• ¿Qué es el reenvío de correo electrónico? Cómo funciona y buenas prácticas

¿Qué es el reenvío de correo electrónico? Cómo funciona y buenas prácticas

Blog, Seguridad del correo electrónico

Configurar el reenvío de correos electrónicos es sencillo, pero, sin que nos demos cuenta, anula los protocolos SPF, DKIM y DMARC. Descubre cómo funciona el reenvío, por qué provoca fallos en la entrega y cuáles son las mejores prácticas para evitarlos.

por Ahona Rudra

Última actualización:
10 10 minutos de lectura
¿Qué es el reenvío de correo electrónico? Cómo funciona y buenas prácticas

Puntos clave

  • El reenvío de correo electrónico es una práctica muy extendida, pero conlleva cambios a nivel del servidor que pueden afectar de forma inadvertida a la autenticación del correo electrónico.
  • Cuando se reenvía un correo electrónico, la dirección IP del remitente cambia, mientras que el encabezado «De» original permanece igual. Esto puede parecer un intento de phishing o de suplantación de identidad. 
  • El SPF casi siempre falla durante el reenvío porque el servidor intermediario no figura en la lista de servidores autorizados del remitente original. 
  • Es posible que DKIM siga funcionando, pero solo si quien reenvía el correo no modifica el contenido ni el formato del mensaje. La autenticación tradicional no está diseñada para el reenvío. 
  • El ARC es la forma más eficaz de conservar los resultados originales de la validación.

El reenvío de correos electrónicos es una de las causas más habituales de fallos en la entrega, y la mayoría de los administradores de dominios no tienen ninguna indicación clara de que algo vaya mal. El reenvío altera los datos del mensaje de tal forma que invalida los protocolos de autenticación modernos, y esto suele pasar desapercibido. Dado que los datos ya no coinciden, los servidores receptores consideran el correo reenviado como sospechoso y, a menudo, lo envían a la carpeta de spam o lo bloquean directamente.

¿Qué es el reenvío de correo electrónico?

El reenvío de correo electrónico es un proceso que se lleva a cabo en el servidor y que redirige los mensajes entrantes de una dirección a otra. Dado que esto ocurre en el servidor de correo, resulta totalmente transparente para el remitente original y no requiere ninguna intervención manual por parte del destinatario. 

Pero antes, veamos la diferencia entre el reenvío manual y el automático de correos electrónicos. Para aclarar cualquier duda, resulta útil consultar dónde y cuándo se produce el reenvío:

  • Reenvío manual de correos electrónicos: Esto ocurre después de de que un mensaje llegue a tu bandeja de entrada. Abres el correo electrónico, haces clic en «Reenviar», escribes la dirección del nuevo destinatario y pulsas «Enviar». Requiere una acción manual para cada correo electrónico.
  • Reenvío automático de correos electrónicos: Es una regla que se configura una vez . La configuras una vez (ya sea en los ajustes de tu correo electrónico o en el servidor) y el sistema redirige al instante los mensajes entrantes a otra dirección antes incluso de que los veas.

Las organizaciones utilizan el reenvío automático de correos electrónicos en varias situaciones habituales: 

  • Alias de dominio: Desvío de las direcciones generales de la empresa directamente a la bandeja de entrada personal de un empleado.
  • Reglas de reenvío automático: Creación de filtros a nivel de usuario o de sistema para reenviar el correo a cuentas distintas. 
  • Listas de correo: Distribución de un único mensaje recibido a un gran grupo de suscriptores a la vez. 
  • Enrutamiento a terceros: Envío de registros de transacciones o tickets de asistencia a sistemas externos para su procesamiento. 

Reenvío de correo electrónico frente a redireccionamiento

Aunque a menudo se utilizan estos dos términos indistintamente, para un servidor de correo tienen significados diferentes. 

