Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de 90 días de Defender para Office 365 en el Centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y probar los términos en Probar Microsoft Defender para Office 365.
La autenticación por correo electrónico y los registros DNS correspondientes ayudan a proteger su organización contra suplantación de identidad, suplantación de identidad (phishing) y correo no deseado. Para obtener información general sobre la autenticación por correo electrónico, consulte Autenticación por correo electrónico en Microsoft 365. Cuando se produce un error en la autenticación, los mensajes legítimos se pueden poner en cuarentena, rechazar o enrutar a la carpeta Correo no deseado. Use las tablas de solución de problemas de referencia rápida para identificar síntomas y causas comunes, seguidas de instrucciones detalladas para cada escenario de error.
Tablas de solución de problemas de referencia rápida
Use las tablas de las secciones siguientes para identificar rápidamente el síntoma, la causa probable y el vínculo a las instrucciones detalladas pertinentes.
Errores de SPF
Para solucionar problemas de errores del Marco de directivas de remitente (SPF), use la información de la tabla siguiente:
| Síntoma | Causa probable | Instrucciones detalladas |
|---|---|---|
Devuelve none la comprobación de SPF (no se encontró ningún registro) |
No se publica ningún registro TXT de SPF para el dominio de envío en DNS. | Configuración de SPF para identificar orígenes de correo electrónico válidos |
Devoluciones de comprobación de SPF permerror |
El registro SPF supera el límite de búsqueda de 10 DNS o existen varios registros SPF para el mismo dominio. | Configuración de SPF: solución de problemas |
Devoluciones de comprobación de SPF temperror |
Se produjo un error de DNS temporal al consultar el registro SPF (el servidor DNS autoritativo era inaccesible o se agotó el tiempo de espera). | Configuración de SPF: solución de problemas |
La comprobación de SPF devuelve softfail o fail |
La dirección IP de envío no se incluye en el registro SPF del dominio. Este resultado es común después de agregar un nuevo servicio de correo electrónico o retransmisión que no sea de Microsoft. | Configuración de SPF para identificar orígenes de correo electrónico válidos |
| SPF pasa, pero el correo sigue marcado como correo no deseado | SPF por sí solo no impide la suplantación de identidad. DKIM y DMARC también son necesarios. La autenticación compuesta podría seguir produciendo un error. | Cómo funcionan conjuntamente SPF, DKIM y DMARC |
| Error de SPF en los mensajes reenviados | La dirección IP del servidor de reenvío no está en el registro SPF del remitente original. Este comportamiento es normal. | Configuración de selladores arc de confianza |
Errores de DKIM
Para solucionar problemas de errores de Correo identificado por DomainKeys (DKIM), use la información de la tabla siguiente:
| Síntoma | Causa probable | Instrucciones detalladas |
|---|---|---|
dkim=none (no se encontró ninguna firma) |
La firma DKIM no está configurada para el dominio de envío o el mensaje no se firmó. | Configuración de DKIM para firmar correo desde el dominio |
dkim=fail (Error en la comprobación de la firma) |
La clave pública DKIM en DNS no coincide con la clave privada usada para firmar el mensaje o falta el registro del selector. | Configuración de DKIM para firmar correo desde el dominio |
dkim=fail (el hash del cuerpo no se ha comprobado) |
El cuerpo del mensaje se modificó después de la firma (por ejemplo, mediante una lista de correo, una regla de transporte o un servicio intermedio). | Configuración de selladores de la cadena de recepción autenticada (ARC) de confianza |
| Tiempo de espera de búsqueda de claves DKIM | El registro TXT de DKIM es demasiado grande o el servidor DNS autoritativo es lento para responder, lo que provoca tiempos de espera de búsqueda. | Configuración de DKIM para firmar correo desde el dominio |
| La alternancia DKIM no funciona en el portal de Defender | Los registros de nombre canónico (CNAME) necesarios no se crean en el registrador de dominios o la propagación de DNS no está completa. | Solución de problemas de configuración de DNS de DKIM |
Errores de DMARC
Para solucionar problemas de errores de autenticación de mensajes basados en dominio, informes y conformidad (DMARC), use la información de la tabla siguiente:
