compauth=fail: Explicación de la autenticación compuesta de Microsoft
por
Última actualización: Tiempo de lectura: 7 minutos
Puntos clave
- Aunque tus correos electrónicos cumplan a la perfección con estándares globales como SPF y DKIM, Microsoft puede marcarlos como «fallidos» utilizando sus propios filtros de reputación internos.
- Desde que Microsoft tomó medidas contra los remitentes de gran volumen, mantener una política DMARC pasiva (p=none) provoca ahora de forma activa errores de autenticación implícitos (reason=001).
- Si tus correos electrónicos no se envían correctamente debido a que se reenvían, la solución habitual consistía en configurar un sello ARC ( Authenticated Received Chain ). Sin embargo, dado que un borrador del grupo de trabajo del IETF (Internet Engineering Task Force) propone reclasificar ARC como estándar histórico, debes mantener tu infraestructura DKIM actual en perfecto estado para prepararte para la próxima implementación de DKIM2.
- La mayoría de los fallos se deben a una descoordinación de dominios o a políticas poco activas. Actualizar más allá de «p=none» y configurar dominios «mail-from» personalizados para herramientas de terceros resolverá la gran mayoría de tus problemas con la autenticación de componentes.
Has configurado SPF, DKIM y DMARC, pero tus correos electrónicos siguen acabando en la carpeta de correo no deseado de Outlook. El culpable suele ser «compauth=fail», una capa de autenticación específica de Microsoft que va más allá de los protocolos globales estándar. Comprender qué significa esta señal de diagnóstico, por qué difiere de DMARC y por qué es más importante que nunca tras las actualizaciones de mayo de 2025 es fundamental para mantener la capacidad de entrega del correo electrónico empresarial.
¿Qué es la autenticación compuesta (compauth)?
La autenticación compuesta (compauth) es el sistema de puntuación de autenticación propio de Microsoft que utilizan Exchange Online Protection (EOP) en Microsoft 365 y Outlook.
A diferencia de los protocolos estándar SPF, DKIM y DMARC, que actúan como controles de verificación explícitos basados en estándares, compauth funciona como una puntuación de inteligencia compuesta. Combina los resultados de autenticación explícitos con señales implícitas avanzadas, entre las que se incluyen la reputación del remitente, los patrones de interacción históricos, la información interna de Microsoft sobre suplantación de identidad y el análisis de comportamiento.
El resultado final de la evaluación se incluye en el encabezado «Authentication-Results» de cada mensaje entrante procesado por Microsoft 365. En función del resultado de esta comprobación híbrada, el encabezado mostrará uno de los cuatro valores posibles:
- compauth=pass: El mensaje ha superado tanto las comprobaciones de autenticación explícitas como las evaluaciones de seguridad implícitas.
- compauth=fail: El mensaje no ha superado los criterios de autenticación compuesta de Microsoft y se ha marcado como altamente sospechoso.
- compauth=softpass: El mensaje se ha transmitido mediante señales implícitas o basadas en la reputación, a pesar de carecer de una autenticación explícita sólida.
- compauth=none: No se ha realizado ninguna evaluación de autenticación compuesta en el mensaje.
Si quieres profundizar en la configuración de la autenticación del correo electrónico para los mensajes de Microsoft 365, consulta nuestra guía sobre DMARC para Office 365.
compauth frente a DMARC: ¿en qué se diferencian?
Una fuente habitual de confusión para los administradores de sistemas es que un correo electrónico supere la verificación DMARC estándar y, al mismo tiempo, genere un estado «compauth=fail».
| Característica / Aspecto | DMARC | Autenticación compuesta de Microsoft (compauth) |
|---|---|---|
| Ámbito de aplicación y cumplimiento | Un estándar de Internet global y abierto que se aplique de manera uniforme en todos los principales proveedores de correo electrónico. | Una capa de seguridad propia y exclusiva de Microsoft que funciona únicamente dentro de Microsoft 365 y Outlook. |
| Indicador de evaluación fundamental | Comprueba que las verificaciones de SPF y/o DKIM se superen y coincidan explícitamente con el dominio que figura en el encabezado «From» visible. | Evalúa la conformidad con SPF, DKIM y DMARC, además de las señales de reputación e inteligencia propias de Microsoft. |
| Tratamiento de señales implícitas | No tiene en cuenta factores externos como el historial de envíos, las listas de permitidos específicas de cada cliente ni la inteligencia artificial basada en el comportamiento. | Otorga gran importancia a las señales implícitas, como la información de suplantación de identidad y el historial entre remitente y destinatario. |
Debido a estas diferencias, un mensaje puede superar fácilmente la validación DMARC explícita y, aun así, devolver un estado «compauth=fail» si los modelos de aprendizaje automático de Microsoft lo marcan como anómalo (por ejemplo, un dominio recién registrado, un aumento repentino del volumen o un dominio que opera con una política de supervisión pasiva «p=none»).
