Verified” con tu dominio y selector

✓ DMARC: debe aparecer como “DMARC Record Published” con la política actual

Cómo verificar desde Gmail o Outlook

Puedes ver los resultados de autenticación directamente en los correos recibidos:

En Gmail: Abre un correo tuyo enviado desde tu dominio, haz clic en los tres puntos (…) > “Mostrar original”. Busca las líneas que dicen Authentication-Results. Deberías ver spf=pass, dkim=pass y dmarc=pass.

Qué pasa si no tienes SPF, DKIM ni DMARC

Sin estos registros, tu dominio es vulnerable a:

Suplantación de identidad: cualquiera puede enviar correos como si fuera tú
Penalización en entregabilidad: Gmail, Outlook y otros proveedores envían a spam los correos de dominios sin autenticación
Daño a la reputación: si alguien usa tu dominio para spam o phishing, tu dominio queda en listas negras
Desde 2024, Google y Yahoo exigen SPF y DMARC para enviar correos masivos. Si envías boletines o notificaciones, sin estos registros tus correos pueden dejar de llegar

Los cambios en DNS tardan en propagarse

Cuando agregas o modificas registros DNS, los cambios pueden tardar entre 30 minutos y 48 horas en propagarse globalmente. Es normal ver resultados inconsistentes durante ese período.

Lista de verificación rápida

Usa esta lista para confirmar que tienes todo en orden:

Existe un registro SPF para mi dominio (verificado con MXToolbox)
El SPF incluye todos mis proveedores de correo legítimos
El SPF termina en ~all o -all (no en +all)
DKIM está activado en mi proveedor de correo principal
El registro DKIM aparece en mi DNS
Existe un registro DMARC bajo _dmarc.midominio.cl
Tengo una dirección de correo para recibir reportes DMARC
He enviado un correo de prueba y verificado los encabezados
Mi puntaje en mail-tester.com es 8/10 o superior

Si todos están marcados, tu dominio tiene protección de correo sólida.

SPF, DKIM y DMARC: seguridad del correo corporativo