Seguretat bàsica

Seguretat del Correu Electrònic Empresarial: SPF, DKIM i DMARC

Equip CiberPIME · · 11 min de lectura
Seguretat del Correu Electrònic Empresarial: SPF, DKIM i DMARC
Lee este articulo en castellano
🛡 AUDITORIA GRATUÏTA

Auditoria Exprés de Ciberseguretat — 10 preguntes clau + puntuació semàfor de risc + recomanacions per a la teva PIME. PDF de 2 pàgines.

Descarregar gratis →

Per què el correu electrònic és el vector d’atac número u

El correu electrònic continua sent, any rere any, la porta d’entrada més utilitzada pels ciberdelinqüents per atacar empreses. Segons dades de l’informe de Verizon Data Breach Investigations Report, més del 90% dels ciberatacs comencen amb un email. I no és casualitat: el correu combina volum massiu, confiança de l’usuari i una superfície d’atac enorme.

Per a una PIME, un sol correu maliciós pot derivar en robatori de credencials, transferències bancàries fraudulentes, infecció per ransomware o filtració de dades de clients. El cost mitjà d’un incident de seguretat relacionat amb el correu per a una petita empresa s’estima en milers d’euros, sense comptar el dany reputacional.

La bona notícia és que existeixen mecanismes tècnics i organitzatius per reduir dràsticament aquest risc. En aquest article t’expliquem les tres tecnologies clau d’autenticació de correu (SPF, DKIM i DMARC), com implementar-les i quines bones pràctiques hauries d’adoptar a la teva empresa.

Tipus d’atacs per correu electrònic

Abans d’entrar en les solucions, convé entendre contra què ens protegim.

Phishing

L’atacant envia correus que imiten una entitat legítima (banc, proveïdor, administració pública) per enganyar el destinatari i aconseguir que faci clic en un enllaç maliciós, descarregui un fitxer infectat o introdueixi les seves credencials en un web fals.

L’spear phishing és una variant més sofisticada: el correu està personalitzat amb dades reals de la víctima (nom, càrrec, empresa, projectes actuals), cosa que el fa molt més difícil de detectar.

Business Email Compromise (BEC)

El BEC és un dels atacs més costosos. El delinqüent suplanta la identitat del CEO, del director financer o d’un proveïdor per sol·licitar una transferència bancària urgent o un canvi de dades de pagament. Sovint no inclou malware ni enllaços: és pura enginyeria social.

Segons l’FBI, les pèrdues globals per BEC superen els 2.700 milions de dòlars anuals. Les PIMEs són objectius freqüents perquè solen tenir menys controls en els processos de pagament.

Spoofing

El spoofing consisteix a falsificar l’adreça de remitent d’un correu. Sense les proteccions adequades, qualsevol pot enviar un email que aparentment prové del teu domini (per exemple, factures@latuaempresa.com) sense tenir accés als teus comptes. Els protocols SPF, DKIM i DMARC existeixen precisament per combatre això.

Malware i ransomware per adjunts

Els fitxers adjunts continuen sent un vector habitual per distribuir malware. Documents d’Office amb macros, arxius PDF manipulats, executables disfressats amb doble extensió (.pdf.exe) o fitxers comprimits amb contrasenya (per evadir l’antivirus) són les tècniques més comunes.

SPF: Sender Policy Framework explicat pas a pas

Què és SPF

SPF (Sender Policy Framework) és un registre DNS que indica quins servidors de correu estan autoritzats a enviar emails en nom del teu domini. Quan un servidor receptor rep un email del teu domini, consulta el teu registre SPF per verificar si el servidor remitent està a la llista d’autoritzats.

Com funciona

  1. Publiques un registre TXT al DNS del teu domini amb la llista de servidors autoritzats.
  2. Quan algú rep un email del teu domini, el seu servidor consulta el teu registre SPF.
  3. Si el servidor remitent coincideix amb un dels autoritzats, el correu passa la verificació SPF.
  4. Si no coincideix, el servidor receptor pot marcar el correu com a sospitós o rebutjar-lo.