Cuando se reenvía un correo electrónico, el servidor de correo, en esencia, duplica el mensaje e inicia una nueva transacción. Envuelve el correo en su propia información de enrutamiento en segundo plano, pero mantiene visible el nombre del remitente original en el campo «De» que se ve en la bandeja de entrada. Esta diferencia es lo que despierta las sospechas de los servidores receptores. 

Una redirección verdadera es más pasiva. En lugar de reconstruir el mensaje, el servidor se limita a enviar el correo electrónico original a un nuevo destinatario sin modificar el sobre de fondo ni las propiedades de transmisión. Para el servidor receptor, un correo electrónico redirigido parece haber viajado directamente desde la bandeja de entrada del remitente original hasta la suya; sin intermediarios, sin datos modificados y sin autenticación fallida. 

Resumen: Reenvío frente a redireccionamiento

CaracterísticaReenvío de correo electrónicoRedireccionamiento de correo electrónico
Acción del servidorCrea un nuevo texto de mensaje y una nueva transacción.Transmite el mensaje original tal cual.
Fondo de la cartaReescrito con los datos del servidor de reenvío.Sin tocar.
Al servidor receptorParece que un intermediario se encargó del correo electrónico.Parece que viene directamente del remitente original.
Riesgo de spam/autenticaciónMás alto (puede anular la autenticación SPF/DKIM).Bajo (por lo general, conserva la autenticación original).

¿Cómo funciona el reenvío de correos electrónicos?

A continuación se describe paso a paso cómo se transmite un mensaje por Internet: 

  • Paso 1: El remitente original envía el correo electrónico al servidor de correo inicial del destinatario. 
  • Paso 2: El servidor original recibe el mensaje entrante y lo compara con un conjunto de reglas de reenvío. 
  • Paso 3: El intermediario de reenvío establece una nueva conexión para enviar el mensaje al servidor de destino final, desviando el tráfico a través de su propio sistema y su propia dirección IP. 
  • Paso 4: El servidor de destino recibe el mensaje desde una dirección IP intermedia inesperada. 

El conflicto 

Durante este proceso, se producen tres cambios importantes: 

  1. La dirección IP de origen de la conexión cambia a la del servidor de reenvío, 
  2. El campo «De» sigue siendo el mismo que el dominio del remitente original, y 
  3. El cuerpo del mensaje o los encabezados pueden modificarse, por ejemplo, añadiendo pies de página de listas de correo o encabezados de tránsito. 

Estos cambios estructurales impiden la autenticación del correo electrónico. 

Cómo afecta el reenvío de correos electrónicos a la autenticación

Cuando se produce un reenvío automático de correo electrónico, se producen cambios que alteran la forma en que los protocolos de autenticación de correo electrónico verifican un mensaje. 

SPF (Marco de directivas del remitente) 

SPF comprueba el correo entrante verificando si la dirección IP del servidor de conexión figura en el registro DNS del dominio que aparece en el campo «Return-Path» del remitente del sobre. 

  • ¿Cuál es el problema? Cuando se reenvía un correo electrónico, el intermediario que realiza el reenvío establece una nueva conexión para enviar el mensaje y desvía el tráfico a través de su propia infraestructura y dirección IP. 
  • ¿El resultado? Dado que la dirección IP del servidor de reenvío no figura en el registro SPF del remitente original, la comprobación del remitente del sobre falla en el destino final. Por lo tanto, el SPF casi siempre dará un resultado negativo durante el reenvío. 

DKIM (Correo Identificado por Clave de Dominio) 

DKIM utiliza una firma criptográfica vinculada al dominio para verificar que el contenido del mensaje no se haya modificado durante la transmisión. 

  • ¿Cuál es el problema? Esta firma criptográfica suele permanecer intacta tras un reenvío básico si el servidor intermediario reenvía el mensaje de forma pasiva. Sin embargo, si el servidor de reenvío modifica el cuerpo del mensaje o añade píxeles de seguimiento o encabezados, los datos subyacentes cambian. 
  • ¿El resultado? Una vez modificado el contenido, la firma DKIM ya no coincide, lo que invalida por completo la autenticación. 

