Por qué existen estos tres protocolos
El protocolo original de email (SMTP) fue diseñado en los años 80 sin ningún mecanismo de autenticación. Cualquier servidor puede declarar que envía correos de cualquier dominio y, sin protecciones adicionales, los servidores receptores no tienen forma de verificar si eso es verdad. SPF, DKIM y DMARC son tres capas de seguridad que se agregaron décadas después para compensar esta limitación original. Cada una resuelve un problema diferente, y juntas crean una protección razonablemente sólida.
SPF: qué servidores pueden enviar por ti
SPF (Sender Policy Framework) es un registro DNS que lista los servidores de correo autorizados para enviar emails en nombre de tu dominio. Cuando un servidor recibe un correo que dice venir de "@tuempresa.cl", consulta el registro SPF de tuempresa.cl para ver si la IP del servidor remitente está en la lista. Si no está, el correo falla la verificación SPF. El problema de SPF solo es que no verifica el contenido del correo y puede ser burlado en casos de reenvío legítimo. Es necesario pero no suficiente.
DKIM: firma criptográfica del contenido
DKIM (DomainKeys Identified Mail) firma criptográficamente cada correo con una clave privada que solo tú tienes. El servidor receptor usa la clave pública publicada en tu DNS para verificar que la firma es auténtica y que el contenido no fue alterado en el camino. DKIM resuelve el problema que SPF no puede: garantiza la integridad del mensaje. Un correo que pasa DKIM fue realmente enviado por un servidor que tiene la clave privada de tu dominio y nadie modificó el contenido. Esto es especialmente importante para emails de alto valor como facturas, contratos o confirmaciones de cuenta.
DMARC: la política que une todo
DMARC (Domain-based Message Authentication, Reporting and Conformance) es el que da instrucciones sobre qué hacer cuando SPF o DKIM fallan. Sin DMARC, aunque SPF y DKIM estén configurados, un correo que falle ambas verificaciones puede igual llegar al inbox del destinatario porque no hay una instrucción explícita de rechazarlo. DMARC define tres políticas: "none" (solo monitorear, no hacer nada), "quarantine" (mover a spam los correos que fallen) y "reject" (rechazar y no entregar los correos que fallen). También agrega el concepto de "alignment": el dominio del remitente visible debe coincidir con el dominio verificado por SPF o DKIM.
Qué pasa si tienes solo uno o dos
Solo SPF sin DKIM ni DMARC: tienes verificación básica de servidor, pero los correos falsos que vengan de servidores no listados aún pueden llegar, y no hay forma de detectarlos sistemáticamente. SPF y DKIM sin DMARC: tienes verificaciones técnicas sólidas, pero sin DMARC no hay instrucción de qué hacer cuando fallan. Un correo falso que falle ambas verificaciones aún puede llegar al inbox. SPF y DMARC sin DKIM: funciona, pero DMARC solo puede hacer "alignment" con SPF, lo que es menos robusto que tener ambos. La combinación completa de los tres es la única que cierra todas las brechas conocidas.
El proceso de implementación recomendado
El orden correcto es: primero SPF (inventariar todos los servicios que envían correo en tu nombre: tu servidor principal, herramientas de marketing, sistemas de notificaciones, y agregarlos al registro); segundo DKIM (activarlo en cada uno de esos servicios, lo que generalmente implica generar claves y publicar el registro público en tu DNS); tercero DMARC en modo "none" con una dirección de reportes para monitorear sin afectar el correo; cuarto, analizar los reportes durante 2-4 semanas para identificar flujos legítimos que podrían verse afectados; y finalmente, mover gradualmente a "quarantine" y "reject". Saltarse el período de monitoreo es el error más común y puede cortar flujos de correo legítimos.
Cómo saber si tu configuración actual es correcta
Puedes verificar tu configuración actual buscando tu dominio en herramientas como MXToolbox o directamente en el DNS. Para SPF: busca el registro TXT que empieza con "v=spf1". Para DKIM: busca registros TXT en "default._domainkey.tudominio.cl" o el selector que use tu proveedor. Para DMARC: busca el registro TXT en "_dmarc.tudominio.cl". Si alguno falta o si DMARC está en modo "none" hace más de un mes sin plan de avanzar, tienes una brecha de seguridad activa que vale la pena cerrar.
¿Quieres proteger tu dominio o crear tu identidad profesional?