| Síntoma | Causa probable | Instrucciones detalladas |
|---|---|---|
dmarc=fail action=quarantine o dmarc=fail action=oreject |
SPF y DKIM no pasaron con alineación al dominio De dirección. La directiva DMARC del remitente especifica la cuarentena o el rechazo. | Configuración de DMARC para el dominio |
dmarc=bestguesspass |
No existe ningún registro DMARC para el dominio del remitente. Microsoft 365 inferió un pase mediante heurística. | Autenticación compuesta |
| Se produce un error en DMARC debido a un desalineamiento del dominio | El dominio MAIL FROM (remitente del sobre) difiere del dominio de dirección Desde (encabezado) y SPF o DKIM no se alinea con el dominio From. | Cómo funcionan conjuntamente SPF, DKIM y DMARC |
| Correo reenviado legítimo rechazado por DMARC | El reenvío interrumpe la alineación de SPF y, si DKIM también produce un error (se modifica el cuerpo), DMARC produce un error. El sellado de ARC no está configurado. | Configuración de selladores arc de confianza |
| Los informes de DMARC muestran errores inesperados | Los servicios que no son de Microsoft que envían en nombre de su dominio no se incluyen en el registro SPF o no firman DKIM con el dominio. | Configuración de SPF y configuración de DKIM |
Errores de autenticación compuesta
Para solucionar problemas de errores de autenticación compuesta (compauth), use la información de la tabla siguiente:
| Síntoma | Causa probable | Instrucciones detalladas |
|---|---|---|
compauth=fail con la razón 000 |
Error en la autenticación explícita del mensaje. Error en la comprobación de DMARC y la directiva de DMARC es p=quarantine o p=reject. |
Encabezado del mensaje Authentication-Results |
compauth=fail con la razón 001 |
Error en la autenticación implícita del mensaje. El dominio de envío no tiene registros de autenticación de correo electrónico o tiene una directiva de error débil (~all o ?all). |
Encabezado del mensaje Authentication-Results |
compauth=fail con la razón 002 |
Se impide explícitamente que un par de remitentes y dominios envíe correo electrónico suplantado en la organización. | Información de inteligencia sobre suplantación de identidad |
compauth=fail con la razón 010 |
El mensaje produjo un error en DMARC con la directiva del remitente establecida para rechazar o poner en cuarentena, y el dominio de envío es uno de los dominios aceptados de la organización. | Configuración de suplantación de identidad en directivas contra suplantación de identidad |
NDR para errores de autenticación por correo electrónico
Use la información de la tabla siguiente para solucionar problemas de informes de no entrega (también conocidos como NDR o mensajes de devolución) relacionados con errores de autenticación por correo electrónico.
| Síntoma | Causa probable | Instrucciones detalladas |
|---|---|---|
NDR con código de error 550 5.7.23 |
Falta el registro SPF del dominio de envío o está mal configurado, lo que hace que el servidor de destino rechace el mensaje. | Corrección del error NDR "550 5.7.23" |
NDR con código de error 5.7.367 |
Los mensajes reenviados o retransmitidos desde Microsoft 365 se rechazan porque DKIM/SPF produce un error después de la retransmisión a través de una puerta de enlace que no es de Microsoft. | Corrección del código de error 5.7.367 en Exchange Online |
NDR con código de error 550 5.7.1 |
El mensaje se rechazó como no autorizado. Entre las causas comunes se incluyen un registro SPF incompleto, una configuración incorrecta del conector o las directivas de seguridad del servidor de destino. | Corrección del error NDR "550 5.7.1" |
Solución de problemas detallada por protocolo
Solución de problemas de SPF
SPF valida que el servidor de correo de envío está autorizado para enviar en nombre del dominio en la dirección MAIL FROM (remitente del sobre). Entre los problemas comunes se incluyen:
-
Varios registros SPF para el mismo dominio: solo se permite un registro TXT de SPF por dominio o subdominio. Varios registros provocan SPF
permerror. -
Superando el límite de búsqueda de 10 DNS: cada
includeuno de los mecanismos ,a,mxptr, yredirectcuenta como una búsqueda DNS. Para reducir las búsquedas, aplane el registro SPF o useip4/ip6mecanismos. - Remitentes autorizados que faltan: al agregar un nuevo servicio de correo electrónico (por ejemplo, una plataforma de administración de relaciones con clientes (CRM) o una herramienta de marketing), agregue su inclusión de SPF al registro.
