¿Cómo puedo comprobar los registros SPF en Exchange Online?

Utiliza una herramienta de consulta de SPF, como el verificador SPF de PowerDMARC, introduce tu dominio y revisa el registro, la sintaxis y el número de consultas. También puedes verificarlo en el Centro de administración de Microsoft 365, en Configuración → Dominios → Registros DNS. Para la verificación por parte del destinatario, comprueba el encabezado «Authentication-Results» en un mensaje de prueba enviado desde el exterior.

¿Qué registro SPF necesito para Microsoft 365?

Como mínimo: v=spf1 include:spf.protection.outlook.com -all. Si utilizas servicios de envío adicionales (HubSpot, SendGrid, Salesforce, Zendesk), añade sus entradas «include» antes de «-all». Asegúrate de que el número total de consultas DNS no supere las 10, incluidas las consultas anidadas dentro de cada entrada «include».

¿Por qué falla SPF aunque mi registro parece correcto?

Causas habituales: superar el límite de 10 consultas DNS (PermError), tener varios registros SPF en el mismo dominio, correos electrónicos reenviados (el SPF deja de funcionar al reenviarlos por diseño) o que un proveedor cambie sus rangos de IP autorizados sin avisarte. Comprueba el encabezado «Authentication-Results» para ver el resultado específico de «spf=».

¿Cuál es la diferencia entre «-all» y «~all»?

-all (rechazo definitivo) indica a los receptores que rechacen o denieguen los mensajes procedentes de direcciones IP no autorizadas. ~all (rechazo no definitivo) es más permisivo. En 2026, una vez implementado DMARC, la política DMARC controlará la aplicación independientemente del calificador. Si aún no dispone de DMARC, -all ofrece una protección considerablemente mayor.

¿Cuántas consultas DNS realiza include:spf.protection.outlook.com?

La llamada a Microsoft cuenta como una consulta, pero da lugar a llamadas anidadas que consumen aproximadamente entre 2 y 4 consultas adicionales. El número exacto varía a medida que Microsoft actualiza su infraestructura. Compruébalo siempre con una herramienta de análisis que cuente de forma recursiva las consultas anidadas.

¿Es suficiente el SPF para impedir la suplantación de identidad en el correo electrónico?

No. El SPF por sí solo no impide la suplantación de la dirección «De:» visible (el campo «From» del encabezado). Solo valida el remitente del sobre (Return-Path). Para lograr una protección completa, se requiere DKIM para la firma a nivel de mensaje, además de DMARC para garantizar el cumplimiento. El uso conjunto de estos tres protocolos, junto con una supervisión continua, será la norma en 2026.

Cómo los MSP pueden gestionar DMARC más rápidamente con MCP Server

Puntos clave

La gestión de DMARC en decenas de dominios de clientes se complica cuando los proveedores de servicios gestionados (MSP) dependen de paneles de control independientes y comprobaciones manuales del DNS.
Un servidor MCP conecta herramientas de IA como Claude o Cursor a los datos en tiempo real de PowerDMARC, lo que permite a los MSP consultar y gestionar dominios mediante sencillas instrucciones.
Los MSP pueden identificar rápidamente los dominios susceptibles de suplantación, los problemas relacionados con el SPF, las políticas DMARC deficientes y las deficiencias en la autenticación en toda su cartera de clientes.
El servidor MCP contribuye a reducir los gastos operativos al combinar la visibilidad, la resolución de problemas y la generación de registros DNS en un único flujo de trabajo.

Gestionar DMARC en unos pocos dominios es factible. Gestionarlo en 50, 100 o 300 dominios de clientes es otra historia completamente diferente.

La mayoría de los MSP ya conocen el procedimiento habitual: saltar de un panel a otro, comprobar manualmente los registros DNS, validar la sintaxis SPF en herramientas independientes, revisar los informes DMARC cliente por cliente e intentar llevar la cuenta de qué clientes siguen en modo de supervisión. Si a esto le sumamos múltiples administradores, distintos proveedores de DNS y herramientas de seguridad inconexas, incluso las comprobaciones más sencillas empiezan a llevar horas.

El problema no es la falta de herramientas. Es la falta de una capa operativa centralizada lo que impide a los MSP realizar consultas, resolver problemas y actuar con rapidez en toda su cartera de clientes.

Aquí es donde entra en juego el servidor MCP.

El servidor MCP de PowerDMARC ofrece a los MSP la posibilidad de interactuar con datos DMARC en tiempo real directamente a través de herramientas de IA como Claude o Cursor. En lugar de tener que cambiar constantemente entre pestañas y portales, los equipos pueden formular preguntas en lenguaje natural y obtener al instante respuestas concretas a nivel de cuenta.

¿Qué es el MCP? ¿Y por qué debería importarle a los MSP?

MCP son las siglas de «Model Context Protocol». En pocas palabras, se trata de un estándar que permite a los asistentes de IA conectarse con plataformas externas y trabajar con datos en tiempo real.

