Defaults.Exposed

Defaults.ExposedSolucionesGuides

DKIM pasa pero DMARC falla: la trampa de la firma predeterminada gappssmtp.com / onmicrosoft.com (2026)

Publicado 2026-07-08

Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados del censo sobre 261 millones de dominios calificados. Consulte cómo calificamos.

Su correo pasa DKIM con la firma predeterminada del proveedor — d= terminado en gappssmtp.com (Google Workspace) u onmicrosoft.com (Microsoft 365) — pero ese dominio no coincide con su dominio From, así que DMARC no obtiene ningún pase alineado. Active la firma con dominio personalizado para solucionarlo. De 12.145.313 dominios que autorizan los servidores de correo de Google, solo el 18,5% aplica DMARC, según el censo de Defaults.Exposed de 261.086.232 dominios calificados.

La solución es una de las más limpias de la autenticación de correo: activar la firma DKIM con dominio personalizado. En Google Workspace es la pantalla “Authenticate email” de la consola de administración: genere la clave, publique un registro TXT y actívela. En Microsoft 365 es la página DKIM del portal de Defender: publique dos CNAME de selector y active. Veinte minutos de trabajo, y DMARC por fin obtiene el pase alineado que estaba esperando.

¿Por qué DKIM pasa pero DMARC sigue fallando?

Porque DMARC no pregunta “¿hay una firma DKIM válida?”, sino “¿hay una firma DKIM válida para el dominio de la cabecera From?”. Esa segunda condición se llama alineación, y es la razón de ser de DMARC: demostrar que el dominio que su destinatario ve es el dominio que firmó.

De fábrica, Google Workspace firma su correo con un dominio como yourdomain-com.20230601.gappssmtp.com (la marca de fecha varía según el dominio) y Microsoft 365 firma con yourtenant.onmicrosoft.com. Ambas firmas son criptográficamente válidas — los verificadores de DKIM dicen pass — pero el dominio d= pertenece a Google o a Microsoft, no a usted. Incluso con la alineación relajada de DMARC, que solo exige que coincidan los dominios organizativos, gappssmtp.com no es yourdomain.com. Sin coincidencia no hay pase alineado, y si SPF tampoco se alinea (a menudo no puede: los receptores evalúan SPF contra el dominio de Return-Path, no contra la cabecera From, y el reenvío lo rompe por completo), DMARC falla.

Esta es la trampa definitoria de los valores predeterminados de los proveedores: el valor predeterminado le da entregabilidad, no protección; la alineación es la vuelta de llave que falta. El censo muestra cuántos remitentes se quedan en el valor predeterminado: de los 12.145.313 dominios que autorizan los servidores de correo de Google mediante _spf.google.com (de 138.927.207 publicadores de SPF en todo el mundo), solo el 18,5% aplica DMARC. El panorama de Microsoft tiene la misma forma: 10.205.070 dominios autorizan spf.protection.outlook.com, el 85,0% lleva el registro SPF estricto que la configuración de M365 les entrega — y solo el 21,7% aplica DMARC. Comparación completa en nuestra tabla clasificatoria de SPF por proveedor de correo.

La trampa es invisible en el uso diario: el correo se entrega, las pruebas de bandeja de entrada se ven bien, nada da error — hasta que publica una política DMARC y su propio correo empieza a fallarla. Nuestro análisis gratuito saca a la luz exactamente esta brecha.

¿Cómo detecto la trampa de la firma predeterminada en Authentication-Results?

Abra un mensaje que usted haya enviado (a un buzón de Gmail o de Outlook), vea el original/código fuente y localice la cabecera Authentication-Results. La señal delatora es un pass de DKIM con el d= equivocado — un ejemplo recibido en Gmail se ve así:

Authentication-Results: mx.google.com;
       dkim=pass [email protected];
       spf=pass smtp.mailfrom=yourdomain.com;
       dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=yourdomain.com

Léalo como tres preguntas:

Fragmento de cabeceraQué significaVeredicto
dkim=pass header.d=yourdomain.comFirma válida Y coincide con su dominio FromAlineado — este es el objetivo
dkim=pass header.d=…gappssmtp.com o …onmicrosoft.comFirma válida pero es el dominio predeterminado del proveedor — DMARC la ignora a efectos de alineaciónLa trampa: pase sin protección
dkim=fail (cualquier d=)Firma inválida — es otro problemaConsulte cómo arreglar DKIM

En el correo recibido por Microsoft, la misma historia aparece como dkim=pass (signature was verified) header.d=yourtenant.onmicrosoft.com junto a compauth=fail — el patrón que se trata en la guía de rechazos de Outlook.

Si su cabecera muestra en cambio tanto dkim=pass como spf=pass con un fallo de DMARC, está en el caso de alineación más amplio — la guía de DMARC falla pero SPF y DKIM pasan recorre en detalle la alineación relajada frente a la estricta.

¿Cómo activo la firma DKIM con dominio personalizado?

