DMARC para Office 365: Configuración paso a paso y sus mejores prácticas
por
Última actualización: 11 11 minutos de lectura
Puntos clave
- DMARC es esencial para mejorar la seguridad del correo electrónico contra la suplantación de dominios y el phishing.
- La configuración de DMARC requiere registros SPF o DKIM existentes para la autenticación del correo electrónico.
- Microsoft 365 gestiona los fallos DMARC entrantes de forma diferente; utiliza reglas de transporte para una aplicación estricta (cuarentena/rechazo).
- Aumenta gradualmente el rigor de la política DMARC (de ninguno a rechazar) mientras supervisas los informes para evitar el bloqueo de algún correo legítimo.
- Configura DMARC incluso para dominios inactivos para evitar su uso no autorizado.
Microsoft admite y fomenta el uso de DMARC para los usuarios de Office 365, lo que les permite adoptar protocolos de autenticación de correo electrónico de forma unánime en todos sus dominios registrados. En este blog explicamos los procesos para configurar DMARC para Office 365 para validar cualquier correo electrónico de Office 365 que tenga:
- Direcciones de correo electrónico en línea con Microsoft
- Dominios personalizados añadidos en el centro de administración
- Dominios aparcados o inactivos, pero registrados
En el segundo trimestre de 2023, varias fuentes señalaron a Microsoft como la marca más suplantada en estafas de phishing. Protocolos como DMARC son imprescindibles para reforzar tu mecanismo de defensa.
Descubramos cómo DMARC en Office 365 ayuda a prevenir las amenazas sofisticadas del correo electrónico.
¿Qué es DMARC?
DMARC (Domain-based Message Authentication, Reporting, and Conformance) es un protocolo de autenticación de correo electrónico diseñado para proteger tu dominio de ataques de suplantación de identidad y phishing. Se basa en dos normas ya existentes:
- SPF (Marco de directivas del remitente)
- DKIM (Correo Identificado por Clave de Dominio)
De este modo, los propietarios de dominios tienen un mayor control sobre la forma en que los correos electrónicos no autenticados que afirman proceder de su dominio son tratados por los servidores de correo receptores.
Cuando implementa DMARC para Office 365, publica una directiva DMARC como un registro DNS TXT asociado a tu dominio. Esta directiva indica a los receptores de correo electrónico si deben aceptar, poner en cuarentena o rechazar los mensajes que no superen las verificaciones SPF y DKIM, lo que reduce significativamente las posibilidades de que los actores maliciosos suplanten la identidad de tu dominio.
DMARC también proporciona una valiosa visibilidad a través de mecanismos de informes, lo que permite a los propietarios de dominios recibir información detallada sobre los resultados de la autenticación del correo electrónico. Estos informes ayudan a identificar fuentes de correo electrónico no autorizadas y a mejorar la seguridad general del correo electrónico.
¡Simplifique DMARC para Office 365 con PowerDMARC!
Aspectos a tener en cuenta antes de empezar
Según los documentos de documentos de Microsoft:
- Si utilizas MOERA (Microsoft Online Email Routing Address), que debe terminar con onmicrosoft.com, SPF y DKIM ya estarán configurados para ello. Sin embargo, tendrás que crear tus registros DMARC utilizando el centro de administración de Microsoft 365.
- Si utilizas un dominio personalizado como example.com, tendrás que configurar manualmente SPF, DKIM y DMARC para tu dominio.
- Para tus dominios aparcados (dominios inactivos), Microsoft recomienda que te asegures que especifica y explícitamente, no se deben enviar correos electrónicos desde ellos. De lo contrario, estos dominios podrían utilizarse en ataques de suplantación de identidad y phishing.
- Para los mensajes reenviados o modificados en tránsito, es esencial que configure ARC. Esto ayuda a preservar los encabezados originales de autenticación del correo electrónico a pesar de las modificaciones, para una autenticación precisa.
Cómo configurar DMARC para Office 365
Sigue estas instrucciones paso a paso para configurar DMARC para Office 365 con confianza y claridad:
Paso 1: Identifica fuentes de correo electrónico válidas para tu dominio
Se trata de las direcciones IP de origen (incluidos terceros) a las que desea permitir que envíen correos electrónicos en su nombre.