DMARC 

DMARC actúa como una capa de políticas que exige que un correo electrónico supere la verificación de SPF o DKIM para superar el proceso de autenticación. 

  • ¿Cuál es el problema? Dado que el reenvío, por su propia naturaleza, invalida el SPF, tu correo electrónico depende del DKIM para superar la verificación DMARC. Si el intermediario de reenvío también modifica el cuerpo del mensaje o los encabezados, el DKIM falla junto con el SPF. 
  • ¿El resultado? Cuando ambos protocolos fallan, la validación DMARC falla como consecuencia directa. Si el dominio del remitente original tiene una política DMARC estricta (p=reject), el servidor de destino bloquea el correo electrónico reenviado legítimamente.

La evolución del reenvío: de ARC a DKIM2

Para resolver los defectos inherentes que el reenvío introduce en la autenticación tradicional del correo electrónico, la comunidad de Internet diseñó inicialmente ARC (Authenticated Received Chain) para permitir que los intermediarios avalaran criptográficamente un mensaje.

¿Qué es el ARC?

En pocas palabras, ARC es un protocolo de correo electrónico que funciona como una sucesión de sellos notariales. A medida que un correo electrónico pasa por distintos servidores intermedios de reenvío (como una lista de distribución o una bandeja de entrada con reenvío automático), cada servidor firma criptográficamente el mensaje y avala los resultados de autenticación originales. Esto permite al servidor receptor final revisar la cadena validada y comprobar que el correo electrónico era legítimo antes de ser reenviado.

El cambio a DKIM2

Sin embargo, el panorama de la seguridad del correo electrónico está cambiando. Según el borrador de la IETF del 17 de mayo de 2026 (draft-ietf-dkim-dkim2-spec-02), el sector está pasando activamente a DKIM2.

Dado que las lecciones operativas de ARC se están incorporando a esta solución nativa y más sencilla, en un borrador independiente de la IETF de abril de 2026 se ha propuesto reclasificar oficialmente ARC como un estándar histórico.

Cómo DKIM2 soluciona de forma nativa el reenvío

Mientras que ARC funcionaba como una solución provisional experimental, DKIM2 corrige los problemas de reenvío directamente desde el protocolo central. Cuando las listas de correo o los servidores de reenvío modifican un correo electrónico, DKIM2 lo gestiona creando una cadena de custodia a lo largo de cada paso que da el mensaje.

Cada sistema intermediario registra los cambios que le son propios y añade su propia firma. Esto permite a los servidores receptores rastrear el correo hasta el remitente original sin interrumpir la cadena de autenticación.

Principales mejoras de la actualización de mayo de 2026:

  • Encabezados excluidos: Los encabezados Ahora se excluirán de la firma para evitar fallos de verificación innecesarios cuando el correo cruce fronteras.
  • Indicadores de control más estrictos: Los remitentes pueden utilizar la bandera mejorada donotmodify y donotexplode para evitar modificaciones no autorizadas de los mensajes o el enrutamiento dividido.
  • Código simplificado: La especificación eliminará la receta del cuerpo receta del cuerpo z para simplificar la forma en que se construyen las implementaciones compatibles.

Nota importante: DKIM2 sigue siendo un borrador activo del IETF y aún no se ha implementado oficialmente. Se prevé que la especificación sufra más cambios técnicos y ajustes antes de que se publique formalmente como un estándar de Internet definitivo. 