Por el contrario, un mensaje puede no superar las comprobaciones explícitas de SPF o DKIM, pero obtener un «compauth=pass» si el sistema de detección de suplantación de identidad de Microsoft o un historial de remitentes seguros localizado avalan su autenticidad (como «reason=130» mediante una anulación de ARC o «reason=201» para remitentes de M365 de confianza interna).
¿Qué son los códigos de motivo de Compauth?
Al analizar los encabezados de tus correos electrónicos, la cadena «compauth=fail» o «compauth=pass» va seguida de un código de motivo específico de tres dígitos. Este código indica con precisión por qué el motor de filtrado de Microsoft tomó esa decisión.
| Código | Resultado | Significado |
|---|---|---|
| 000 | fallar | Error de DMARC con una política estricta de p=reject o p=quarantine aplicada. |
| 001 | fallar | Autenticación implícita fallida: faltan registros de autenticación, una política DMARC pasiva (p=none), un error leve de SPF (~all) o una grave discrepancia de dominio. |
| 002 | softpass | Acceso sin autenticación: el mensaje se transmite principalmente a través de señales implícitas o basadas en la reputación, en lugar de mediante una autenticación explícita. |
| 010 | fallar | El mensaje no ha superado las comprobaciones antisuplantamiento realizadas por el sistema automatizado de inteligencia contra el suplantamiento de Microsoft. |
| 100 | pasar | Ha superado la autenticación explícita (todas las comprobaciones subyacentes de SPF, DKIM y DMARC se han superado y están perfectamente alineadas). |
| 109 | pasar | Aprobado: el dominio que figura en el registro SPF o la firma DKIM coinciden correctamente con la dirección del remitente visible. |
| 130 | pasar | Se ha transmitido mediante una anulación de ARC (un sellador de confianza de la cadena de recepción autenticada avaló el mensaje durante el proceso de reenvío). |
| 201 | pasar | Aprobado: se ha evaluado como un remitente interno de Microsoft 365 o como un remitente de confianza desde el punto de vista estructural. |
| 601 | fallar | Error: se ha detectado una discrepancia en el dominio del remitente externo (la dirección «De» visible no coincide con el dominio de firma SPF o DKIM). |
Nota: Todos los códigos de motivo proceden directamente de la documentación técnica oficial de Microsoft. Para diagnosticar rápidamente tus mensajes salientes, copia los encabezados sin procesar de tus correos electrónicos y pégalos en el Analizador de encabezados de mensajes de Microsoft, disponible en la web.
Por qué el valor «compauth=fail» cobra mayor importancia a partir de mayo de 2025
Las consecuencias operativas de un resultado «compauth=fail» se agravaron considerablemente tras la entrada en vigor de las nuevas medidas de Microsoft el 5 de mayo de 2025. Los «Requisitos para remitentes» de Microsoft establecieron unos requisitos estrictos y automatizados de autenticación del correo electrónico dirigidos a los remitentes de gran volumen (aquellos que envían 5.000 o más mensajes al día) a servicios de correo electrónico para consumidores como Outlook.com, Hotmail y Live.com.
En virtud de estos mecanismos de aplicación actualizados, una clasificación «compauth=fail» se traduce directamente en el envío directo a la carpeta de correo no deseado o en el rechazo total del mensaje a nivel de la puerta de enlace. El filtrado de Microsoft considera ahora una política DMARC «p=none» como el principal desencadenante del código «reason=001», incluso cuando SPF y DKIM superan las comprobaciones por separado. Los remitentes cuya entrega de correo se toleraba anteriormente en un modo de supervisión pasiva se enfrentan ahora a caídas repentinas y perjudiciales de la capacidad de entrega en todos los entornos gestionados por Microsoft.
¿Qué provoca el error «compauth=fail»?
Para resolver los problemas de entrega, debe relacionar el código de error específico que aparece en el encabezado «Authentication-Results» con su causa subyacente:
- motivo=000: El dominio remitente tiene una política DMARC estricta de tipo «p=reject» o «p=quarantine», y el mensaje no ha superado la verificación ni de SPF ni de DKIM. Para conocer los pasos detallados de resolución de problemas relacionados con los errores de autenticación, consulta nuestra guía sobre por qué falla DMARC.
- reason=001 (Estándar): Este es el código de error más frecuente. Indica que un dominio utiliza una política de supervisión pasiva «p=none», la ausencia total de un registro DMARC, un fallo suave de SPF no optimizado (~all) o dominios identificadores desalineados.
- reason=001 y reason=601 (remitentes externos): Esto ocurre cuando un proveedor de servicios de correo electrónico (ESP) externo o un CRM envía mensajes en nombre de tu marca, pero firma el mensaje utilizando los dominios de su propia infraestructura. Dado que el dominio visible del encabezado «De» no coincide con los dominios de seguimiento utilizados por el proveedor, se produce un error crítico de alineación.
