Qué implica el requisito de verificación de dominio de Salesforce

Qué ha cambiado en marzo

La versión Spring ’26 de Salesforce introdujo la verificación obligatoria de los dominios para todos los dominios desde los que se envían correos electrónicos. La aplicación de esta medida comenzó el 9 de marzo de 2026.

Datos clave:

1. Salesforce exige ahora la verificación del dominio, además del requisito ya existente de verificar las direcciones de correo electrónico individuales.
2. Hay dos métodos disponibles para verificar el dominio: configurar una DKIM activa (el método recomendado por Salesforce) o añadir el dominio a la lista de dominios de correo electrónico autorizados.
3. Los correos electrónicos enviados desde dominios no verificados no se envían correctamente. Los administradores pueden identificar estos fallos en los registros de correo electrónico de Salesforce buscando el código de error: 550 5.7.1 Entrega no autorizada, mensaje descartado.

Salesforce recomienda DKIM proporciona una firma criptográfica de los mensajes salientes y mejora la capacidad de entrega en todos los servidores receptores.

Qué significa esto más allá de la consola de administración de Salesforce

El requisito de Salesforce pone de manifiesto un control a nivel de DNS que muchas empresas han pospuesto.

DKIM no DKIM una configuración específica de Salesforce. DKIM una clave pública publicada en el DNS de tu dominio que los servidores receptores utilizan para verificar las firmas de los mensajes.

Una empresa que no tenga DKIM para sus dominios de envío está expuesta a la suplantación de identidad y al spoofing. Los atacantes pueden enviar correos electrónicos que parezcan proceder de tu dominio y, sin una DKIM activa, los servidores receptores no tienen forma de verificar que el mensaje sea legítimo.

La configuración DKIM Salesforce solo los correos electrónicos enviados a través de Salesforce. El resto de tus servicios de envío —plataformas de marketing, herramientas de correo electrónico transaccional, sistemas de RR. HH. y aplicaciones financieras— requieren cada uno su propia DKIM .

Cómo abordar la verificación del dominio

Si los requisitos de Salesforce han puesto de manifiesto una brecha de autenticación, empieza por definir el ámbito antes de iniciar la configuración.

Lo primero es auditar tus dominios de envío. Identifica todos los dominios que se utilizan para enviar correos electrónicos en todo tu entorno, no solo . La mayoría de las empresas envían correos desde múltiples dominios a través de diversas plataformas, y no todos ellos son visibles para el equipo de seguridad.

Comprueba DMARC DKIM DMARC existentes para cada dominio. Utiliza herramientas de búsqueda para confirmar si los registros están activos y tienen el formato correcto.

Da prioridad a los dominios de envío activos. Verifica y activa DKIM los dominios que se estén utilizando actualmente antes de ocuparte de los dominios inactivos.

No consideres DKIM en Salesforce como el objetivo final. Es casi seguro que el mismo dominio desde el que se envían mensajes desde Salesforce también lo haga desde otras plataformas. Cada una de ellas requiere su propia DKIM , y cada laguna supone un riesgo independiente.

Utiliza este requisito como motivo para reforzar tu DMARC . Si tu DMARC sigue estando en p=none, tu dominio no está protegido, sino que solo se supervisa. El requisito de aplicación de Salesforce es una razón válida para iniciar el proceso de escalado hacia p=quarantine y, posteriormente, p=reject.

El patrón general de aplicación de la ley

El requisito de Salesforce forma parte de una tendencia más amplia del sector hacia la autenticación obligatoria del correo electrónico.

En febrero de 2024, Google y Yahoo anunciaron que empezarían a exigir a los remitentes masivos que implementar SPF DKIM, y que publicaran un DMARC con una política mínima de p=none. Los remitentes que no cumplieran con estos requisitos se enfrentaban al rechazo de sus mensajes o a que estos acabaran en la carpeta de spam. En mayo de 2025, Microsoft se sumó a esta iniciativa con requisitos equivalentes para los remitentes de gran volumen.

El patrón es siempre el mismo: Google, Yahoo, Microsoft y, ahora, Salesforce exigen la verificación del dominio antes de entregar el correo. La autenticación ya no es una recomendación, sino una condición imprescindible para el envío.

A medida que más plataformas exigen la verificación del dominio, las empresas que no han avanzado más allá de p=none se enfrentarán a cada vez más problemas operativos: envíos fallidos, direcciones de remitente alteradas y flujos de correo electrónico que se interrumpen sin previo aviso.

Averigua cuál es tu situación antes de la próxima fecha límite

El requisito de Salesforce pone de manifiesto un problema: el estado de la autenticación del correo electrónico de tu empresa en todos los dominios de envío. En la mayoría de los entornos empresariales, ese estado es inconsistente: algunos dominios están totalmente configurados, otros lo están parcialmente y otros carecen por completo de controles de autenticación.

Los equipos de seguridad y de TI que gestionan entornos distribuidos se enfrentan a varios retos que se agravan entre sí: una visibilidad incompleta de todos los dominios y servicios de envío, la dificultad para coordinar los cambios en el DNS entre departamentos y regiones, y la falta de reporte centralizado reporte confirmar qué está protegido y qué no. Sin una supervisión continua, las brechas se acumulan de forma silenciosa hasta que un evento de aplicación de la plataforma las convierte en problemas operativos.

Sendmarc ofrece una visión global de tus DKIM DMARC, SPF y DKIM . DMARC muestra todas las fuentes de envío y el estado de las políticas en todos tus dominios, para que puedas identificar qué elementos no están verificados, cuáles están mal configurados y cuáles requieren una acción inmediata, antes de la próxima fecha límite, no después.

Descubre cómo Sendmarc refuerza tu nivel de autenticación en todo tu entorno de correo electrónico.