Artículo de blog
El 2 de abril de 2025, Microsoft se unió a Google y Yahoo en la exigencia de que "los dominios que envíen más de 5.000 mensajes de correo electrónico por día" hacia sus servicios de correo electrónico (outlook.com, live.com y hotmail.com) deberán disponer de protocolos de autenticación o correrán el riesgo de que sus mensajes vayan directo a la bandeja de correo no deseado. Entre estos protocolos se encuentran DMARC (Domain-based Message Authentication, reporte and Conformance) y sus normas relacionadas, SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail).
Los expertos han comenzado a debatir los requisitos DMARC de Microsoft, entre ellos Nicolas Blank, MVP de Microsoft 365/Entra y Fundador y CEO del Grupo NBConsult, quien dijo:
"La actualización de Microsoft es una clara señal de que el ecosistema del correo electrónico está madurando. Estos nuevos requisitos no tienen que ver solo con el cumplimiento, sino con la confianza del cliente. Los remitentes masivos deben dar un paso adelante y tratar la entrega y la autenticación como partes fundamentales de su estrategia de marca digital, no solo como higiene informática".
Microsoft ha subido los estándates para los remitentes de correo electrónico. Si tu prácticas de autenticación y cancelación de suscripción no cumplen las normas, no llegarás a la bandeja de entrada. Así de sencillo".
J. Peter Bruzzese, MVP de Microsoft y cofundador de ClipTraining, también comentó los nuevos requisitos DMARC de Microsoft,
"Aunque los nuevos requisitos de Microsoft se aplican a los remitentes masivos, creo que todos los dominios deberían contar con SPF, DKIM y DMARC. No se trata solo buenas prácticas técnicas, sino que son esenciales para proteger la entrega y la reputación. El propio Microsoft lo dice mejor que nadie: 'Todos los remitentes se benefician de estas prácticas'. Es hora de que el sector empiece a moverse en esa dirección".
La noticia DMARC de Microsoft llega más de un año después de los anuncios de Google y Yahoo del 3 de octubre de 2023, pero refleja en gran medida los requisitos establecidos por ambas empresas.
A partir del 5 de mayo de 2025, Microsoft comenzará a aplicar normas de autenticación de correo electrónico más estrictas para outlook.com. A partir de entonces, los remitentes masivos deberán implementar lo siguiente:
SPF ayuda a evitar que los spammers envíen mensajes en nombre del dominio de tu organización. Para ello, especifica qué direcciones IP están autorizadas a enviar correo electrónico desde un dominio.
DKIM permite a tu empresa adjuntar una firma digital a sus correos electrónicos. Esta firma verifica que el correo electrónico no ha sido manipulado en tránsito y confirma que ha sido autorizado por el dominio de tu empresa.
DMARC se basa en SPF y DKIM. Permite a los propietarios de dominios especificar cómo deben gestionarse los correos electrónicos no autenticados y proporciona informes que ayudan a supervisar y mejorar la seguridad del correo electrónico.
Los requisitos DMARC de Microsoft incluyen un registro DMARC publicado y una política mínima de política de p=none. Curiosamente, siguen exigiendo que los remitentes de tu empresa pasen un registro SPF o un DKIM lo que significa que los remitentes tienen que estar en un nivel de cumplimiento DMARC que permita a tu organización estar en una política DMARC más estricta.
También hay algunas recomendaciones de buenas prácticas de correo electrónico, pero parece que se trata de directrices generales más que de requisitos estrictos.
Al igual que con los anuncios iniciales de Google y Yahoo, hay algunas áreas que no están del todo claras. Por ejemplo, suponemos que los 5.000 correos electrónicos diarios son los enviados a la infraestructura de Microsoft en lugar del envío total (lo que sería imposible que Microsoft supiera), pero no está claro si los correos electrónicos enviados a cuentas corporativas de Microsoft 365/Entra "consumirían" parte de los 5.000.
Tampoco está claro si el envío a una mezcla de direcciones de dominio de consumo de Microsoft (outlook.com, live.com y hotmail.com) cuenta para un único total diario combinado. Además, ¿consideran los requisitos DMARC de Microsoft (como los de Google y Yahoo) que un dominio que envía 5.000 mensajes en un sola ocación ya es un remitente masivo para siempre?
Aunque hay incertidumbre, el mensaje es muy claro: Microsoft también cree que DMARC es una parte fundamental para resolver el problema de la suplantación de identidad.
Para entender si esto afecta a tu negocio y dominio, tu empresa necesita tener una buena idea de a dónde va todo el correo electrónico de su dominio.
Recuerda que Microsoft (Google y Yahoo) tienen en cuenta el número de mensajes de correo electrónico procedentes de un dominio, por lo que si bien tu organización puede echar un vistazo a sus registros (por ejemplo) de Google Workspace y ver un número inferior a 5.000, también tendrá que examinar su plataforma de marketing por correo electrónico, su CRM, etc.
La forma más sencilla de construir esta imagen es utilizar un producto DMARC (como el de Sendmarc), que puede mirar a nivel de dominio y mostrar exactamente de dónde procede el correo electrónico.
Luego, necesitas asegurarte de que cada una de esas plataformas pueden pasar las comprobaciones DMARC. Microsoft quiere que todos los correos electrónicos que recibe se alineen con SPF o DKIM. Y de nuevo, una plataforma como Sendmarc es perfecta para ver exactamente qué mecanismos están en su lugar y (tal vez más importante) donde están las lagunas.
Aunque la norma DMARC de Microsoft está dirigida a los remitentes de gran volumen o masivos, la realidad es que todos los dominios deberían tener SPF, DKIM y DMARC correctamente configurados, independientemente del número de correos electrónicos que envíen. Sin estos protocolos, es más probable que los correos electrónicos de tu empresa acaben en las carpetas de spam o correo no deseado de los destinatarios, incluso si el dominio no se utiliza de forma maliciosa.
DMARC, con una política de p=nonea menudo se considera un punto de partida "seguro", pero en realidad no impide la entrega de correos electrónicos fraudulentos. Solo supervisa e informa. Eso significa que si alguien suplanta el dominio de tu organización -enviando correos electrónicos phishing que parecen proceder de tu empresa- aún pueden llegar a las bandejas de entrada.
Para proteger activamente el dominio de tu empresa y a sus destinatarios, tu organización debe pasar de p=none a niveles de aplicación más estrictos como p=quarantine o p=reject. Estas políticas indican a los receptores de correo electrónico que bloqueen o marquen los mensajes no autenticados, reduciendo significativamente el riesgo de ataques phishing y spoofing.
La implementación de las tres normas SPF, DKIM y DMARC no solo ayuda a cumplir la normativa. Mejora la entrega del correo electrónico de tu empresa, protege la reputación de su marca y garantiza que sus comunicaciones sean fiables y seguras.
En Sendmarc, podemos ayudar a tu empresa con este análisis y ayudar con la configuración de la fuente para que los correos electrónicos de tu organización no se vean afectados.
Nos entusiasma ver las noticias sobre DMARC de Microsoft y de que la empresa se una a la lucha contra la suplantación de dominios. Estamos listos y dispuestos a acompañar a cualquiera que necesite ayuda para navegar por este nuevo mundo.
Últimos artículos
Contratación de los mejores talentos en ciberseguridad: estrategias para el éxito
Sendmarc y Obscure Technologies se asocian para reforzar la seguridad del correo electrónico
El crecimiento de los ataques de ransomware: Lo que tu empresa debe saber