Sin un MCP, un asistente de IA solo puede ofrecer orientación general basada en lo que ya sabe. Puede explicar qué son el SPF o el DMARC, pero no puede ver los dominios de tus clientes, comprobar sus registros DNS ni identificar qué dominios son vulnerables a la suplantación de identidad.

Con MCP, la IA se conecta a tu entorno real.

Esto significa que un MSP puede hacer preguntas como:

«¿Qué dominios de clientes siguen teniendo p=none?»
«Muéstrame los dominios con riesgo de SPF PermError ».
«Genera un registro SPF corregido para este cliente».
«Muestra todos los dominios con puntuaciones de estado bajas».

En lugar de respuestas genéricas, la IA obtiene información en tiempo real directamente de la plataforma conectada y puede ayudar a realizar tareas en tiempo real.

Para los MSP que se encargan de la seguridad del correo electrónico en varias organizaciones, esto es importante porque reduce los gastos operativos. La IA deja de ser un mero asistente y se convierte en una interfaz que permite gestionar entornos reales con mayor rapidez.

Por qué PowerDMARC creó un servidor MCP

Los MSP y los MSSP que gestionan grandes carteras de dominios suelen enfrentarse al mismo cuello de botella operativo: la visibilidad está fragmentada. Esto significa que un cliente puede estar en fase de aplicación de DMARC, otro puede seguir en modo de supervisión, un dominio puede tener un problema con la consulta de SPF, mientras que en otro aparecen remitentes no autorizados en los informes. Para recabar toda esta información, normalmente hay que iniciar sesión en distintos paneles de control, comprobar los registros manualmente y recopilar datos de diversas herramientas.

PowerDMARC ha desarrollado su servidor MCP para eliminar esa fricción.

El objetivo no era sustituir los flujos de trabajo existentes, sino permitir a los MSP seguir trabajando con las herramientas de IA que ya utilizan, sin dejar de tener acceso a la información en tiempo real sobre DMARC y DNS desde su entorno PowerDMARC.

Sin conectividad MCP, incluso las herramientas avanzadas de IA solo pueden ofrecer consejos teóricos:

Tu consulta: «¿Por qué falla SPF en el dominio de mi cliente?»

La respuesta: «Es posible que el dominio de tu cliente no supere la verificación SPF por diversas razones. Así es como funciona el SPF…»

Con la conectividad MCP, ese mismo mensaje se convierte en una acción:

La respuesta: «El dominio de tu cliente supera los límites de consulta de SPF debido a las instrucciones «include» anidadas. Aquí tienes el registro SPF corregido».

La diferencia está en el contexto.

Al conectar la IA directamente a los datos de las cuentas activas, los MSP pueden obtener puntuaciones de estado de los dominios, identificar riesgos de suplantación de identidad, validar registros, revisar el estado de cumplimiento y generar soluciones sin tener que acceder manualmente a cada cuenta de cliente.

Para los equipos que gestionan decenas o cientos de dominios, esa rapidez operativa cobra importancia muy rápidamente.

Los dos problemas de MSP que resuelve directamente

Problema 1: Gestionar más de 50 dominios de clientes sin una vista centralizada

A medida que crecen las carteras de MSP, resulta cada vez más difícil mantener la visibilidad. Cada cliente tiene dominios distintos, proveedores de DNS diferentes, distintos niveles de aplicación y fuentes de envío variadas. Algunos pueden estar totalmente sujetos a políticas DMARC estrictas, mientras que otros siguen dependiendo del modo de supervisión con una alineación SPF incompleta. Llevar un seguimiento de todo esto manualmente no es una solución escalable.

El servidor MCP ofrece a los MSP la posibilidad de consultar toda su cartera desde una única interfaz mediante indicaciones en lenguaje sencillo. Por ejemplo:

«Enumera todos los dominios de los clientes junto con su política DMARC, su estado de cumplimiento y su puntuación de estado».

En lugar de comprobar a cada inquilino por separado, la IA puede ofrecer una visión general centralizada de toda la cartera en cuestión de segundos.

Esto resulta especialmente útil para identificar:

Los dominios siguen siendo vulnerables a la suplantación de identidad
Clientes con políticas de cumplimiento deficientes
Dominios con configuraciones SPF incorrectas
Cuentas que requieren corrección antes de pasar a cuarentena o ser rechazadas

Para los MSP que gestionan la seguridad del correo electrónico de múltiples clientes, la visibilidad centralizada suele ser el eslabón que falta entre la resolución reactiva de problemas y la gestión proactiva.

También puede obtener más información sobre DMARC para múltiples dominios y sobre cómo la gestión centralizada de dominios mejora la eficiencia operativa a gran escala.

Problema 2: Tener que cambiar constantemente entre demasiadas herramientas inconexas

La mayoría de los entornos de MSP ya están saturados de herramientas. Los equipos tienen que alternar constantemente entre plataformas de gestión remota (RMM), sistemas de gestión de incidencias, proveedores de DNS, paneles de control de seguridad y portales de autenticación de correo electrónico. Ninguna de estas herramientas comparte información de forma natural con las demás, por lo que incluso la resolución de problemas más sencillos acaba requiriendo mucho tiempo.

