Para atacar los enormes problemas de seguridad derivados de los correos maliciosos, empresas como Google, Microsoft o Yahoo, han decidido tomar cartas en el asunto y bloquearán en sus servidores cualquier correo que no tenga adecuadamente configurados estos registros de seguridad.
Microsoft ha establecido nuevos requisitos para remitentes de alto volumen de correo electrónico con el fin de reforzar la seguridad de la bandeja de entrada y reducir los riesgos de suplantación de identidad y phishing. Estas normas se aplicarán a cualquier persona que envíe más de 5.000 correos electrónicos al día a servicios para consumidores de Microsoft como Outlook.com, Hotmail.com y Live.com.
A partir del 5 de mayo de 2025, los remitentes deberán configurar la autenticación de correo electrónico de Outlook. Esto incluye SPF, DKIM y Outlook DMARC. Los correos electrónicos que no cumplan con los requisitos podrían acabar en la carpeta de correo no deseado o incluso ser rechazados en el futuro.
Para el cumplimiento, es obligatorio contar con una política DMARC de al menos "p=none" y también se recomiendan aplicar las prácticas recomendadas, como direcciones de remitente válidas, enlaces de cancelación de suscripción limpios y listas de correo limpias.
Con el tiempo, se espera que Microsoft rechace los correos electrónicos que no cumplan con sus reglas de remitente para prevenir el fraude y la suplantación de identidad.
¿Por qué Microsoft introduce ahora nuevas reglas DMARC?
En 2024, Google y Yahoo endurecieron las normas para los remitentes de correo electrónico masivo para combatir el spam y el phishing. Ahora, Microsoft hace lo mismo con los requisitos actualizados de autenticación de correo electrónico de Outlook. El objetivo es simple: proteger las bandejas de entrada y garantizar que los mensajes auténticos lleguen a los usuarios. Outlook DMARC es un componente clave de estos cambios, ya que garantiza que solo los correos electrónicos legítimos lleguen a los usuarios.
¿Cuáles son los nuevos requisitos de remitente de Microsoft?
Si una organización envía más de 5.000 correos electrónicos al día a direcciones de Outlook, Hotmail o Live.com, los últimos requisitos de Microsoft le aplican, y no son solo sugerencias. A partir de ahora, deberá implementar correctamente la autenticación SPF, DKIM y DMARC.
Primero, lo básico: Debe tener un registro DMARC publicado, incluso si solo está supervisando por ahora (es decir, una política de al menos "p=none"). Pero no basta con tener estos registros; deben estar configurados correctamente. Microsoft no solo busca una "marca de verificación" junto a estos protocolos; verifica que todo funcione correctamente. Por lo tanto, un error tipográfico en la sintaxis de SPF, una clave DKIM mal alineada o una configuración DMARC defectuosa podrían resultar en un incumplimiento.
Aquí está el detalle clave: Al menos uno de sus métodos de autenticación (SPF o DKIM) debe pasar la validación y coincidir con el dominio de su dirección "De". Esto se denomina alineación DMARC y es imprescindible.
A continuación, se detalla cada requisito y cómo garantizar el cumplimiento de los nuevos estándares de cumplimiento de Microsoft:
| Requirement | Description | Implementation Details |
|---|---|---|
| DMARC (Domain-based Message Authentication, Reporting and Conformance) | Ensures domain alignment to combat phishing and spoofing. | - Should align with either SPF or DKIM (preferably both). - Requires at least a p=none policy. |
| SPF (Sender Policy Framework) | Prevents unauthorized senders by verifying IPs against domain records. | - DNS must include all IPs authorized to send on behalf of your domain. - SPF must pass for outbound emails |
| DKIM (DomainKeys Identified Mail) | Protects email integrity by ensuring it is not altered during transit. | - DKIM must pass for high-volume senders. |
¿A quiénes afectan los nuevos cambios de Outlook?
Solo los remitentes con un gran volumen de correos (que envían más de 5.000 correos al día) se verán directamente afectados por estos cambios. Esto incluye los dominios que envían correos a todos los servicios de Outlook para consumidores: Outlook.com, Hotmail.com y Live.com. Sin embargo, Microsoft también recomienda que todos los remitentes utilicen SPF, DKIM y DMARC. Esto ayuda a reducir el spam y la suplantación de identidad (spoofing).
| Date | Action | Details | Applies to |
|---|---|---|---|
| April 2, 2025 | Start Preparation | Microsoft urges senders to review and update SPF, DKIM, and DMARC records. | Mandatory for high-volume (5000+ emails per day) senders. Recommended for all senders. |
| May 5, 2025 | Junk Folder Enforcement | Non-compliant emails will be routed to the Junk folder. | High-volume email senders not meeting Outlook’s email authentication requirements. |
| TBA | Full Rejection | Non-compliant emails will be rejected entirely to prevent fraud. | High-volume email senders failing to meet Outlook’s email authentication requirements in the future. |
Prácticas recomendadas para el cumplimiento normativo
Microsoft recomienda a los usuarios seguir las prácticas recomendadas adicionales para la entregabilidad de correo electrónico. La buena noticia es que, si ya cumple con los estándares de autenticación de correo electrónico de Google y Yahoo, va por buen camino. A continuación, se incluyen algunas prácticas recomendadas que puede seguir junto con las nuevas reglas de autenticación de correo electrónico de Outlook para remitentes de alto volumen:
- Use una dirección de remitente válida: Asegúrese de que sus direcciones "De" y "Responder a" sean legítimas y se supervisen para detectar respuestas.
- Incluya opciones claras para cancelar la suscripción: Proporcione siempre enlaces de cancelación de suscripción fáciles de encontrar y opciones de cancelación de suscripción para los correos electrónicos comerciales y de marketing.
- Mantenga una lista de correo electrónico limpia: Revise y elimine periódicamente las direcciones de correo electrónico no válidas o inactivas para reducir las tasas de rebote y mejorar la interacción.
- Redacte asuntos claros: Use asuntos concisos, honestos y atractivos. Evite el lenguaje engañoso o engañoso para garantizar mejores tasas de apertura y evitar que se activen los filtros de spam.
MXToolbox, DMarcian, DMARC Check, DMARC Analyzer, PowerMARC y DMARCLY son herramientas que permite analizar y crear informes DMARC legibles por humanos y ayudan a visualizar datos complejos sin necesidad de conocimientos especializados.
Se recomienda la lectura del documento de CCN-CERT "Recomendaciones de seguridad en el correo electrónico, DMARC".
Fuente: PowerDMARC