Outlook, Hotmail y Live.com bloquearán correos sin autenticación adecuada para reducir el spam y la suplantación de identidad
Microsoft se suma a los esfuerzos globales por frenar el spam y el phishing con la implementación de nuevos requisitos de autenticación para remitentes de correo electrónico de alto volumen. A partir del 5 de mayo de 2025, todos los remitentes que envíen más de 5.000 correos electrónicos diarios a servicios como Outlook.com, Hotmail.com o Live.com deberán tener correctamente configurados los protocolos SPF, DKIM y DMARC. De lo contrario, sus mensajes podrían ser desviados al buzón de correo no deseado o incluso rechazados.
La medida sigue los pasos de Google y Yahoo, que ya endurecieron sus propias políticas en 2024. El objetivo común: aumentar la seguridad de las bandejas de entrada y evitar fraudes mediante suplantación de identidad o falsificación de remitentes.
¿Qué exigen los nuevos requisitos de Microsoft?
La autenticación de correo electrónico consta de tres tecnologías complementarias:
- SPF (Sender Policy Framework): Verifica que el servidor que envía el correo esté autorizado por el dominio.
- DKIM (DomainKeys Identified Mail): Añade una firma digital al mensaje para asegurar que no ha sido modificado.
- DMARC (Domain-based Message Authentication, Reporting and Conformance): Coordina SPF y DKIM para evitar correos falsificados, exigiendo que al menos uno de ellos esté alineado con el dominio del remitente.
A partir de mayo, Microsoft exigirá como mínimo una política DMARC con valor «p=none», que permite el monitoreo sin aplicar todavía políticas de rechazo. Sin embargo, se prevé que en fases posteriores se avance hacia políticas más estrictas como «quarantine» o «reject», lo que bloquearía directamente los mensajes no verificados.
Calendario de aplicación
| Fecha | Acción | Aplicación |
|---|---|---|
| 2 de abril | Preparación recomendada | Comprobar SPF, DKIM y publicar DMARC |
| 5 de mayo | Aplicación en correo no deseado | Los correos sin autenticación irán a spam |
| Próximamente | Rechazo total | Se bloquearán los correos sin cumplimiento |
¿A quién afecta?
Este nuevo estándar afecta directamente a empresas, instituciones y remitentes masivos, como plataformas de email marketing, CRM, newsletters o facturación electrónica que envíen más de 5.000 correos diarios a cuentas Microsoft.
No obstante, Microsoft recomienda que todos los remitentes, incluso aquellos con volúmenes más bajos, implementen estas medidas para mejorar la entregabilidad y proteger su reputación de dominio.
Buenas prácticas adicionales recomendadas
Además de cumplir con SPF, DKIM y DMARC, Microsoft aconseja:
- Usar direcciones de remitente válidas y activas.
- Incluir enlaces de cancelación de suscripción claros y funcionales.
- Mantener una base de datos limpia, eliminando correos rebotados o inactivos.
- Redactar asuntos honestos y concisos, evitando lenguaje engañoso.
Herramientas para facilitar la implementación
La configuración de estos protocolos puede resultar técnica, pero existen herramientas accesibles y gratuitas para su verificación:
También se recomienda consultar el documento oficial del CCN-CERT sobre DMARC, que ofrece una guía detallada para entornos públicos y privados en España.
Una tendencia que no se detendrá
Con estas nuevas reglas, Microsoft se alinea con una tendencia general del sector para reforzar la seguridad del correo electrónico, una de las principales vías de entrada para ataques informáticos. La correcta implementación de estas tecnologías no solo mejora la entregabilidad, sino que también protege la marca del remitente y la privacidad del usuario.
Empresas, medios, universidades y cualquier organización que dependa del email como canal de comunicación deberían adaptarse cuanto antes para evitar interrupciones en sus envíos y mantener la confianza de sus destinatarios.
¿Tienes dudas sobre cómo adaptar tu dominio a estas nuevas normas? ¿Tu proveedor de correo te ofrece soporte DMARC? Estas serán algunas de las preguntas clave que toda organización debe plantearse antes del 5 de mayo de 2025.
Fuente: Buenas prácticas de seguridad para email y PowerDmarc