- motivo=010: El sistema de detección de suplantación de identidad de Microsoft señala el comportamiento del remitente como fraudulento, compatible con prácticas de phishing o suplantación de dominio.
Cómo solucionar el error «compauth=fail»
Para solucionar un error de autenticación compuesta, es necesario realizar cambios específicos en la configuración en función del caso concreto que haya provocado el error.
Solución 1: Actualiza tu política DMARC más allá de «p=none»
Dado que una política de supervisión pasiva (p=none) se considera un fallo de autenticación implícito (reason=001), debe adaptar su dominio para que aplique la política. Procure cambiar su política de forma segura a p=quarantine o p=reject. Al abandonar una postura de mera supervisión, se elimina la vulnerabilidad que activa las reglas de fallo implícito. Si le preocupa bloquear flujos legítimos heredados durante esta transición, consulte nuestras estrategias para gestionar las anulaciones de políticas DMARC.
Solución 2: Establecer una alineación DKIM precisa
Configura tus servidores de correo principales para que firmen todos los mensajes salientes utilizando una clave criptográfica DKIM única. Asegúrate de que el parámetro del dominio de firma (d=) dentro del encabezado DKIM coincida perfectamente con el dominio raíz que aparece en el encabezado «De:» visible. Esta sólida correspondencia criptográfica constituye la señal positiva más sólida posible para el motor de autenticación de Microsoft.
Solución 3: Configurar rutas de retorno personalizadas para proveedores de servicios de correo electrónico externos
Cuando utilices plataformas externas (como motores de marketing o servicios de asistencia), no te limites a utilizar su configuración genérica predeterminada. Configura un dominio «MAIL FROM» o «Return-Path» personalizado que utilice el nombre de dominio de tu empresa, o asegúrate de que el proveedor tenga plena autorización para firmar criptográficamente los mensajes utilizando las claves DKIM de tu dominio. Esto resuelve los problemas de desajuste de identificadores y elimina los errores de tipo «reason=601».
Solución 4 y el futuro del reenvío (de ARC a DKIM2)
Históricamente, si el flujo de correo de tu organización pasa habitualmente por listas de correo o cadenas de reenvío automático, las firmas DKIM estándar dejan de funcionar. Para resolver esto, la implementación de la Cadena de Recepción Autenticada (ARC) . Cuando un servidor intermediario valida un mensaje entrante y lo sella con un sello criptográfico de confianza, Microsoft 365 lee la cadena de custodia, ignorando los fallos localizados para generar un resultado satisfactorio compauth=pass reason=130.
Sin embargo, el panorama de la autenticación del correo electrónico está cambiando rápidamente. El 22 de abril de 2026, una propuesta del Grupo de Trabajo DMARC del IETF (draft-ietf-dmarc-arc-to-historic-00) sugirió reclasificar ARC como norma histórica. Se trata de un borrador de Internet del grupo de trabajo, no de un RFC definitivo; ARC (RFC 8617) sigue siendo un protocolo activo.
Las lecciones aprendidas de ARC se están incorporando de forma nativa a la emergente especificación DKIM2, que aborda el problema de las firmas dañadas durante el reenvío y los ataques de repetición de DKIM. Según el último borrador de la IETF del 17 de mayo de 2026 (draft-ietf-dkim-dkim2-spec-02), cada sistema que interviene en un mensaje registra los cambios y añade su propia firma a una cadena de custodia inquebrantable.
Lo que esto significa para ti en este momento:
- Por ahora, mantén ARC activo: Microsoft sigue utilizando el parámetro «reason=130» (anulación de ARC) para reenviar el correo, así que no desinstales todavía tu configuración del sello ARC de confianza de Microsoft.
- Prepárate para DKIM2: es posible que a finales de 2026 comience a implementarse en los principales proveedores de correo electrónico, aunque la especificación aún se encuentra en una fase inicial de borrador. Dado que las claves DKIM2 utilizarán tu estructura actual de registros DNS, la mejor forma de protegerte contra futuros fallos de autenticación es asegurarte de que tu configuración actual de DKIM sea impecable. Elimina los selectores obsoletos y garantiza una rotación adecuada de las claves.
Solución 5: Aprovechar la función «Allow Entries» de M365 Spoof Intelligence
En el caso de aplicaciones internas, dispositivos locales heredados o perfiles de remitentes legítimos altamente especializados que activan falsos positivos automáticos del aprendizaje automático (motivo=010), los administradores de Microsoft 365 pueden anular manualmente el algoritmo. Acceda al portal de Microsoft 365 Defender, abra la consola de información de Spoof Intelligence y añada una entrada de permiso explícito a la lista de permitidos/bloqueados del inquilino para ese perfil de remitente específico.
