
Índice de contenidos
El mito de la doble validación simultánea en DMARC
Con la creciente exigencia de los principales proveedores de correo electrónico en materia de autenticación, configurar DMARC se ha convertido en un requisito obligatorio para garantizar que los correos corporativos no terminen en la carpeta de spam. Sin embargo, en los departamentos de IT y operaciones surge una duda técnica recurrente: ¿es estrictamente necesario que un correo supere SPF y DKIM al mismo tiempo para cumplir con DMARC?
La respuesta corta y directa es no. Para que un correo electrónico supere la validación DMARC, basta con que cumpla con uno de los dos.
La lógica de control de DMARC está diseñada bajo un principio de flexibilidad técnica. El sistema evalúa el proceso mediante una fórmula condicional de tipo operacional u “OR”: basta con que se cumpla de forma estricta una de las dos condiciones (SPF validado y alineado, O bien, DKIM validado y alineado) para que el correo sea autenticado como legítimo y supere los filtros de seguridad del servidor de destino.
Matriz de resultados: Escenarios de validación
Para entender cómo interactúan estos protocolos en el servidor de correo, la siguiente tabla muestra los diferentes escenarios posibles y su resultado final ante DMARC:
| SPF | DKIM | Alineación SPF | Alineación DKIM | Resultado DMARC |
|---|---|---|---|---|
| PASS | FAIL | Sí | — | PASS |
| FAIL | PASS | — | Sí | PASS |
| PASS | PASS | Sí | Sí | PASS |
| PASS | PASS | No | Sí | PASS |
| PASS | PASS | Sí | No | PASS |
| PASS | PASS | No | No | FAIL |
| PASS | FAIL | No | — | FAIL |
| FAIL | PASS | — | No | FAIL |
| FAIL | FAIL | — | — | FAIL |
Como se observa en la matriz, un correo puede fallar técnicamente en SPF o en DKIM, pero si el otro protocolo es correcto y está al menos uno alineado, DMARC emitirá un resultado favorable (PASS). Por el contrario, si un protocolo pasa el test técnico pero carece de alineación, DMARC fallará.
Casos excepcionales
El estándar RFC 7489 (que define DMARC) hace exactamente dos cosas:
- Define las reglas para calcular si un correo aprueba o suspende.
- Permite al propietario del dominio sugerir qué hacer en caso de fallo (p=none, quarantine, o reject).
Sin embargo, el estándar deja muy claro que el servidor receptor tiene la última palabra. Microsoft, Google, Proofpoint o cualquier administrador de sistemas pueden aplicar políticas locales más estrictas (o más laxas) que el propio estándar, como por ejemplo, cumplir DKIM y SPF al mismo tiempo.
Si el filtro heurístico del servidor destino decide que un correo es peligroso porque la firma DKIM está corrupta, ignorará alegremente que el SPF pase y tirará el correo a la basura para proteger a su usuario. El estándar propone la base, pero el dueño del buzón de destino impone la ley.
¿Qué significa exactamente que un protocolo esté “alineado”?
DMARC introduce una capa de seguridad adicional porque no se conforma con que los registros SPF o DKIM pasen el test técnico básico. Además, exige de forma obligatoria que el dominio validado por estos protocolos coincida (o sea un subdominio autorizado) con el dominio visible que el usuario ve en el encabezado del mensaje, concretamente en el campo From:.
A continuación, analizamos cómo funciona la alineación en cada caso:
1. Alineación SPF
Imaginemos que tu correo muestra en la bandeja de entrada la siguiente dirección: From: facturas@empresa.com. Si el servidor SMTP emisor utiliza la ruta de retorno técnica MAIL FROM: rebotes@empresa.com en los comandos ocultos del correo, y el registro SPF de empresa.com autoriza la IP de ese servidor, el protocolo SPF pasa el test y, además, DMARC lo considera alineado porque ambos dominios coinciden.
Sin embargo, si se utiliza un proveedor externo que emplea su propia ruta técnica de retorno (MAIL FROM: rebotes@proveedor-email.com), aunque el registro SPF del proveedor sea técnicamente correcto y dé un resultado positivo (PASS), DMARC marcará un fallo por falta de alineación, ya que el dominio del proveedor no coincide con el tuyo.
2. Alineación DKIM
La lógica es idéntica para la firma criptográfica. Si el encabezado del correo está firmado digitalmente y el parámetro del dominio de la firma es d=empresa.com (o un subdominio permitido y relacionado de forma directa como d=mail.empresa.com), y la clave pública del servidor de destino valida la firma correctamente, DMARC considerará que DKIM está perfectamente alineado.
Recomendación práctica para la infraestructura de tu empresa
Aunque la teoría matemática de DMARC certifique que con un solo protocolo alineado es suficiente, la mejor práctica en entornos de producción y comunicaciones corporativas es configurar siempre SPF y DKIM de forma simultánea y correcta.
Implementar la doble validación aporta dos ventajas estratégicas para la entregabilidad:
- Mayor resiliencia ante reenvíos: Cuando un usuario final reenvía un correo de forma automática a otra cuenta (por ejemplo, de una cuenta corporativa a su cuenta personal de Gmail), la IP del servidor intermedio cambia. Esto rompe de inmediato la validación SPF. Si el correo cuenta con una firma DKIM alineada, el mensaje mantendrá su autenticación DMARC intacta al viajar la firma incrustada dentro del propio documento.
- Reputación del dominio emisor: Disponer de ambas capas de seguridad reduce drásticamente las probabilidades de que tus campañas o comunicaciones legítimas sufran falsos positivos en los filtros antispam de proveedores exigentes como Microsoft o Google, garantizando un flujo de comunicación rápido, fluido y sin fricciones.
Preguntas frecuentes (FAQs)
¿Es seguro operar una política DMARC basándose solo en SPF?
No es lo recomendable. Depender únicamente de SPF expone a tu infraestructura a fallos de entrega si tus mensajes experimentan reenvíos o son procesados por listas de distribución de correo, ya que la IP de origen se modificará durante el trayecto y DMARC fallará al romperse el SPF.
¿Qué ocurre si mi registro DMARC da un resultado FAIL?
Dependerá de la política que tengas configurada en tu registro DNS (p=none, p=quarantine o p=reject). Si estás en modo none, el correo se entregará pero se registrará el error en tus informes semanales; si estás en reject, el servidor de destino bloqueará el correo de inmediato, impidiendo que el destinatario lo reciba.
¿Las herramientas de eEvidence automatizan estas configuraciones?
Sí. Al integrar soluciones profesionales de comunicación y firma, las plataformas de infraestructura de confianza proporcionan las instrucciones precisas para que configures los registros SPF y las claves DKIM en tus selectores DNS de forma alineada. Esto asegura que tus notificaciones y correos generen evidencias inalterables con el 100% de cumplimiento DMARC.
Conclusión
El diseño técnico de DMARC busca proteger la identidad de las empresas sin bloquear el tráfico legítimo de internet. Comprender que no se requiere el aprobado simultáneo de SPF y DKIM, sino que operan como canales complementarios, permite a los equipos de sistemas diagnosticar y solucionar problemas de entrega con mayor rapidez.
La regla de oro para garantizar la máxima seguridad jurídica y entregabilidad comercial es clara: configura siempre ambos protocolos buscando su perfecta alineación con tu dominio corporativo. De este modo, tu organización ganará inmunidad frente a ataques de suplantación de identidad (phishing) y mantendrá una reputación impecable ante los servidores de correo de todos tus clientes.
¿Listo para empezar?
Contáctanos para compartir tu proyecto de negocio o regístrate ahora para empezar a probar nuestros servicios hoy
