Cómo configurar DMARC en Microsoft 365 (guía para Office 365)

Guía paso a paso para configurar SPF, DKIM y DMARC en Microsoft 365. Incluye ejemplos de registros DNS y consejos de resolución de problemas.

15 de diciembre de 2025
10 min de lectura
Share:
Cómo configurar DMARC en Microsoft 365 (guía para Office 365)

Introducción

Microsoft 365 (anteriormente Office 365) es una de las plataformas de correo empresarial más utilizadas del mundo. Aunque Microsoft proporciona una infraestructura de correo excelente, configurar correctamente la autenticación (SPF, DKIM, DMARC) es imprescindible para la seguridad y la entregabilidad.

Esta guía te lleva paso a paso por la configuración completa de autenticación de correo en Microsoft 365, incluyendo las diferencias importantes respecto a otras plataformas.

Lo que aprenderás:

  • Configurar SPF para Microsoft 365
  • Activar la firma DKIM (no viene activada por defecto)
  • Implementar una política DMARC
  • Gestionar remitentes de terceros
  • Probar y verificar la configuración

Tiempo estimado: 45-60 minutos

Importante: DKIM NO está activado por defecto

A diferencia de Google Workspace, Microsoft 365 NO activa DKIM por defecto. Debes activarlo manualmente, incluso si no usas dominios personalizados. Este es un motivo frecuente de fallos de autenticación.

Requisitos previos

Antes de empezar, asegúrate de tener:

  • ✅ Acceso de administrador a Microsoft 365
  • ✅ Rol de Administrador Global o Administrador de Exchange
  • ✅ Acceso a la gestión DNS de tu dominio
  • ✅ Lista de servicios de correo de terceros que utilizas

Paso 1: Configurar SPF para Microsoft 365

1.1: Comprobar el registro SPF existente

Primero, verifica si ya tienes un registro SPF:

Con nuestra herramienta: Comprobar registro SPF →

Con PowerShell:

Resolve-DnsName -Name tudominio.com -Type TXT

1.2: Crear el registro SPF

Para dominios que solo usan Microsoft 365:

Crea un registro TXT en tu proveedor de DNS:

  • Name/Host: @ o tudominio.com
  • Type: TXT
  • Value: v=spf1 include:spf.protection.outlook.com -all

Para dominios que usan Microsoft 365 + otros servicios:

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net include:sendgrid.net ~all

1.3: Buenas prácticas de SPF en Microsoft 365

Usa el include correcto

  • Para Exchange Online: include:spf.protection.outlook.com
  • NO uses include:outlook.com (error habitual)

Elige el calificador all adecuado

  • -all: Fallo estricto (el más restrictivo, recomendado)
  • ~all: Fallo suave (más permisivo)

Vigila el límite de 10 consultas DNS

  • include:spf.protection.outlook.com cuenta como 1 consulta
  • Monitoriza el total de consultas: SPF Checker

Errores comunes en SPF:

❌ Incorrecto:

v=spf1 include:outlook.com -all

✅ Correcto:

v=spf1 include:spf.protection.outlook.com -all

1.4: Verificar SPF

Espera entre 15 y 30 minutos para la propagación DNS y luego verifica:

Verificar SPF →

También puedes enviar un correo de prueba y comprobar en las cabeceras que aparezca spf=pass.

Paso 2: Activar DKIM en Microsoft 365

Importante: DKIM está desactivado por defecto en Microsoft 365. Debes activarlo manualmente.

2.1: Crear las claves DKIM en el centro de administración de Microsoft 365

Método 1: Portal de Microsoft 365 Defender (recomendado)

  1. Accede a Microsoft 365 Defender

  2. Navega a Email & Collaboration

    • Haz clic en "Policies & rules"
    • Haz clic en "Threat policies"
    • Haz clic en "Email authentication settings"
    • Haz clic en "DKIM"

  3. Selecciona tu dominio

    • Haz clic en el nombre de tu dominio
    • Toma nota de los dos registros CNAME que aparecen

Método 2: Centro de administración de Exchange

  1. Accede al Centro de administración de Exchange

  2. Navega a Mail Flow → DKIM

    • Busca tu dominio en la lista
    • Haz clic en él para ver los registros CNAME

2.2: Registros DNS de DKIM para Microsoft 365

Microsoft 365 requiere dos registros CNAME (no registros TXT como la mayoría de proveedores).

Verás algo similar a esto:

CNAME 1:

  • Name: selector1._domainkey
  • Points to: selector1-tudominio-com._domainkey.tutenant.onmicrosoft.com

CNAME 2:

  • Name: selector2._domainkey
  • Points to: selector2-tudominio-com._domainkey.tutenant.onmicrosoft.com

Notas importantes:

  • Microsoft usa dos selectores para la rotación de claves
  • Sustituye tudominio-com por tu dominio real (los puntos se convierten en guiones)
  • Sustituye tutenant por el nombre de tu tenant de Microsoft 365

2.3: Añadir los registros DKIM al DNS

En tu proveedor de DNS, crea los dos registros CNAME exactamente como aparecen en el portal de Microsoft.

