Configuración de SPF, DKIM y DMARC para un dominio de seguridad en Google Workspace

Un sitio corporativo puede parecer profesional mientras su dominio de correo sigue siendo fácil de suplantar. SPF, DKIM y DMARC cierran esa brecha dando a los receptores evidencia sobre quién está autorizado a enviar y cómo deben manejarse los fallos.

Para una empresa enfocada en seguridad, no es un detalle opcional. Es parte de la superficie pública de confianza, especialmente cuando el sitio publica buzones de contacto, soporte, seguridad, privacidad, legal y ventas.

• Cree primero los buzones operativos, incluido un buzón de informes DMARC como dmarc@example.com.
• Publique SPF para el remitente activo, por ejemplo Google Workspace.
• Active la firma DKIM en Google Workspace y publique el registro TXT de DKIM.
• Empiece DMARC con p=none e informes habilitados para observar fallos antes de aplicar una política estricta.
• Pase a quarantine o reject solo después de alinear los remitentes legítimos.

La verificación debe hacerse tanto en DNS como en cabeceras reales de mensajes. DNS confirma que los registros existen. Las cabeceras confirman que el correo enviado por la ruta de producción está pasando la alineación SPF, DKIM y DMARC.

• SPF incluye solo los servicios que realmente envían correo para el dominio.
• DKIM usa un selector actual y muestra pass en los mensajes recibidos.
• Los informes DMARC llegan a un buzón monitorizado.
• La política está documentada para que futuras herramientas de correo no rompan la entregabilidad.

Cuando los informes estén limpios, endurezca DMARC de forma gradual. El estado final más fuerte es reject, pero el calendario correcto depende de si newsletters, correo transaccional, CRM o herramientas de soporte también envían desde el dominio.