Administradores de sistemas deberán verificar y alinear SPF, DKIM y DMARC en sus dominios antes del 5 de mayo de 2025 para evitar bloqueos en Outlook, Hotmail y Live.com
Microsoft ha anunciado cambios críticos en sus políticas de entrega de correo electrónico dirigidas a remitentes de alto volumen. A partir del 5 de mayo de 2025, todos los dominios que envíen más de 5.000 correos diarios a direcciones de consumidores de Microsoft (Outlook.com, Hotmail.com, Live.com) deberán tener correctamente implementadas las autenticaciones SPF, DKIM y DMARC.
Contexto técnico y motivación
Este cambio sigue el camino iniciado por Google y Yahoo en 2024, que elevaron el estándar de autenticación de correo electrónico como respuesta al aumento de amenazas de phishing, spoofing y ataques a la cadena de suministro. Microsoft apunta al mismo objetivo: reducir el volumen de correo no deseado y proteger la bandeja de entrada del usuario final.
Para los administradores de sistemas y responsables de IT, esto significa que ya no basta con tener registros SPF y DKIM publicados: deberán estar correctamente alineados con el dominio de envío y validados. Además, la existencia de un registro DMARC con una política mínima de p=none será condición necesaria para no ser penalizado.
Nuevos requisitos de autenticación para remitentes masivos
| Protocolo | Requisito mínimo | Observaciones |
|---|---|---|
| SPF | pass + alineación con el dominio From: | El registro DNS debe incluir todas las IPs válidas |
| DKIM | pass + alineación con el dominio From: | Firmas válidas y alineadas |
| DMARC | Registro publicado, mínimo p=none | Preferible quarantine o reject para entornos controlados |
Nota: Al menos uno de los métodos de autenticación (SPF o DKIM) debe estar alineado y pasar validación para que DMARC funcione correctamente.
Calendario de aplicación
| Fecha | Acción | Impacto |
|---|---|---|
| 2 abril 2025 | Inicio de preparación | Revisión técnica recomendada para todos los remitentes |
| 5 mayo 2025 | Redirección a spam | Correos no conformes serán entregados en la carpeta de correo no deseado |
| TBA (por confirmar) | Rechazo definitivo | Correos sin autenticación válida serán rechazados por completo |
Implicaciones para administradores de sistemas
Los correos que no pasen validación SPF o DKIM y no tengan alineación con el dominio From: podrían empezar a tener entregabilidad reducida o directamente fallar. Para evitarlo, los sysadmins deberán:
- Publicar un registro DMARC en DNS (si no existe ya).
- Verificar la alineación entre
d=de DKIM y el dominio delFrom:. - Asegurar que los envíos están cubiertos en el SPF, incluyendo todos los servidores de terceros (proveedores de marketing, automatización, etc.).
- Auditar servicios de terceros (SendGrid, Acumbamail, Mailgun, Amazon SES, etc.) para asegurar que las claves DKIM estén correctamente configuradas y que el dominio de firma esté alineado.
- Supervisar los informes de DMARC (RUA y RUF) para detectar errores o intentos de suplantación.
Herramientas de apoyo para sysadmins
Para verificar la correcta implementación de los registros SPF, DKIM y DMARC:
También es muy útil el documento técnico del CCN-CERT sobre buenas prácticas DMARC.
Buenas prácticas adicionales para evitar el spam
Aunque los protocolos de autenticación son el pilar del cumplimiento, Microsoft también recomienda implementar medidas complementarias:
- Cabeceras
List-Unsubscribeválidas. - Revisar periódicamente listas de envío para eliminar rebotes y direcciones inactivas.
- Usar asuntos descriptivos y no engañosos para evitar disparar filtros heurísticos.
Conclusión
Este cambio de política por parte de Microsoft no debe tomarse a la ligera. Los responsables de sistemas que gestionen dominios con envío masivo de correos deben realizar una auditoría inmediata de sus registros SPF, DKIM y DMARC, comprobar su alineación y monitorizar posibles errores de entrega.
La correcta implementación no solo asegurará la continuidad de las comunicaciones por email, sino que además fortalecerá la postura de seguridad del dominio y su reputación ante los proveedores de correo.
Microsoft ya no aceptará correos «a medio configurar». El futuro de la entregabilidad pasa por la autenticación completa.
Fuente: Noticias cloud, Buenas prácticas de seguridad para email y PowerDmarc