Exemple de registre SPF

v=spf1 include:_spf.google.com include:sendinblue.com ~all

Aquest registre indica que poden enviar correu des del teu domini els servidors de Google Workspace i els de Brevo (anteriorment Sendinblue). El ~all al final significa “softfail”: els correus d’altres servidors no es rebutgen directament, però es marquen com a sospitosos. Per a més seguretat, pots fer servir -all (hardfail), que rebutja directament els correus no autoritzats.

Errors comuns amb SPF

  • Múltiples registres SPF: només pot haver-hi un registre SPF per domini. Si en tens dos, tots dos s’invaliden.
  • Superar el límit de 10 lookups DNS: SPF permet un màxim de 10 consultes DNS encadenades. Si fas servir molts serveis (CRM, newsletter, helpdesk…), pots superar aquest límit. Eines com MXToolbox et permeten verificar-ho.
  • Oblidar serveis que envien correu: si fas servir un CRM, una plataforma d’email marketing o un sistema de tickets que envia des del teu domini, has d’incloure’ls a l’SPF.

DKIM: DomainKeys Identified Mail explicat

Què és DKIM

DKIM (DomainKeys Identified Mail) afegeix una signatura digital criptogràfica a cada correu que envies. Aquesta signatura permet al servidor receptor verificar que el correu no ha estat modificat en trànsit i que realment prové del teu domini.

Com funciona

  1. El teu servidor de correu genera un parell de claus criptogràfiques: una privada (que es queda al servidor) i una pública (que es publica al teu DNS).
  2. En enviar un correu, el servidor signa digitalment les capçaleres i el cos del missatge amb la clau privada.
  3. El servidor receptor obté la clau pública des del teu DNS i verifica la signatura.
  4. Si la signatura és vàlida, es confirma que el correu és autèntic i no ha estat alterat.

Exemple de registre DKIM

selector1._domainkey.latuaempresa.com  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqh..."

La part selector1 és un identificador que permet tenir múltiples claus DKIM actives simultàniament (útil per a la rotació de claus o per a serveis de tercers).

Avantatges sobre SPF

DKIM té un avantatge important sobre SPF: sobreviu al reenviament de correus. Quan algú reenvia un email, l’SPF pot fallar (perquè el servidor de reenviament no és al teu registre SPF), però la signatura DKIM roman intacta.

DMARC: la peça que ho uneix tot

Què és DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) és el protocol que uneix SPF i DKIM i indica al servidor receptor què ha de fer quan un correu no passa les verificacions. Sense DMARC, els resultats d’SPF i DKIM són informatius però no s’actua sobre ells de forma consistent.

Les tres polítiques DMARC

  • none (p=none): només monitorització. Els correus que fallen no es bloquegen, però reps informes del que està passant. És el punt de partida recomanat.
  • quarantine (p=quarantine): els correus que fallen s’envien a la carpeta de correu brossa del destinatari.
  • reject (p=reject): els correus que fallen es rebutgen directament. És el nivell màxim de protecció.

Exemple de registre DMARC

_dmarc.latuaempresa.com  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@latuaempresa.com; pct=100"
  • p=quarantine: els correus que fallen van a correu brossa.
  • rua=mailto:dmarc@latuaempresa.com: adreça on rebràs els informes agregats.
  • pct=100: s’aplica al 100% dels correus.

Ruta d’implementació recomanada

No passis directament a p=reject. La ruta segura és:

  1. Setmana 1-4: p=none amb informes activats. Analitza qui envia correu des del teu domini.
  2. Setmana 5-8: corregeix els registres SPF i DKIM per cobrir tots els serveis legítims.
  3. Setmana 9-12: canvia a p=quarantine i monitoritza els informes.
  4. Setmana 13+: si tot està en ordre, canvia a p=reject.

Eines de verificació i monitorització

No necessites ser un expert en DNS per verificar que la teva configuració és correcta. Aquestes eines són gratuïtes o tenen plans gratuïts:

  • MXToolbox (mxtoolbox.com): verifica SPF, DKIM, DMARC, blacklists i salut general del teu correu. És la referència del sector.
  • dmarcian (dmarcian.com): plataforma especialitzada en DMARC amb visualització d’informes i guies d’implementació. Té pla gratuït per a un domini.
  • Google Admin Toolbox (toolbox.googleapps.com): eines de diagnòstic de Google per a correu i DNS.
  • Mail Tester (mail-tester.com): envies un correu de prova i et dona una puntuació sobre la configuració tècnica.
  • DMARC Analyzer (dmarcanalyzer.com): anàlisi i informes DMARC amb interfície visual.

