MENU
  1. Inicio
  2. Microsoft 365
  3. Cómo evitar que Yahoo y AOL rechacen tus correos de Microsoft 365: guía definitiva SPF, DKIM y DMARC

Cómo evitar que Yahoo y AOL rechacen tus correos de Microsoft 365: guía definitiva SPF, DKIM y DMARC

Microsoft 365

¿Tus correos enviados desde Microsoft 365 a Yahoo, AOL o Comcast rebotan con un aviso de conexión rechazada? Desde febrero 2024 estos proveedores solo aceptan mensajes que lleven SPF, DKIM y DMARC correctamente configurados. A continuación encontrarás una guía completa para resolverlo paso a paso.

Índice

Visión general del problema de entrega

Administradores y usuarios se han encontrado con devoluciones que incluyen mensajes como:

Your message couldn’t be delivered… the recipient’s email system isn’t accepting connection requests…

Aunque las políticas de Yahoo/AOL iban dirigidas en un principio a remitentes masivos, hoy se aplican a cualquier dominio que no entregue los tres mecanismos de autenticación exigidos. Por eso organizaciones pequeñas, colegios, ONGs y profesionales independientes también se ven afectados.

Endurecimiento antispam de 2024: el origen de la nueva exigencia

En febrero 2024 Yahoo y Gmail anunciaron en paralelo la adopción obligatoria de SPF, DKIM y DMARC para reducir el correo no deseado y el phishing. Microsoft 365 seguirá aceptando mensajes sin esos registros, pero Yahoo, AOL y Comcast los bloquean en el primer salto SMTP. El error aparece antes de que el mensaje se enfile para la entrega final, por lo que no queda rastro en la bandeja de Correo no deseado del destinatario.

Los tres pilares de la autenticación moderna

MecanismoQué compruebaDónde se configura
SPF (Sender Policy Framework)Que la IP emisora esté autorizada a enviar en nombre del dominio.Registro TXT en DNS. Con Microsoft 365 suele crearse al vincular el dominio.
DKIM (DomainKeys Identified Mail)Firma criptográfica del encabezado y el cuerpo del mensaje.Se habilita en el Centro de seguridad de Microsoft 365 y requiere publicar dos CNAME.
DMARC (Domain‑based Message Authentication Reporting & Conformance)Política de actuación (none, quarantine, reject) si SPF o DKIM fallan, más reportes forenses y agregados.Registro TXT independiente en _dmarc.tudominio.com.

Si falta cualquiera de los tres, Yahoo y AOL interrumpen la sesión SMTP y el mensaje “muere” antes de entregarse.

Prueba rápida: ¿mi dominio está correctamente autenticado?

  1. Entra en MXToolbox → MX Lookup y pulsa Find Problems. Obtendrás un diagnóstico de SPF, DKIM y DMARC en segundos.
  2. En Microsoft 365, abre el portal de seguridad y revisa Email authentication. Allí verás el estado de cada mecanismo y alertas de expiración de clave DKIM.

Si cualquiera de los tres aparece como “Fail” o “Not Found”, sigue la guía de solución que describimos a continuación.

Solución recomendada paso a paso

1. Diagnosticar el estado actual del dominio

  • Anota los registros DNS existentes (TXT y CNAME). Así evitarás duplicados mientras realizas cambios.
  • Comprueba que el subdominio _dmarc no esté ya utilizado para otro servicio externo.
  • Revisa las bitácoras de Message Trace en Microsoft 365 para confirmar la fecha y la IP del último rebote.

2. Revisar y corregir SPF

Un registro SPF válido para la mayoría de los escenarios donde Microsoft 365 es el único origen de correo tiene esta forma:

v=spf1 include:spf.protection.outlook.com ~all

Puntos clave:

  • No dupliques registros SPF. Un único registro TXT por dominio.
  • Si usas servicios adicionales (SendGrid, MailChimp, etc.), añádelos con include: al mismo registro, por ejemplo:
    v=spf1 include:spf.protection.outlook.com include:sendgrid.net include:servers.mcsv.net ~all
  • El ~all (soft fail) es suficiente para la mayoría de casos. Cambia a -all solo cuando estés seguro de cubrir todas las IP permitidas.