  1. Ejecute el análisis gratuito en defaults.exposed antes de tocar nada. Le muestra si su dominio tiene DKIM alineado, cuál es realmente su política DMARC y si algo más (SPF, sintaxis del registro DMARC) seguirá bloqueándole después de esta corrección — para que haga el trabajo completo una sola vez.
  2. Identifique con qué firma predeterminada está firmando. Compruebe header.d= en Authentication-Results como se indica arriba: gappssmtp.com significa el valor predeterminado de Google Workspace, onmicrosoft.com significa el de Microsoft 365.
  3. Google Workspace: genere y publique su propia clave. En la consola de administración vaya a Apps → Google Workspace → Gmail → Authenticate email, seleccione su dominio y haga clic en Generate New Record (de 2048 bits salvo que su proveedor de DNS no pueda almacenarlo). Publique el registro TXT que le entrega en google._domainkey.yourdomain.com, espere al DNS (hasta 48 horas) y luego — el paso que la gente olvida — haga clic en Start authentication. Generar el registro no hace nada hasta que active la firma. Guía completa: configurar DKIM en Google Workspace.
  4. Microsoft 365: publique los dos CNAME de selector y active. En el portal de Defender vaya a Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM, seleccione su dominio personalizado y cree las claves. Publique ambos CNAME — selector1._domainkey y selector2._domainkey, apuntando a los destinos que Microsoft le muestra (copie los destinos exactos del portal: los dominios habilitados antes de mayo de 2025 terminan en el .onmicrosoft.com de su tenant; los más recientes terminan en .dkim.mail.microsoft) — y luego active la firma. Los dos selectores no son opcionales: Microsoft rota las claves entre ellos. Guía completa: configurar DKIM en Microsoft 365.
  5. Verifique la nueva firma. Envíe un mensaje nuevo a un buzón externo y vuelva a revisar Authentication-Results: dkim=pass debería mostrar ahora header.d=yourdomain.com. Si su panel de DNS añadió automáticamente su zona al destino del CNAME o estropeó el valor TXT largo, la firma no cambiará — las peculiaridades de los paneles, no el proveedor, causan la mayoría de los fallos en este punto.
  6. Vuelva a analizar y lleve el pase alineado a alguna parte. Confirme que el análisis muestra DKIM alineado y luego aprovéchelo: una política DMARC en p=none no protege nada. De todos los 261.086.232 dominios calificados, solo el 10,59% aplica DMARC (datos a fecha de 2026-06-29) — el DKIM alineado es lo que hace que endurecer la aplicación sea seguro. Empiece por cómo arreglar DMARC.

¿Activar el DKIM personalizado romperá algo?

No — esta es la rara corrección de autenticación de correo prácticamente sin onda expansiva: el correo que salía con la firma predeterminada simplemente sale con una mejor, y el proveedor sigue gestionando las claves (Microsoft rota automáticamente entre los dos selectores). El verdadero modo de fallo es hacerlo a medias: publicar el TXT de Google pero no hacer clic nunca en Start authentication, o publicar un solo selector de M365 en lugar de los dos. Y no borre después los registros DNS “para ordenar”; la firma se detiene en el momento en que la clave desaparece.

Una nota de alcance: esto arregla el correo enviado a través de Google o Microsoft. Las herramientas de boletines y los CRM también firman con sus propios valores predeterminados, y cada uno necesita que se active su propio DKIM con dominio personalizado — ese patrón, y las reglas de Gmail para remitentes masivos que ahora lo exigen, se tratan en la guía del 550-5.7.26.

Preguntas frecuentes

¿DKIM muestra “pass” en todas las herramientas de prueba — por qué hay que arreglar algo? Porque las herramientas responden a una pregunta más estrecha que la de DMARC. La firma es válida — pero es la de gappssmtp.com o la de onmicrosoft.com, no la suya, así que no cuenta para nada en la alineación DMARC. Por eso tantos remitentes se quedan en el valor predeterminado: de 12.145.313 dominios que autorizan a Google, solo el 18,5% aplica DMARC (datos a fecha de 2026-06-29).

¿La alineación DMARC relajada deja pasar la firma predeterminada? No. La alineación relajada solo suaviza la coincidencia hasta los dominios organizativos — mail.yourdomain.com se alinea con yourdomain.com. El dominio organizativo de la firma predeterminada es gappssmtp.com u onmicrosoft.com, que no comparte nada con el suyo. Ningún modo de alineación rescata un d= de terceros.

¿La firma gappssmtp.com / onmicrosoft.com es mala? ¿Debería eliminarla? No es mala — garantiza que su correo lleve alguna firma válida, lo que ayuda al filtrado de spam. Simplemente no es la suya. No la elimina; la reemplaza activando la firma con dominio personalizado.

Mi dominio está en Microsoft 365 con SPF estricto — ¿ya estoy cubierto? Probablemente no: ese registro estricto es el valor predeterminado de M365 haciendo su único trabajo. De 10.205.070 dominios que autorizan spf.protection.outlook.com, el 85,0% tiene SPF estricto pero solo el 21,7% aplica DMARC (datos a fecha de 2026-06-29). SPF además se rompe con el reenvío, porque se evalúa contra el Return-Path y no contra la cabecera From — el DKIM alineado es la pata que sobrevive, que es exactamente por lo que esta corrección importa.

¿Cuánto tiempo lleva la corrección? El trabajo en la consola son minutos por proveedor. El DNS es la espera: Google indica dejar hasta 48 horas antes de iniciar la autenticación; los CNAME de Microsoft suelen estar activos en horas. Calcule un día laborable de principio a fin, la mayor parte esperando.

Envíe el informe al propietario

Si está arreglando esto para un cliente o para su empresa, cierre el círculo con pruebas. Vuelva a ejecutar el análisis gratuito una vez que la nueva firma esté activa y reenvíe el informe calificado al propietario del negocio: fechado, en lenguaje claro, mostrando DKIM alineado con su dominio. Ese es el documento para la renovación del ciberseguro y el próximo cuestionario de seguridad de proveedores — la prueba de que el dominio se autentica como él mismo, no como un subarrendatario de gappssmtp.com.

Compruebe gratis su alineación DKIM

Vea si su correo firma como su propio dominio — y exactamente qué corregir — de forma privada y solo para el propietario.

Compruebe su dominio → · DMARC falla pero SPF y DKIM pasan → · Arreglar DKIM → · Configurar DKIM en Google Workspace → · Solo datos agregados. Datos almacenados y procesados en la UE.