Paso 2: Configurar SPF para su dominio
Ahora debes configurar SPF para la verificación del remitente. Para ello, crea un registro SPF TXT que incluya todas tus fuentes de envío válidas, incluidos los proveedores de correo electrónico externos. Puedes registrarte en PowerDMARC de forma gratuita y utilizar nuestra herramienta generadora de registros SPF para crear tu registro.
Paso 3: Configura DKIM para Office 365 en tu dominio
Necesitarás tener configurado SPF o DKIM para tu dominio para poder habilitar DMARC Office 365. Te recomendamos que configures DKIM y DMARC en Office 365 para añadir una capa adicional de seguridad a los correos electrónicos de su dominio. Puede registrarse en PowerDMARC de forma gratuita y utilizar nuestra herramienta generadora de registros DKIM para crear su registro.
Paso 4: Crear un registro DMARC TXT
Puedes utilizar el generador de registros DMARC gratuito de PowerDMARC generador de registros DMARC para este paso. Genera un registro al instante con la sintaxis correcta para publicarlo en tu DNS y configurar DMARC para tu dominio.
Ten en cuenta que sólo la política de aplicación de rechazar puede prevenir eficazmente los ataques de suplantación de identidad. Te recomendamos que comiences con una política ninguno y supervises regularmente el tráfico de correo electrónico. Haz esto durante algún tiempo antes de pasar finalmente a la aplicación de refuerzo. La política de rechazo DMARC no debe tomarse a la ligera, ya que puede provocar la pérdida de correos electrónicos legítimos si las fuentes de envío no están configuradas o supervisadas correctamente.
Para su registro DMARC, defina su modo de política (ninguno/cuarentena/rechazo) y una dirección de correo electrónico en el campo «rua» si desea recibir informes agregados de DMARC.
| Política DMARC | Tipo de póliza | Sintaxis | Acción |
|---|---|---|---|
| ninguno | relajado/sin acción/permisivo | p=ninguno; | No realizar ninguna acción contra los mensajes que no superen la autenticación, es decir, entregarlos. |
| cuarentena | obligatorio | p=cuarentena; | Ponga en cuarentena los mensajes que no superen el DMARC |
| rechace | obligatorio | p=rechazar; | Descartar mensajes que no superen DMARC |
La sintaxis de su registro DMARC puede tener este aspecto:
v=DMARC1; p=reject; rua=mailto:[email protected];
Este registro tiene una política aplicada de "rechazar" y tiene activado el informe agregado DMARC para el dominio.
Cómo añadir un registro DMARC de Office 365 mediante el Centro de administración de Microsoft
Para agregar tu registro DMARC Office 365 para dominios MOERA (dominios *onmicrosoft.com)estos son los pasos:
1. Inicia sesión en el centro de administración de Microsoft
2. Ve a Mostrar todo > Configuración > Dominios
3. Selecciona tu dominio *onmicrosoft.com de la lista de dominios de la página Dominios para abrir la página Detalles del dominio.
4. Haz clic en la pestaña Registros DNS de esta página y selecciona + Añadir registro
5. Aparecerá un cuadro de texto para añadir un nuevo registro DMARC, con varios campos. A continuación se indican los valores que debe rellenar para los campos específicos:
Tipo: TXT
Nombre: _dmarc
TTL: 1 hora
Valor: (pega el valor del registro DMARC que has creado)
6. Haz clic en Guardar
Añadir registro DMARC de Office 365 para tu dominio personalizado
Si tienes un dominio personalizado como example.com, hemos elaborado una guía detallada sobre cómo configurar DMARC. Puede seguir los pasos de nuestra guía para configurar fácilmente el protocolo. Microsoft ofrece algunas recomendaciones valiosas a la hora de configurar DMARC para dominios personalizados. Estamos de acuerdo con estos consejos y también los sugerimos a nuestros clientes. Veamos cuáles son:
- Cuando configures DMARC, comienza con una política none (ninguna)
- Lenta transición a cuarentena y luego rechazo
- También puedes mantener un valor de porcentaje (pct) bajo para el impacto de la política empezando por 10% y aumentándolo lentamente hasta 100%.
- Asegúrate de tener activados los informes DMARC para supervisar regularmente tus canales de correo electrónico.
