Skip to content

Explica cómo funcionan juntos SPF, DKIM y DMARC para prevenir la suplantación de correo.

Respuesta breve

SPF publica qué IP pueden enviar correo en nombre de un dominio. DKIM añade una firma criptográfica para que el receptor verifique que el mensaje no fue alterado y proviene del dominio. DMARC liga los resultados de SPF/DKIM al encabezado From: visible mediante la «alineación», indica a los receptores qué hacer ante un fallo (none/quarantine/reject) y envía informes. SPF y DKIM por sí solos no protegen el From que ve el usuario; DMARC es lo que lo impone.

El correo se construyó sin autenticación del remitente, así que cualquiera puede falsificar la dirección From:. SPF, DKIM y DMARC son tres capas publicadas en el DNS que, juntas, permiten a un servidor receptor decidir si el correo que dice venir de tu dominio es legítimo. Los entrevistadores quieren saber que entiendes que son complementarias, no intercambiables.

SPF: quién puede enviar

El Sender Policy Framework es un registro DNS TXT que lista las direcciones IP y hosts autorizados a enviar correo en nombre de un dominio. El receptor coteja la IP del servidor que conecta contra el registro. SPF valida el dominio del sobre (return-path), no el encabezado que ve el usuario, y se rompe con el reenvío porque la IP que retransmite cambia.

DKIM: ¿se manipuló el mensaje?

DomainKeys Identified Mail firma encabezados seleccionados y el cuerpo con una clave privada; la clave pública vive en el DNS. El receptor verifica la firma, probando que el mensaje está inalterado y genuinamente asociado al dominio firmante. Como la firma viaja con el mensaje, DKIM normalmente sobrevive al reenvío.

DMARC: ligarlo al From visible

DMARC es el pegamento. Exige que un resultado SPF o DKIM correcto se alinee con el dominio del encabezado From: visible, cerrando la brecha donde SPF/DKIM pasan para un dominio controlado por el atacante mientras el usuario ve el tuyo. También publica una política (p=none, quarantine o reject) que indica a los receptores qué hacer ante un fallo, y produce informes agregados para que veas quién envía en tu nombre.

Por qué importa

Una respuesta limpia: SPF = IP autorizadas, DKIM = firma de integridad, DMARC = alineación + cumplimiento + visibilidad. Menciona que p=none no bloquea nada pero da los informes necesarios para escalar con seguridad hacia reject. Esa progresión es exactamente lo que despliegan los equipos azules en la práctica.

Posibles preguntas de seguimiento

  • ¿Qué significa la «alineación» de DMARC y por qué SPF/DKIM pueden pasar mientras DMARC falla?
  • ¿Por qué una política DMARC p=none es inútil para bloquear pero sigue siendo valiosa?
  • ¿Cómo sobrevive DKIM a un correo reenviado cuando SPF a menudo se rompe?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.