La autenticación de correo es uno de los pocos controles que se puede aplicar a nivel de ecosistema: cuando está bien configurada, permite a los servidores receptores rechazar mensajes que fingen venir de tu dominio. El problema es que la suplantación de marca va más allá del spoofing del dominio. Un programa completo incluye controles de correo y monitorización externa.
Qué es el spoofing (en términos de correo)
Cuando alguien dice “han hecho spoofing de nuestro dominio”, normalmente significa esto: un mensaje mostraba un From: visible como billing@yourbrand.com, pero se envió desde infraestructura que no controlas.
Las comprobaciones de autenticación (SPF/DKIM/DMARC) permiten a los proveedores de correo decidir si el emisor está autorizado a enviar en nombre de ese dominio y si el mensaje se ha modificado durante el tránsito.
SPF: autorización de IP emisora
SPF es un registro DNS que indica qué servidores tienen permiso para enviar correo para un dominio. Los receptores comprueban si la IP de conexión está autorizada.
- Para qué es bueno: bloquear spoofing simple desde infraestructura aleatoria.
- Dónde falla: el forwarding cambia la IP de conexión; además, SPF evalúa el envelope sender (Return-Path), no necesariamente el From visible.
DKIM: integridad del mensaje
DKIM añade una firma criptográfica a las cabeceras y al cuerpo del email. Los receptores validan la firma usando una clave pública publicada en DNS.
- Para qué es bueno: demostrar que el mensaje viene de un firmante autorizado y que no fue modificado.
- Dónde falla: listas de correo y algunas pasarelas reescriben mensajes, invalidando la firma si no están configuradas para preservar DKIM.
DMARC: política y alineamiento
DMARC vincula SPF y DKIM al dominio del From visible mediante reglas de alineamiento y publica una política para receptores: none, quarantine o reject. También habilita reporting.
- El alineamiento importa: SPF puede pasar y aun así fallar DMARC si el dominio evaluado por SPF no alinea con el dominio del From visible.
- La política importa: DMARC en p=none es solo monitorización. No instruye a los receptores a bloquear nada.
Para protección de marca, apunta a DMARC p=reject en tus dominios principales de envío, con alineamiento SPF/DKIM correcto en todos tus proveedores de correo.
Fallos comunes
- Múltiples emisores sin “ownership” de SPF: herramientas de marketing, CRMs, plataformas de soporte y proveedores transaccionales necesitan SPF/DKIM correctos.
- Demasiadas búsquedas DNS en SPF: SPF tiene un límite duro (10 lookups). Abusar de cadenas include: puede causar permerror y reducir la protección.
- Sin rotación de DKIM: claves de larga duración aumentan el impacto si se comprometen.
- Huecos en subdominios: los atacantes atacan subdominios si solo se protege el dominio raíz. Considera la política sp=.
Lo que no detienen
Incluso con DMARC estricto, necesitas monitorización externa porque los atacantes pueden evitar el spoofing por completo:
- Dominios lookalike: registran un dominio visualmente similar y configuran SPF/DKIM de forma legítima para ese dominio.
- Suplantación por display-name: “Equipo de Finanzas” como nombre visible, pero con un dominio distinto.
- Cuentas comprometidas: phishing desde buzones reales pasará autenticación.
- Phishing web: llevan al usuario a páginas falsas de login; la autenticación de correo no aplica.
Puntos clave
- SPF y DKIM son mecanismos; DMARC es política y enforcement.
- DMARC p=none no detiene suplantación: solo la mide.
- El alineamiento y la política de subdominios suelen ser puntos débiles.
- Los dominios lookalike y las cuentas comprometidas siguen siendo grandes huecos, incluso con DMARC estricto.