Prácticas recomendadas para el reenvío de correos electrónicos

Estas son las mejores prácticas de reenvío de correo electrónico que deben seguir los administradores de dominios:

  • Prioriza la validación DKIM: Utiliza DKIM como tu principal método de alineación. Dado que es probable que SPF falle durante el reenvío, una firma DKIM válida y sin modificar suele ser tu mejor defensa para superar la validación DMARC. 
  • Configurar la canonicización relajada: Configure la canonicización DKIM de su servidor de correo como c=relaxed/relaxed. Esto permite cambios menores en los espacios en blanco o en las mayúsculas y minúsculas de los encabezados durante el tránsito sin romper la firma criptográfica.  
  • Mantén el ARC actual (pero plantéate pasar a DKIM2): Si su infraestructura de correo interna ya utiliza la firma mediante el protocolo ARC, manténgalo activo para dar soporte a las pasarelas heredadas. Sin embargo, no invierta mucho en nuevos desarrollos de ARC. Según los últimos borradores de la IETF para 2026, ARC podría reclasificarse como estándar histórico, ya que sus lecciones operativas se están incorporando a DKIM2.
  • Configurar (por ahora): En entornos de Microsoft 365, siga añadiendo manualmente intermediarios de reenvío conocidos y de confianza a su lista de selladores ARC de confianza dentro del portal de Microsoft Defender. Esto garantiza que el correo reenviado legítimo no se descarte mientras el sector realiza la transición a DKIM2.
  • Supervisar los informes agregados de DMARC: Revisa tus datos XML agregados para ver dónde se producen fallos de reenvío como problemas de alineación exclusivos de SPF. Utiliza estos informes para identificar y medir el impacto exacto que tiene el reenvío en tus tasas de entrega. Revisar las anulaciones de la política DMARC puede ayudar a interpretar cómo tratan las redes receptoras estos flujos.
  • Transición a buzones compartidos: Para el enrutamiento interno, considere la posibilidad de utilizar buzones compartidos en lugar de reglas de reenvío automático de la bandeja de entrada. Los buzones compartidos permiten que varios usuarios accedan directamente a los mismos flujos de correo electrónico, lo que evita los problemas de autenticación causados por el reenvío de servidor a servidor.  
  • Aplica las políticas de forma gradual: Empieza con p=none si tienes rutas de reenvío activas. Solo cambia tu política a niveles más estrictos (p=quarantine o p=reject) después de confirmar tus flujos reenviados a través de tus informes de supervisión. 

Consulta nuestra completa guía de reenvío de correo o consulta las directrices de Google ARC Sender para asegurarte de que tus configuraciones se ajustan a los estándares actuales del sector.

Tipos de reenvío de correo electrónico

Comprender los distintos niveles operativos del reenvío ayuda a identificar dónde surgen los problemas de autenticación. 

Reenvío a nivel de servidor

Este tipo de configuración, que se establece en el agente de transferencia de correo (MTA) o en el servidor de correo corporativo, aplica reglas de enrutamiento globales a todos los mensajes entrantes que cumplan criterios específicos de dominio. Se aplica de forma inmediata al recibir el mensaje y resulta muy eficaz para los alias corporativos. 

Reenvío a nivel de cliente

Esta configuración la realizan los propios usuarios en sus clientes de correo electrónico, como Gmail u Outlook. Se basa en reglas y filtros de bandeja de entrada definidos por el usuario para reenviar los mensajes entrantes a cuentas externas, personales o secundarias. 

Alias de dominio

Una configuración en la que todo un dominio o una dirección concreta redirige automáticamente todo el tráfico entrante a una bandeja de entrada de destino independiente. Se suele utilizar en entornos corporativos para mantener identidades públicas impecables. 

Listas de correo

Un sistema de difusión en el que un correo electrónico enviado a una única dirección centralizada se reenvía automáticamente a un gran número de suscriptores individuales. Las listas de correo son las que presentan un mayor riesgo de fallo de DKIM. 

Reenvío de correos electrónicos en Gmail y Outlook

Gmail y Microsoft 365 gestionan el reenvío de correos electrónicos mediante plataformas en la nube distintas.

Reenvío automático de correos electrónicos en Gmail

A continuación te explicamos cómo reenviar correos electrónicos en Gmail:

Paso 1: Ve a «Ajustes»

Haz clic en el icono de engranaje situado en la parte superior derecha de Gmail, pulsa Ver todas las configuracionesy ve a la sección Reenvío y POP/IMAP .