3. Habilitar DKIM en Microsoft 365

  1. Ve a Defender Portal → Email & collaboration → DKIM.
  2. Selecciona tu dominio personalizado y copia los CNAME sugeridos:
    selector1._domainkey.tudominio.com CNAME selector1‑tudominio.onmicrosoft.com
    selector2._domainkey.tudominio.com CNAME selector2‑tudominio.onmicrosoft.com
  3. Publica ambos CNAME en tu proveedor DNS.
  4. Espera la propagación (máx. 24 h) y pulsa Enable en el portal.

Cada selector usa una clave distinta, lo que permite renovar sin interrumpir la firma.

4. Publicar DMARC en modo observación (none)

Empieza con la política p=none para no bloquear mensajes mientras validas:

_dmarc.tudominio.com TXT v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com; fo=1

Explicación rápida de los parámetros esenciales:

  • p=none | quarantine | reject: indica qué hace el receptor si SPF/DKIM fallan.
  • rua: dirección que recibirá resúmenes diarios en formato XML.
  • fo=1: solicita “forensic reports” (muestras concretas) cuando haya fallo.

Una vez que los reportes confirmen que el 100 % de los correos pasan SPF o DKIM, eleva la política a quarantine y más adelante a reject.

5. Probar de nuevo y monitorizar

  • Envía mensajes de prueba a cuentas Yahoo/AOL tras la propagación DNS (normalmente < 24 h).
  • Revisa los encabezados recibidos: deben mostrar Authentication‑Results: dkim=pass sp=pass dmarc=pass.
  • Analiza los informes DMARC. Herramientas como dmarcian, Postmark o O365DMARC Analyzer transforman el XML en gráficos fáciles de leer.

Checklist express antes de declarar “solucionado”

TareaOK
Registro SPF único y sin errores de sintaxis
DKIM habilitado y firmando from: y body
DMARC con política none y recepción de reportes
Envío de correos de prueba aceptado por Yahoo/AOL
Plan definido para escalar a quarantinereject

Preguntas frecuentes (FAQ)

¿Qué ocurre si sigo enviando desde tudominio.onmicrosoft.com?

Los dominios *.onmicrosoft.com ya están firmados por Microsoft con SPF, DKIM y DMARC. No se verán afectados.

Uso un relay local que reescribe la cabecera From:. ¿Es un problema?

Sí. Cualquier reescritura debe incorporar ARC o respetar la firma DKIM. Si no, SPF y DKIM fallarán en destino.

¿Puedo tener varios registros DMARC?

No. El estándar permite un único registro DMARC por dominio o subdominio. Colocar dos producirá fallos de parseo.

¿Qué pasa con subdominios, p. ej. marketing.tudominio.com?

Heredan la política del dominio raíz salvo que publiques un registro DMARC específico. Si ese subdominio envía correo propio, crea también SPF y DKIM dedicados.

Buenas prácticas para mantener la reputación de envío

  • Renueva las claves DKIM cada 12 meses para evitar que se vuelvan vulnerables.
  • Audita los reportes DMARC al menos una vez al trimestre; te alertarán de dominios falsificados.
  • Desconfía de los “fail” intermitentes. Suelen indicar nodos externos (copiadoras, CRM, IoT) que envían sin pasar por Microsoft 365.
  • Añade las IP on‑premises (firewalls, appliances) al registro SPF o enruta toda la salida a través de smtp.office365.com.
  • No mezcles spf con a y mx indiscriminadamente; podrías exceder el límite de 10 include y 255 caracteres.

Conclusión

La autenticación triple (SPF + DKIM + DMARC) ya no es opcional para enviar correos a Yahoo, AOL y, cada vez más, a otros grandes receptores. Invertir una hora en configurar correctamente estos registros evitará pérdidas de tiempo, quejas de usuarios y la erosión de la reputación de tu dominio. Sigue el flujo de diagnóstico, despliega los cambios y monitoriza los reportes: en pocas horas tus mensajes volverán a aterrizar en la bandeja de entrada.

Microsoft 365
Microsoft 365 DMARC DKIM SPF entrega de correo Yahoo
Índice