Un ejemplo habitual:

Un cliente informa de fallos en la entrega de correos electrónicos
El técnico comprueba la sintaxis de SPF por separado
Las consultas de DNS se realizan en otra herramienta
Los informes DMARC se revisan en otro lugar
A continuación, se genera manualmente un registro corregido

El servidor MCP convierte la IA en el enlace entre esos flujos de trabajo. Un MSP puede utilizar una indicación como:

«Comprueba si este dominio tiene problemas con el SPF, identifica la causa del PermError y genera un registro SPF corregido».

El resultado es un proceso de resolución de problemas más ágil, sin tener que cambiar constantemente de plataforma.

Qué puedes hacer realmente con el servidor MCP de PowerDMARC

1. Obtenga una visibilidad completa de toda su cartera de clientes

Los MSP pueden consultar una lista completa de los dominios gestionados, junto con el estado de la política DMARC, la fase de aplicación y las puntuaciones de estado, todo ello desde una única interfaz. El servidor MCP también puede identificar quién está enviando correo electrónico en nombre de cada dominio de cliente, lo que facilita la detección de remitentes no autorizados o inesperados.

Los equipos pueden consultar el historial de volumen de correo, examinar los datos analíticos de DKIM y supervisar las tendencias de autenticación en múltiples entornos de clientes sin tener que abrir manualmente cada cuenta.

2. Detectar los problemas antes de que los clientes se den cuenta

El servidor MCP ayuda a los MSP a identificar los dominios que aún son susceptibles de suplantación de identidad y a comprender exactamente por qué siguen expuestos. Permite validar las configuraciones de SPF, detectar problemas relacionados con los límites de consultas y señalar posibles riesgos de PermError antes de que afecten al flujo de correo. Los equipos también pueden obtener informes forenses de fallos para los mensajes fallidos y revisar los registros de auditoría para ver los cambios de configuración recientes que puedan haber provocado problemas.

En lugar de esperar a que un cliente plantee un problema, los MSP pueden identificar de forma proactiva los puntos débiles de toda la cartera.

3. Generar soluciones y actuar de inmediato

Los MSP pueden generar registros DMARC, SPF y DKIM listos para DNS directamente a partir de indicaciones, sin necesidad de crear manualmente la sintaxis. El servidor MCP también admite búsquedas DNS en múltiples tipos de registros, lo que ayuda a los técnicos a verificar rápidamente las configuraciones durante la resolución de problemas.

Las acciones operativas también se pueden gestionar desde la misma interfaz. Por ejemplo, los MSP pueden añadir un nuevo dominio de cliente y configurarlo en modo de supervisión sin necesidad de abrir el panel de control por separado. Esto reduce el número de tareas administrativas repetitivas que los técnicos deben realizar a diario.

4. Gestionar las subcuentas de MSSP desde una única interfaz

En el caso de los MSSP de mayor tamaño y los entornos de socios, el servidor MCP también permite gestionar las cuentas a nivel de cartera. Los equipos pueden visualizar y gestionar las subcuentas de los clientes, añadir o eliminar usuarios y supervisar los grupos de dominio en todo el entorno del cliente desde una única interfaz conectada.

Para las organizaciones que gestionan operaciones de seguridad del correo electrónico a gran escala, esto contribuye a reducir la complejidad administrativa que conlleva la gestión multitenant.

Los MSP interesados en ampliar sus servicios de autenticación de correo electrónico para múltiples clientes también pueden informarse sobre el Programa de socios MSP/MSSP de PowerDMARC.

Palabras finales

Para los MSP, el mayor reto en la gestión de DMARC rara vez es comprender los protocolos en sí. Se trata de mantener la visibilidad y el control en decenas de entornos de clientes sin perder tiempo operativo.

En estos momentos, es posible que algunos dominios de clientes sigan siendo susceptibles de suplantación sin que nadie se dé cuenta. Otros pueden tener ya problemas con el SPF o una aplicación deficiente del DMARC que estén afectando silenciosamente a su nivel de seguridad. Cuanto más tiempo permanezcan ocultas esas deficiencias, mayor será el riesgo. Las herramientas que reducen la necesidad de cambiar de panel de control, detectan más rápidamente los riesgos en tiempo real de los dominios y simplifican los procesos de corrección se están convirtiendo rápidamente en elementos operativos imprescindibles para los MSP modernos que gestionan la seguridad del correo electrónico a gran escala.

Acerca de
Últimas publicaciones

Ahona Rudra

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

Cómo los MSP pueden gestionar más rápidamente el DMARC de cada cliente con el servidor MCP de PowerDMARC - 25 de mayo de 2026
Cómo añadir una dirección IP a tu registro SPF (guía paso a paso) - 11 de mayo de 2026
Registro SPF de Avanan: cómo configurar, corregir y optimizar tu SPF para Check Point Harmony Email - 7 de mayo de 2026

Cómo los MSP pueden gestionar más rápidamente el DMARC de cada cliente con el servidor MCP de PowerDMARC