  1. Haz clic en «Añadir una dirección de reenvío» y escribe la dirección de correo electrónico de destino.
  2. Ve a esa bandeja de entrada, abre el correo electrónico de confirmación de Google y haz clic en el enlace de verificación.

Vincular la nueva dirección

Paso 3: Elige cómo reenviar

  • Para reenviar todo: Marque Reenviar una copia del correo entrante a…, decide si quieres conservar o eliminar la copia de tu bandeja de entrada original y pulsa Guardar cambios en la parte inferior.
  • Para reenviar correos electrónicos concretos: Haz clic en «Crear un filtro» (o utiliza el menú desplegable de la barra de búsqueda), establece tus criterios (como un remitente específico), marca Reenviarlo ay pulsa Crear filtro.

Elige cómo reenviar

¿Qué ocurre entre bastidores?

Cuando Google reenvía un mensaje, lo envía a través de sus propios servidores. A continuación se explica cómo afecta esto a la seguridad del correo electrónico en el destino final:

  • Es probable que la verificación SPF falle: Dado que el correo electrónico procede de los servidores de Google en lugar de los del remitente original, las comprobaciones SPF estándar suelen fallar.
  • DKIM suele pasar la verificación: Gmail no modifica el cuerpo del correo electrónico, por lo que la firma DKIM del remitente original permanece intacta.
  • Gmail añade automáticamente encabezados ARC a los correos reenviados (por ahora), lo que ayuda al servidor receptor a comprobar que el correo electrónico es legítimo a pesar del fallo de SPF.

Un consejo rápido para los administradores del espacio de trabajo: No pierdas de vista tus informes agregados de DMARC para realizar un seguimiento y gestionar cualquiera de estos problemas de SPF causados por el reenvío.

Reenvío de correo electrónico en Outlook / Microsoft 365

Microsoft 365 (M365) ofrece una amplia gama de opciones de enrutamiento del correo electrónico, pero gestionar su interacción con los filtros de seguridad del correo requiere una configuración minuciosa.

1. Tipos de reenvío de correo electrónico en M365

Los administradores y los usuarios pueden configurar el reenvío mediante tres métodos distintos:

  • Reglas de la bandeja de entrada: Reglas individuales a nivel de usuario creadas en Outlook.
  • Reglas de transporte: Normas detalladas de nivel administrativo configuradas en Exchange Online.
  • Reenvío de buzones SMTP: Configuraciones de reenvío del Protocolo simple de transferencia de correo (SMTP) aplicadas a buzones específicos.

2. El problema de la autenticación: fallos de SPF y ARC

Dado que el reenvío modifica la ruta del correo electrónico, entra en conflicto de forma inherente con los protocolos estándar de autenticación del correo electrónico:

  • Errores de SPF: Durante un reenvío, la dirección IP de conexión cambia a la red de Microsoft. En consecuencia, la comprobación del Marco de políticas del remitente (SPF) del remitente original fallará en el destino final.
  • Configuración predeterminada del encabezado ARC: De forma predeterminada, las reglas de transporte de M365 añaden encabezados de cadena de recepción autenticada (ARC) a los correos electrónicos reenviados salientes para ayudar a validar el historial del mensaje.
  • El resultado: A pesar de los encabezados ARC, el cambio de direcciones IP suele provocar arc=fail en los clientes de Microsoft que reciben los datos.

3. Soluciones y políticas administrativas

Para garantizar la entrega de los correos electrónicos y evitar bloqueos de seguridad, los administradores de M365 para empresas deben gestionar dos configuraciones fundamentales:

  • Definir selladores ARC de confianza: Los administradores deben incluir explícitamente a los intermediarios externos de confianza como selladores ARC de confianza en su portal de Microsoft Defender para mejorar la capacidad de entrega.
  • Permitir el reenvío externo: Microsoft aplica una política de seguridad global que bloquea el reenvío automático externo de forma predeterminada en los inquilinos más recientes. Debido a esta medida de seguridad, las reglas de reenvío creadas por los usuarios fallarán de forma silenciosa hasta que un administrador permita explícitamente el reenvío externo.

