Pueden phishearte
Y ni lo sabes...
¡Buenas! 👋 Hoy viene a divertirse a la newsletter Marga en su versión más freak-técnica, peeeeero con algo que afecta la reputación de tu marca. Así que quédate a leerla.
Esta semana he empezado con un nuevo cliente y, lo que miro antes de tocar nada, es el dominio.
Parece que no tiene nada que ver con enviar emails, pero lo tiene y mucho.
Te cuento.
Encontré lo que veo en casi todos. El DMARC en p=none. (Vale, sí, estás deseando pirarte porque no entiendes nada, pero es relevante así que coge palomitas y quédate).
Imagínate que pones una alarma en casa para grabar, proteger todos tus bienes, pero decides que la tienes siempre desactivada y sin que grabe.
Eso es tener el DMARC en p=none.
Significa que el protocolo detecta cuando alguien intenta suplantar tu dominio pero no hace nada al respecto. Así que cualquiera pueda usarlo para hacerse pasar por ti y enviar correos desde tu @dominio.com Lo que se conoce como phishing 🎣
Existen 3 niveles
p=none: Ve el problema. No hace nada.
p=quarantine: Los emails sospechosos van a spam. Ya está haciendo algo.
p=reject: Los emails no autorizados se rechazan directamente. Esto es lo que necesitas.
La mayoría de dominios están en p=none porque alguien configuró DMARC a medias o lo dejó como viene por defecto. Pasa más de lo que imaginas.
¿Por qué debería importarte más allá del phishing?
Dos razones concretas.
La primera es obvia: alguien puede mandar emails haciéndose pasar por ti a tus clientes. Cuando lo descubren, el daño de confianza es tuyo aunque tú no hayas tocado nada.
La segunda es menos obvia pero igual de importante: tu reputación de remitente está ligada a la actividad de tu dominio. Si hay envíos sospechosos asociados a él, aunque no sean tuyos, afecta a la entregabilidad de tus campañas. Y eso no nos gusta que pase.
Y una vez tienes esto resuelto: BIMI
BIMI es el protocolo que hace que tu logo aparezca en la bandeja de entrada de Gmail antes de que nadie abra el email.
Me encanta 🥳
Para implementarlo necesitas tener DMARC en p=reject o p=quarantine. Sin eso, no funciona. Por eso importa.
Y, además, como colofón, si consigues el VMC, el certificado de marca verificada, también tendrás un check azul al más puro estilo Instagram que refuerza toda tu reputación y credibilidad ante tanto spam y suplantación.
Yo, la verdad, que si fuera un banco o un organismo del Estado, me lo miraría ya de ya que de falsas DGTs y sus multas estamos hasta el gorro.
Ah, y se vería así 👇
Cómo saber si tienes este problema ahora mismo
Entra en MXToolbox, mete tu dominio y mira qué pone en el DMARC después de p=.
Si pone none, ya sabes.
El cambio a p=quarantine o p=reject no es inmediato. Antes necesitas confirmar que todos tus remitentes legítimos tienen SPF y DKIM correctamente configurados. Si subes la política sin hacer eso primero, puedes bloquear tus propios emails.
El orden: audita qué fuentes envían desde tu dominio → confirma SPF y DKIM → subir la política de DMARC.
Solo piensa en tus emails con tu logo y ese check azul, ¿verdad que ha valido la pena llegar hasta aquí?
Bueno, me despido y sigo con la auditoría.
P.D.: Esto es lo primero, primerísimo que miro cuando audito el canal de un cliente porque sin esto bien montado es empezar la casa por el tejado.
P.D.2: ¿Sabes cuánto podría representar el email marketing en tu empresa? He creado una calculadora de ROI para email marketing de ecommerce DTC que te lo dice en menos de 2 minutos.