Ejemplo para el dominio ejemplo.com:

Name: selector1._domainkey
Type: CNAME
Value: selector1-ejemplo-com._domainkey.contoso.onmicrosoft.com

Name: selector2._domainkey
Type: CNAME
Value: selector2-ejemplo-com._domainkey.contoso.onmicrosoft.com

Formatos habituales según el proveedor DNS:

Proveedor Formato del Name
GoDaddy selector1._domainkey
Cloudflare selector1._domainkey
Namecheap selector1._domainkey
Google Domains selector1._domainkey.tudominio.com

2.4: Activar la firma DKIM

Después de añadir los registros DNS:

  1. Espera a la propagación DNS (15-60 minutos)

  2. Vuelve a Microsoft 365 Defender

    • Email authentication settings → DKIM
    • Busca tu dominio
    • Activa "Sign messages for this domain with DKIM signatures" a Enabled

  3. Verifica el estado

    • El estado debería cambiar a "Enabled"
    • Si aparece un error, revisa los registros CNAME y espera más tiempo

Consejo de depuración: Si la activación falla, usa nslookup para verificar los registros CNAME:

nslookup -type=CNAME selector1._domainkey.tudominio.com

2.5: Verificar DKIM

Opción 1: Usa nuestra herramienta DKIM Checker →

  • Introduce el dominio
  • Prueba los selectores: selector1 y selector2

Opción 2: Envía un correo de prueba

  1. Envía un correo desde Microsoft 365
  2. Revisa las cabeceras del correo
  3. Busca dkim=pass con ambos selectores

Paso 3: Implementar la política DMARC

3.1: Crear el registro DMARC

Empieza con monitorización (p=none):

Crea un registro TXT en tu proveedor de DNS:

  • Name: _dmarc
  • Type: TXT
  • Value:
    v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com; fo=1

Explicación de las etiquetas DMARC:

  • v=DMARC1: Versión de DMARC
  • p=none: Solo monitorización (sin enforcement)
  • rua=mailto:...: Correo para informes agregados
  • fo=1: Enviar informes forenses en caso de fallos

3.2: Configurar la recogida de informes

Opción 1: Buzón de Microsoft 365

  • Crea un buzón: dmarc@tudominio.com
  • Los informes llegan como adjuntos XML
  • Requiere parseo manual

Opción 2: Usar un servicio DMARC

3.3: Políticas DMARC progresivas

Después de 2-4 semanas de monitorización:

Política de cuarentena:

v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@tudominio.com; adkim=r; aspf=r

Política de rechazo (máxima protección):

v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@tudominio.com; adkim=r; aspf=r

3.4: Verificar DMARC

DMARC Checker →

O desde la línea de comandos:

nslookup -type=TXT _dmarc.tudominio.com

Paso 4: Gestionar remitentes de terceros

Los usuarios de Microsoft 365 a menudo envían correo a través de servicios adicionales.

4.1: Servicios de terceros habituales

Plataformas de marketing:

  • Mailchimp: Añadir al SPF + configurar DKIM
  • HubSpot: Añadir al SPF + activar DKIM
  • SendGrid: Añadir al SPF + configurar DKIM

CRM y soporte:

  • Dynamics 365: Normalmente incluido en el SPF de Microsoft 365
  • Salesforce: Añadir al SPF
  • Zendesk: Configurar dominio personalizado

Correo transaccional:

  • SendGrid, Mailgun, AWS SES: Requieren configuración de SPF + DKIM

4.2: Configurar servicios de terceros

Para cada servicio:

  1. Añádelo al registro SPF

    v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net ~all

  2. Configura DKIM en el servicio

    • Genera las claves DKIM en los ajustes del servicio
    • Añade los registros DNS de DKIM (normalmente TXT o CNAME)
    • Activa la firma DKIM

  3. Prueba a fondo antes de pasar a producción

Paso 5: Consideraciones específicas de Microsoft 365

5.1: Despliegues híbridos (On-Premises + Cloud)

Si tienes Exchange en modo híbrido:

El registro SPF debe incluir ambos:

v=spf1 include:spf.protection.outlook.com ip4:TU_IP_ONPREM ~all

DKIM: Actívalo para la parte de Exchange Online (cloud)

DMARC: Monitoriza con cuidado durante la migración

5.2: Múltiples dominios

Para múltiples dominios en Microsoft 365:

  • Configura SPF para cada dominio
  • Activa DKIM para cada dominio (registros CNAME separados)
  • Implementa DMARC en cada dominio

5.3: Buzones compartidos

Los buzones compartidos envían desde el mismo dominio; no necesitan configuración especial de SPF/DKIM.