Cómo interpretar el campo «compauth» en los encabezados de los correos electrónicos
Para localizar y diagnosticar estos valores, es necesario extraer los encabezados de enrutamiento de Internet sin procesar de un mensaje afectado.
- Extraer los encabezados: En la versión de escritorio de Outlook, abre el correo electrónico en cuestión en una ventana independiente y ve a Archivo > Propiedades > Encabezados de Internet. Como alternativa, si eres un administrador que está solucionando un problema de entrega más general, pide a los usuarios o utiliza los registros de administración para copiar el texto sin formato de los encabezados y pégalo directamente en el Analizador de encabezados de mensajes de Microsoft (MHA) en mha.azurewebsites.net, donde podrás ver una vista analizada y fácil de examinar.
- Aísla la línea correspondiente: busca en el texto analizado el bloque específico denominado «Authentication-Results». Fíjate bien en la frase «compauth=», que irá seguida inmediatamente de su estado de evaluación (pass, fail o softpass) y del código «reason=» correspondiente.
- Compara los datos: No analices el resultado de la autenticación compuesta de forma aislada. Comprueba los parámetros adyacentes dentro de esa misma línea de encabezado, prestando especial atención a los resultados individuales de spf=, dkim= y dmarc=. Al comparar estos valores explícitos con el código de motivo de compauth, se puede determinar exactamente qué comprobación ha fallado o qué señal implícita ha provocado el envío al buzón de correo no deseado.
¿Cómo puedo evitar de una vez por todas los errores «compauth=fail»?
Analizar manualmente los encabezados y coordinar la alineación entre una docena de proveedores externos puede suponer una carga excesiva para los equipos internos de TI. PowerDMARC simplifica este proceso al ofrecer una visibilidad completa y herramientas de gestión automatizadas, lo que le ayuda a resolver los errores «compauth=fail» y a mantener limpios sus registros de autenticación de correo electrónico.
Empieza hoy mismo una prueba gratuita de DMARC para obtener una visión clara de tus flujos de entrega de Microsoft 365, eliminar los errores de alineación y realizar una transición segura de tu dominio a una política DMARC aplicada.
Preguntas frecuentes
¿Qué significa «compauth=fail» en los encabezados de los correos electrónicos?
Esto indica que el sistema Exchange Online Protection de Microsoft evaluó el mensaje entrante y lo rechazó basándose en una combinación de protocolos de autenticación explícitos (SPF, DKIM, DMARC) y señales implícitas de inteligencia sobre amenazas (reputación del remitente, información sobre suplantación de identidad, historial).
¿Cuál es la diferencia entre compauth y DMARC?
DMARC es un protocolo de Internet abierto y global que utilizan todos los proveedores de correo electrónico para verificar la coincidencia de identificadores. compauth es una capa de evaluación patentada y exclusiva de Microsoft que toma los resultados estándar de DMARC y tiene en cuenta métricas adicionales de reputación y comportamiento en tiempo real.
¿Por qué falla la autenticación, aunque SPF y DKIM sean válidos?
Esto ocurre con frecuencia si tu dominio está configurado con una política DMARC pasiva (p=none), que el sistema actualizado de Microsoft considera un riesgo para la entregabilidad. También puede fallar si el sistema interno de detección de suplantación de identidad de Microsoft señala el comportamiento transaccional o el historial de envío del remitente como anómalos.
¿Qué significa «compauth fail reason=001»?
El código de motivo 001 indica que el mensaje no ha cumplido los criterios de autenticación implícitos de Microsoft. Esto suele deberse a la ausencia de registros DMARC o SPF, a una descoordinación de identificadores o a mantener una política DMARC pasiva (p=none) en lugar de pasar a la fase de aplicación.
¿Cómo puedo solucionar el error «compauth=fail» en Microsoft 365?
Asegúrate de que tus dominios SPF y DKIM coincidan perfectamente con el encabezado «De» visible; actualiza tu política DMARC de «p=none» a un estado de aplicación como «p=quarantine» o «p=reject», y configura sellos ARC de confianza si tus flujos de correo incluyen reenvíos automáticos.
¿El valor «compauth=fail» hace que los correos electrónicos vayan a la carpeta de correo no deseado en Outlook?
Sí. De acuerdo con estrictas medidas de seguridad, un estado «compauth=fail» actúa como desencadenante directo para que el motor de filtrado EOP envíe los mensajes entrantes directamente a la carpeta de correo no deseado o los rechace por completo en el perímetro.
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.
Últimos mensajes de Yunes Tarada (ver todos)
- Cómo dividir un registro DKIM - 5 de junio de 2026
- compauth=fail: Explicación de la autenticación compuesta de Microsoft - 1 de junio de 2026
- ¿Es suficiente Windows Defender para la seguridad de las pequeñas empresas? - 14 de mayo de 2026