Añadir un registro DMARC de Office 365 para dominios inactivos
Hemos e cubierto una guía detallada sobre la seguridad de sus dominios inactivos / estacionados con SPF, DKIM, y DMARC. Puedes seguir los pasos detallados allí, pero para una visión rápida, incluso tus dominios inactivos necesitan tener DMARC configurado.
Sólo tienes que publicar un registro DMARC accediendo a tu consola de gestión de DNS para el dominio inactivo. Si no tienes acceso a su DNS, debes ponerte en contacto hoy mismo con tu proveedor de DNS. Este registro puede configurarse para rechazar todos los mensajes procedentes de dominios inactivos que no superen el protocolo DMARC:
v=DMARC1; p=rechazar;
Configure DMARC para Office 365 de la forma correcta con PowerDMARC.
¿Por qué configurar DMARC para Office 365?
Office 365 incluye soluciones antispam y de seguridad del correo ya integradas en su suite de seguridad. Entonces, ¿por qué necesitaría una directiva DMARC en Office 365 para la autenticación? Esto se debe a que estas soluciones protegen principalmente contra los correos electrónicos de phishing enviados a su dominio. El protocolo de autenticación DMARC es su solución de prevención de phishing saliente. Permite a los propietarios de dominios especificar a los servidores de correo receptores cómo responder a los correos electrónicos enviados desde tu dominio que no superan la autenticación. DMARC también reduce el riesgo de que mensajes legítimos acaben en la carpeta de spam. Es crucial tener en cuenta que DMARC protege principalmente contra la suplantación de dominio directa (utilizando su nombre de dominio exacto) y no protege intrínsecamente contra la suplantación de dominio similar (utilizando nombres de dominio visualmente similares).
DMARC utiliza dos prácticas de autenticación estándar: SPF y DKIM. Estas validan la autenticidad de los correos electrónicos. Tu política DMARC en Office 365 puede ofrecer una mayor protección contra los ataques de suplantación de identidad y spoofing.
Configurar DMARC para los correos electrónicos empresariales es más importante que nunca en el escenario actual porque:
- Las agencias federales han emitido advertencias contra los hackers que se aprovechan de la ausencia o de las políticas débiles de DMARC
- El cumplimiento de DMARC es obligatorio para los remitentes masivos de Yahoo y Google.
- IBM informa de que el coste medio de una brecha cuando los atacantes utilizan credenciales comprometidas es de 4,8 millones de dólares.
Un ejemplo real del impacto de DMARC procede de HCIT un proveedor de servicios gestionados (MSP) que se enfrentaba a crecientes problemas de phishing y suplantación de identidad en el correo electrónico de sus clientes. Al implantar DMARC con PowerDMARC, HCIT protegió con éxito varios dominios, redujo los riesgos de suplantación de identidad y mejoró la entrega de los correos electrónicos, lo que demuestra cómo la solución adecuada puede proteger a las empresas y a sus clientes de costosos ataques.
Errores comunes y cómo evitarlos
Aunque la configuración de DMARC para Office 365 refuerza significativamente la seguridad del correo electrónico de su dominio, los errores de configuración pueden socavar su eficacia. Estos son algunos de los errores más comunes a los que se enfrentan las empresas y cómo evitarlos de forma proactiva:
Olvidar las políticas de subdominios
Políticas DMARC aplicadas en el dominio raíz (p. ej, sitio web.com) no se extienden automáticamente a subdominios como mail.website.com o noticias.sitioweb.com a menos que se especifique explícitamente mediante el parámetro sp en su registro DMARC.
Este descuido crea una laguna jurídica que los atacantes aprovechan con mucho gusto. Los ciberdelincuentes suelen atacar subdominios desprotegidos para enviar correos electrónicos falsificados, eludiendo la aplicación de DMARC de su dominio principal.
Solución: Añada sp=reject; (o cuarentena) a su política DMARC para ampliar la protección a todos los subdominios. Audite periódicamente sus subdominios y aplique políticas estrictas a los dominios que no deberían enviar correo electrónico en absoluto.