5.4: Reglas de flujo de correo

Si usas reglas de flujo de correo (reglas de transporte) que modifican los mensajes, ten en cuenta que:

  • Las firmas DKIM pueden romperse si se cambia el contenido
  • Prueba a fondo después de crear reglas

Paso 6: Pruebas y verificación

6.1: Enviar correos de prueba

Prueba de correo interno en Microsoft 365:

  1. Envía entre usuarios de M365
  2. Comprueba las cabeceras en busca de los resultados de autenticación

Prueba de envío externo:

  1. Envía a Gmail, Yahoo, Outlook.com
  2. Verifica: spf=pass, dkim=pass, dmarc=pass

6.2: Comprobar cabeceras

En Outlook de escritorio/web:

  1. Abre el correo
  2. Archivo → Propiedades (escritorio) o Ver → Ver detalles del mensaje (web)
  3. Busca la cabecera Authentication-Results

Lo que deberías ver:

Authentication-Results: spf=pass; dkim=pass; dmarc=pass

6.3: Usar herramientas de verificación

Mail-tester.com:

  • Envía un correo a la dirección proporcionada
  • Obtén una puntuación de spam (objetivo: 10/10)

Nuestras herramientas:

Resolución de problemas habituales

Problema: DKIM no se activa

Síntomas: Error al intentar activar DKIM en el portal

Causas:

  • Registros CNAME no publicados
  • Propagación DNS incompleta
  • Valores CNAME incorrectos

Solución:

  1. Verifica ambos registros CNAME con nslookup
  2. Espera 1-2 horas para la propagación DNS
  3. Revisa errores tipográficos en los valores CNAME
  4. Inténtalo de nuevo

Problema: SPF falla en correos de Microsoft 365

Síntomas: spf=fail o spf=softfail en las cabeceras

Causas:

  • Include de SPF incorrecto
  • Falta el registro SPF por completo
  • Error de sintaxis en el registro SPF

Solución:

  • Verifica que SPF incluya spf.protection.outlook.com
  • Revisa errores tipográficos en el registro SPF
  • Usa el SPF Checker para validar

Problema: La alineación DMARC falla

Síntomas: SPF y DKIM pasan, pero DMARC falla

Causas:

  • La dirección "From" no coincide con el dominio autenticado
  • Uso de un alias o buzón compartido no alineado
  • Servicio de terceros mal configurado

Solución:

Microsoft 365 vs Google Workspace: diferencias

Característica Microsoft 365 Google Workspace
DKIM por defecto Desactivado Activado
Registros DKIM 2 registros CNAME 1 registro TXT
Selectores selector1, selector2 google (o personalizado)
Include SPF spf.protection.outlook.com _spf.google.com
Portal de administración Defender o Exchange Admin Google Admin

Resumen

Configurar la autenticación de correo en Microsoft 365 requiere:

  1. SPF: Añadir include:spf.protection.outlook.com en el DNS
  2. DKIM: Activar manualmente (no viene por defecto) con dos registros CNAME
  3. DMARC: Empezar con p=none, monitorizar y después aplicar enforcement

Diferencias clave de Microsoft 365:

  • DKIM debe activarse manualmente
  • Usa registros CNAME (no TXT) para DKIM
  • Requiere dos selectores DKIM
  • Diferentes portales de administración para la configuración

Plazos:

  • Configuración: 45-60 minutos
  • Propagación DNS: 1-2 horas
  • Monitorización: 2-4 semanas
  • Enforcement completo: 6-12 semanas

Siguientes pasos

Verifica la seguridad de tu correo en Microsoft 365:

  1. Comprobar SPF: SPF Checker →
  2. Verificar DKIM: DKIM Checker →
  3. Probar DMARC: DMARC Checker →
  4. Auditoría completa: Domain Score →

¿Necesitas ayuda con los informes DMARC?

Microsoft 365 envía informes DMARC en formato XML, difíciles de interpretar. Nuestra plataforma ofrece:

  • Parseo automatizado
  • Dashboards visuales
  • Alertas de problemas
  • Recomendaciones de política

Empieza gratis →

Artículos relacionados:

Tags:microsoft-365office-365dmarc-setupoutlook

¿Listo para mejorar la entregabilidad de tus emails?

Empieza a monitorizar tus reportes DMARC y obtén información sobre tu configuración de autenticación.

Comenzar Prueba Gratuita

Artículos Relacionados

Configurar DMARC en AWS SES: guía para desarrolladores
platform guides

Configurar DMARC en AWS SES: guía para desarrolladores

Guía técnica para desarrolladores: configura SPF, DKIM y DMARC en Amazon SES. Incluye comandos CLI, ejemplos de código y buenas prácticas.

15 de diciembre de 2025
8 min de lectura
Configuración de DMARC en Zoho Mail: guía completa
platform guides

Configuración de DMARC en Zoho Mail: guía completa

Guía paso a paso para configurar SPF, DKIM y DMARC en Zoho Mail. Protege tu dominio y mejora la entregabilidad de tus correos con una autenticación correcta.

15 de diciembre de 2025
5 min de lectura
Cómo configurar DMARC, SPF y DKIM en Constant Contact
platform guides

Cómo configurar DMARC, SPF y DKIM en Constant Contact

Guía completa para configurar SPF, DKIM y DMARC en Constant Contact. Resuelve problemas de autenticación y mejora la entregabilidad de tus correos.

7 de marzo de 2026
11 min de lectura