Bones pràctiques de seguretat del correu empresarial

L’autenticació tècnica (SPF, DKIM, DMARC) és fonamental, però no suficient. Aquestes són les bones pràctiques que tota PIME hauria d’implementar.

Autenticació de doble factor (2FA)

Activa l’autenticació de doble factor a tots els comptes de correu sense excepció. Un atacant que obtingui una contrasenya (per phishing, reutilització de contrasenyes o força bruta) no podrà accedir al compte si hi ha un segon factor actiu.

Els mètodes més segurs són les aplicacions d’autenticació (Google Authenticator, Microsoft Authenticator, Authy) o les claus de seguretat físiques (YubiKey). L’SMS és millor que res, però és vulnerable a atacs de SIM swapping.

Formació i conscienciació

L’eslavó més feble de la seguretat del correu són les persones. Inverteix en formació periòdica perquè el teu equip sàpiga:

  • Identificar correus sospitosos (urgència artificial, remitent lleugerament diferent, enllaços que no coincideixen amb el text).
  • Verificar sol·licituds de transferències o canvis de dades bancàries per un segon canal (telèfon, presencial).
  • No obrir adjunts inesperats, especialment si demanen activar macros.
  • Reportar correus sospitosos al responsable de TI o seguretat.

Filtres antispam i antimalware

Configura filtres de correu robustos. Els proveïdors principals ja inclouen protecció avançada:

  • Microsoft 365: Microsoft Defender for Office 365 inclou protecció anti-phishing, safe attachments i safe links.
  • Google Workspace: inclou protecció avançada contra phishing i malware integrada a Gmail, amb Machine Learning per detectar amenaces.
  • Zoho Mail: ofereix filtres antispam i protecció contra phishing a tots els seus plans.

Política de contrasenyes

Estableix una política de contrasenyes robusta: mínim 12 caràcters, combinació de majúscules, minúscules, números i símbols. Millor encara: fomenta l’ús d’un gestor de contrasenyes (Bitwarden, 1Password, KeePass) perquè cada compte tingui una contrasenya única i complexa.

Protocol per a transferències i dades bancàries

Implementa una norma interna: cap transferència bancària ni canvi de dades de pagament s’executa basant-se únicament en un email. Sempre es verifica per un segon canal (trucada telefònica a un número conegut, no al que apareix al correu).

Xifratge del correu electrònic

TLS en trànsit

La majoria de proveïdors de correu moderns fan servir TLS (Transport Layer Security) per xifrar la comunicació entre servidors. Això protegeix el contingut del correu durant el trànsit, però no en repòs. Verifica que el teu proveïdor tingui TLS habilitat (la majoria el té per defecte).

S/MIME i PGP per a xifratge extrem a extrem

Per a comunicacions especialment sensibles (dades de clients, informació financera, propietat intel·lectual), existeixen protocols de xifratge extrem a extrem:

  • S/MIME: integrat a Microsoft Outlook i Apple Mail. Requereix certificats digitals emesos per una autoritat de certificació.
  • PGP/GPG: estàndard obert, més flexible però amb una corba d’aprenentatge major. Clients com Thunderbird el suporten nativament.

Per a la majoria de PIMEs, el xifratge extrem a extrem és excessiu per a la comunicació diària, però pot ser necessari en sectors regulats (salut, legal, finances) o per intercanviar informació classificada.

Proveïdors de correu recomanats per a PIMEs

No tots els proveïdors de correu ofereixen el mateix nivell de seguretat. Aquestes són les opcions més recomanables per a una PIME:

Microsoft 365

La suite de Microsoft inclou Exchange Online amb protecció avançada, compliment normatiu, eDiscovery, retenció de correu i Microsoft Defender integrat. És l’opció més completa per a empreses que ja fan servir l’ecosistema Microsoft. Els plans Business comencen des d’uns 6 EUR/usuari/mes aproximadament.