SPF/DKIM mal configurado Rompiendo DMARC
DMARC sólo funciona si las comprobaciones SPF o DKIM se superan y se alinean correctamente con el dominio en el encabezado "De". No basta con que estos protocolos existan. Deben autenticar en nombre del dominio exacto que se utiliza para enviar el correo.
Algunos problemas comunes:
- SPF incluye la IP de un remitente externo, pero su dominio envelope-from no coincide.
- DKIM está firmando con un dominio diferente al que aparece en la dirección "De".
- Los registros son sintácticamente incorrectos o están incompletos en su DNS
Solución: Utilice herramientas específicas de dominio para probar las configuraciones SPF, DKIM y DMARC. Compruebe siempre la alineación, no sólo el estado correcto/incorrecto. Herramientas como el analizador de PowerDMARC ayudan a visualizar y validar la configuración correcta, minimizando los riesgos asociados a una autenticación incorrecta.
Los remitentes de terceros fallan en la alineación
Servicios como Mailchimp, SendGrido Salesforce pueden admitir SPF y DKIM, pero si no están correctamente configurados para alinearse con su dominio, DMARC fallará aunque sus registros DNS parezcan correctos.
La desalineación con estas plataformas puede provocar que sus correos electrónicos se marquen o bloqueen, lo que puede afectar a la capacidad de entrega y a la confianza en la marca.
Solución:
- Confirme que sus servicios de correo electrónico de terceros admiten la firma DKIM utilizando su dominio y permiten la alineación SPF mediante la personalización de envelope-from.
- Verifique siempre la documentación y las configuraciones de prueba de cada plataforma.
- Mantenga una lista central de todos los remitentes externos utilizados por su organización y valídelos periódicamente para comprobar que cumplen con DMARC.
Sin dirección de notificación o informes ilegibles
La función de informes de DMARC es una de sus características más potentes, pero sólo si está correctamente activada. Si omite las etiquetas rua (informes agregados) o ruf (informes forenses) en su registro DMARC, perderá toda visibilidad sobre los intentos de envío no autorizados.
Peor aún, si recibe informes pero los dirige a una bandeja de entrada personal, el volumen y el formato XML sin procesar pueden resultar abrumadores e inutilizables.
Solución: Especifique siempre las etiquetas rua y ruf en su registro DMARC para activar la generación de informes. Además, utilice una dirección de correo electrónico dedicada o un analizador de informes DMARC de terceros que pueda analizar y visualizar los datos en un formato digerible.
¿Necesita realmente DMARC cuando utiliza Office 365?
Existe un error común entre las empresas: creen que Office 365 garantiza la seguridad frente al spam y los correos electrónicos fraudulentos. Sin embargo, en mayo de 2020, una serie de ataques de phishing a varias empresas de seguros de Oriente Medio. Los atacantes utilizaron Office 365, causando importantes pérdidas de datos y brechas de seguridad. Esto es lo que aprendimos de todo esto:
Razón 1: La solución de seguridad de Microsoft no es infalible
Por eso no basta con confiar en las soluciones de seguridad integradas de Microsoft. Hay que hacer esfuerzos externos para proteger su dominio puede ser un gran error.
Razón 2: Debe configurar DMARC para Office 365 para protegerse de los ataques salientes
Aunque las soluciones de seguridad integradas de Office 365 pueden ofrecer protección contra las amenazas del correo electrónico entrante y los intentos de suplantación de identidad, sigue siendo necesario asegurarse de que los mensajes salientes enviados desde su propio dominio se autentiquen de forma eficaz antes de llegar a las bandejas de entrada de sus clientes y socios. Aquí es donde DMARC para Office 365 entra en acción.
Razón 3: DMARC le ayudará a supervisar sus canales de correo electrónico
DMARC no sólo protege su dominio contra la suplantación directa de dominio y los ataques de phishing. También le ayuda a supervisar sus canales de correo electrónico. Tanto si aplica una política obligatoria como "rechazar/cuarentena", como si aplica una política más flexible como "ninguna", puede realizar un seguimiento de los resultados de autenticación mediante informes DMARC. Estos informes se envían a su dirección de correo electrónico o a un herramienta de análisis de informes DMARC DMARC. La supervisión garantiza que sus correos electrónicos legítimos se entregan correctamente.