Resumen

Las herramientas básicas de seguridad de Internet no se diseñaron para mensajes que pasan de un servidor a otro. Cuando un servidor reenvía un correo electrónico a otro servidor, cambia la dirección IP del remitente y desactiva tus protecciones SPF.

Pero no es necesario sacrificar el enrutamiento del correo electrónico para garantizar una buena seguridad. Una configuración sólida de DKIM y los protocolos ARC pueden ayudar a garantizar que los correos electrónicos reenviados lleguen a las bandejas de entrada previstas. 

Con PowerDMARC, podrás ver de un solo vistazo toda tu configuración de reenvío de correo electrónico. Nuestra plataforma te permite realizar un seguimiento de los datos agregados de DMARC, gestionar problemas complejos relacionados con los alias de correo electrónico e implementar una firma ARC de salida perfecta en toda tu red. 

Deja de preguntarte si tus correos electrónicos llegan. Regístrate hoy mismo a una prueba gratuita de PowerDMARC y garantiza el flujo de tu correo de principio a fin.

Preguntas frecuentes 

¿El reenvío de correos electrónicos afecta al SPF? 

Sí. El SPF comprueba si la dirección IP del servidor remitente coincide con las direcciones IP autorizadas que figuran en los registros DNS del remitente. Dado que el reenvío envía el mensaje a través de un servidor intermediario, la conexión no coincidirá con el registro SPF del remitente original. Por lo tanto, ¡la comprobación dará error! 

¿El reenvío de correos electrónicos afecta al DKIM? 

Con el DKIM tradicional, el reenvío falla si una lista de correo o un intermediario altera el texto del correo electrónico, añade pies de página o modifica los encabezados. Dado que el hash criptográfico cambia, la firma original se invalida, lo que provoca fallos en DMARC. Según el borrador de la IETF del 17 de mayo de 2026, el próximo DKIM2 gestionará el reenvío mediante el establecimiento de una cadena de custodia integrada.

En lugar de romper la autenticación, cada sistema que procesa el correo electrónico registra sus modificaciones y añade su propia firma. Esto permite a los servidores receptores rastrear el mensaje sin problemas hasta llegar al remitente original.

¿Por qué mis correos reenviados van a parar a la carpeta de spam? 

Los correos electrónicos reenviados suelen acabar en las carpetas de spam porque el cambio en la IP de envío hace que falle la validación SPF. Cuando este fallo provoca que la autenticación DMARC posterior falle, los sistemas de correo receptores marcan el mensaje entrante como no autenticado o falsificado. 

¿Cuál es la diferencia entre el reenvío de correo electrónico y la redirección de correo electrónico? 

El reenvío de correo electrónico modifica la ruta de transmisión del mensaje al redirigirlo a través de un servidor intermediario con una nueva dirección IP, aunque se mantienen los datos originales del remitente en los encabezados visibles. La redirección de correo electrónico indica al sistema que envíe el mensaje original directamente a una dirección secundaria sin modificar las propiedades del remitente del sobre ni alterar la autenticación. 

¿Es seguro reenviar correos electrónicos? 

El reenvío estándar de correos electrónicos revela los encabezados de enrutamiento del mensaje original a sistemas de terceros, lo que complica el seguimiento y altera los protocolos de autenticación como SPF y DMARC. Esto facilita que los atacantes se aprovechen de los flujos descoordinados, a menos que se configuren adecuadamente protecciones como ARC.

CTA

Últimas publicaciones de Ahona Rudra (ver todas)
Última actualización:
Los RFC 9989, 9990 y 9991 de DMARC sustituyen al RFC 7489DMARC (RFC 9989, 9990 y 9991) sustituyen oficialmente a la RFC 7489compauth=fail--Explicación de la autenticación compuesta de Microsoftcompauth=fail: Explicación de la autenticación compuesta de Microsoft