Google Workspace

Gmail empresarial amb protecció anti-phishing basada en IA, integració amb Google Drive, Meet i la resta de l’ecosistema Google. El seu filtratge de correu brossa és probablement el més efectiu del mercat. Els plans Business Starter comencen des d’uns 7 EUR/usuari/mes.

Zoho Mail

Alternativa més econòmica amb bon nivell de seguretat, antispam i suport DKIM/DMARC. Té un pla gratuït per a fins a 5 usuaris, cosa que la fa atractiva per a microempreses. Els plans de pagament comencen des d'1 EUR/usuari/mes.

Errors comuns que has d’evitar

No configurar SPF, DKIM ni DMARC

És l’error més greu i, sorprenentment, el més freqüent. Moltes PIMEs fan servir correu amb domini propi però mai han configurat aquests registres, deixant la porta oberta al spoofing del seu domini.

Fer servir comptes de correu gratuïts per a l’empresa

Operar amb comptes @gmail.com o @hotmail.com transmet falta de professionalitat i, el que és pitjor, no et permet implementar SPF, DKIM ni DMARC per al teu domini (perquè no és el teu domini).

No revisar els informes DMARC

Configurar DMARC en mode p=none i no llegir mai els informes és com instal·lar una càmera de seguretat i no mirar les gravacions. Els informes et revelen si algú està intentant suplantar el teu domini.

Reutilitzar contrasenyes

Si la contrasenya del correu corporatiu és la mateixa que la d’algun servei extern que pateix una bretxa, el teu compte queda compromès automàticament. Les bases de dades de contrasenyes filtrades es venen i comparteixen en fòrums del dark web, i els atacants proven aquestes credencials sistemàticament.

No tenir backup del correu

Si un atacant accedeix a un compte i esborra correus, o si un ransomware xifra el servidor de correu, necessites tenir còpies de seguretat. Molts proveïdors cloud inclouen retenció, però verifica les polítiques i, si cal, contracta un servei de backup addicional.

Conclusió

La seguretat del correu electrònic no és un luxe ni un tema exclusiu de grans corporacions. Per a una PIME, protegir el correu és protegir la columna vertebral de la comunicació empresarial. Els tres pilars tècnics —SPF, DKIM i DMARC— són gratuïts d’implementar, només requereixen configurar registres DNS, i redueixen dràsticament el risc de suplantació.

Combina aquesta protecció tècnica amb autenticació de doble factor, formació de l’equip i protocols clars per a transferències, i la teva empresa estarà significativament més protegida que la majoria de PIMEs. Comença avui: verifica la teva configuració a MXToolbox, activa 2FA a tots els comptes i estableix una política de verificació per a pagaments.

Avís: Aquest article té caràcter informatiu i orientatiu. No constitueix assessorament professional. Consulteu amb un especialista abans de prendre decisions. Els preus i disponibilitat esmentats poden variar.

AUDITORIA GRATUITA

Auditoria Exprés de Ciberseguretat per a PIMEs

10 preguntes clau per avaluar el nivell de protecció de la teva empresa + puntuació amb semàfor de risc + recomanacions. PDF de 2 pàgines, gratis.

Descarregar l'auditoria gratuita →
Avis important: CiberPIME publica contingut educatiu sobre ciberseguretat. No oferim serveis professionals de seguretat informatica ni assessorament personalitzat. Per a decisions critiques de seguretat, consulteu un professional certificat.

Articles relacionats

Seguretat del Correu Electrònic Empresarial: SPF, DKIM i DMARC

Gestor de contrasenyes per a empreses: comparativa i guia pràctica …

Gestors de contrasenyes per a PIMEs 2026: 1Password, Bitwarden, LastPass, Dashlane, Keeper i …

Seguretat del Correu Electrònic Empresarial: SPF, DKIM i DMARC

Antivirus per a empreses: comparativa i guia d'eleccio 2026

Comparativa antivirus per a PIMEs 2026: Bitdefender, ESET, Kaspersky, Norton, Defender i Sophos. …

Seguretat del Correu Electrònic Empresarial: SPF, DKIM i DMARC

Phishing: Com Identificar Correus Fraudulents i Protegir la teva …

Aprèn a detectar atacs de phishing a la teva empresa: senyals d'alerta, tipus de phishing més comuns …