Informes y supervisión de DMARC con PowerDMARC
PowerDMARC se integra a la perfección con Office 365 para ofrecer a los propietarios de dominios soluciones de autenticación avanzadas que protegen frente a sofisticados ataques de ingeniería social como BEC y la suplantación directa de dominios.
Cuando te registras en PowerDMARC, te estás registrando en una plataforma SaaS multitenant que no solo reúne todas las mejores prácticas de autenticación de correo electrónico (SPF, DKIM, DMARC, MTA-STS, TLS-RPT y BIMI), sino que también proporciona un mecanismo de informes DMARC amplio y detallado, que ofrece una visibilidad completa de su ecosistema de correo electrónico. Los informes DMARC en el panel de control de PowerDMARC se generan en dos formatos:
- Informes agregados (RUA)
- Informes forenses (RUF - si está habilitado y es compatible con el reportero)
Nos hemos esforzado por mejorar su experiencia de autenticación resolviendo varios problemas del sector. Garantizamos el cifrado de sus informes forenses DMARC, así como la visualización de informes agregados en 7 vistas diferentes para mejorar la experiencia del usuario y la claridad.
PowerDMARC le ayuda a supervisar el flujo de correo electrónico y los fallos de autenticación, así como a crear poner en la lista negra direcciones IP maliciosas de todo el mundo. Nuestro analizador DMARC le ayuda a configurar DMARC correctamente para su dominio y a pasar de la supervisión a la aplicación en un abrir y cerrar de ojos. Esto puede ayudarle a habilitar DMARC en Office 365 sin preocuparse por las complejidades que conlleva.
Preguntas frecuentes
¿Cómo funciona DMARC en O365?
En Office 365, DMARC protege el correo electrónico de dos maneras:
- Para el correo entranteOffice 365 comprueba la directiva DMARC del remitente. A continuación, pone en cuarentena (envía a la papelera) o rechaza los mensajes que no superan la autenticación SPF y DKIM.
- Para el correo saliente, publique un registro DMARC para su dominio. Office 365 se encarga automáticamente de la firma SPF y DKIM necesaria. De este modo, se garantiza que sus correos electrónicos estén debidamente autenticados y sean considerados fiables por los servidores receptores.
¿Es necesario DMARC para GDPR u otros marcos de cumplimiento?
DMARC no es un requisito explícito del GDPR ni de la mayoría de las normas de cumplimiento, pero contribuye a la protección de datos al evitar la suplantación de identidad y el uso no autorizado del correo electrónico, ayudando a cumplir expectativas de seguridad más amplias.
¿Funciona DMARC con las direcciones de correo electrónico de Gmail y Yahoo?
DMARC protege su dominio, no el proveedor de la bandeja de entrada. Sin embargo, los principales proveedores como Gmail y Yahoo aplican DMARC al correo entrante, por lo que es esencial que los remitentes pasen la autenticación.
¿Puede DMARC mejorar las tasas de apertura del correo electrónico?
Indirectamente, sí. Los correos autenticados tienen menos probabilidades de ser marcados como spam o rechazados, lo que significa una mejor ubicación en la bandeja de entrada y mayores posibilidades de ser abiertos.
¿Tiene algún coste implementar DMARC?
Configurar DMARC es gratuito si gestiona su propio DNS. Sin embargo, puede optar por herramientas o servicios de pago para simplificar la supervisión, el análisis de informes y la gestión continua.
Revisión de contenidos y verificación de hechos
La información sobre el proceso de configuración de Office 365 DMARC se ha extraído principalmente de la documentación oficial de Microsoft y de la experiencia práctica. Esta documentación puede ser actualizada por Microsoft. Las recomendaciones mencionadas en el artículo, incluido el uso de reglas de transporte y el despliegue gradual de directivas, se basan en las mejores prácticas del sector y en experiencias reales de clientes.
"`
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.
Últimos mensajes de Yunes Tarada (ver todos)
- Compresión SPF: reduce las consultas DNS de SPF y optimiza tu registro SPF - 25 de marzo de 2026
- Certificado de marca verificada frente a certificado de marca común: elegir el más adecuado - 10 de marzo de 2026
- Nivel de confianza de spam (SCL) -1 Bypass: qué significa y cómo gestionarlo - 4 de marzo de 2026