- TTL demasiado bajo: establezca el TTL para el registro TXT de SPF en al menos 3600 segundos (una hora) para evitar tiempos de espera de búsqueda dns.
Sugerencia
Use el Analizador de conectividad remota de Microsoft para validar el registro SPF.
Para obtener instrucciones de configuración y solución de problemas completas, consulte Configuración de SPF para identificar orígenes de correo electrónico válidos para el dominio de Microsoft 365.
Solución de problemas de DKIM
DKIM usa una firma criptográfica en el encabezado del mensaje para comprobar que el mensaje no se ha alterado en tránsito. Entre los problemas comunes se incluyen:
- Registros CNAME no publicados: después de habilitar DKIM en el portal de Defender, cree dos registros CNAME en el registrador de dominios. Para ver errores comunes y ejemplos específicos del proveedor, consulte Solución de problemas de configuración de DNS DKIM.
- Error de hash del cuerpo después de la modificación: los servicios intermedios (por ejemplo, listas de correo o reglas de transporte) que modifican el cuerpo del mensaje después de la firma DKIM provocan un error de DKIM. Considere la posibilidad de configurar el intermediario como sellador de ARC de confianza.
-
Rotación de claves: gire las claves de firma DKIM con regularidad. Use el
Rotate-DkimSigningConfigcmdlet en Exchange Online PowerShell.
Para obtener instrucciones de configuración completas, consulte Configuración de DKIM para firmar correo desde el dominio de Microsoft 365.
Solución de problemas de DMARC
DMARC se basa en SPF y DKIM para comprobar la alineación del dominio con la dirección From. Entre los problemas comunes se incluyen:
- Desalineación de dominio: DMARC requiere que SPF o DKIM pasen y el dominio autenticado se alinee con el dominio De dirección.
- DMARC no compatible con servicios que no son de Microsoft: agregue el servicio al registro SPF o configure el servicio para que firme DKIM con su dominio (preferido). Si esas opciones no son posibles, use un subdominio para ese servicio con un registro DMARC independiente.
- Escenarios de reenvío: los mensajes reenviados suelen producir un error en DMARC porque el reenvío interrumpe SPF. Configure el filtrado mejorado para conectores o selladores arc de confianza para conservar los resultados de la autenticación.
Para obtener instrucciones de configuración completas, consulte Configuración de DMARC para validar el dominio De dirección.
Escenarios de error combinados
Cuando varios protocolos de autenticación de correo electrónico fallan simultáneamente, la solución de problemas requiere un enfoque sistemático. Use los siguientes escenarios para diagnosticar y resolver errores combinados.
Error de SPF y DKIM
Encabezado de ejemplo:
Authentication-Results: spf=fail smtp.mailfrom=contoso.com;
dkim=fail header.d=contoso.com; dmarc=fail action=quarantine;
compauth=fail reason=000
Análisis: se produjo un error en la autenticación SPF y DKIM, por lo que DMARC no puede pasar (DMARC necesita al menos un pase alineado). Es probable que el mensaje se ponga en cuarentena o se rechace.
Pasos para la solución de problemas:
- Identifique la dirección IP de envío en los encabezados de mensaje o mediante
Get-MessageTrace. - Compruebe que la dirección IP de envío está incluida en el registro SPF del dominio.
- Compruebe que la firma DKIM está habilitada y que existen los registros CNAME dns de DKIM.
- Compruebe si una puerta de enlace de correo electrónico está modificando mensajes (lo que interrumpe DKIM) o enviando desde una dirección IP que no está en el registro SPF.
Corregir prioridad:
- Corrija primero SPF (solo cambio de DNS; corrección más rápida). Consulte Configuración de SPF.
- Corrija DKIM en segundo lugar (podría necesitar cambios de Microsoft 365 y DNS). Consulte Configuración de DKIM.
- Compruebe la alineación de DMARC. Consulte Configuración de DMARC.
- Si hay una puerta de enlace implicada, implemente ARC.
SPF pasa, pero DMARC falla debido a la alineación
Encabezado de ejemplo:
Authentication-Results: spf=pass smtp.mailfrom=service.contoso.com;
dkim=fail header.d=contoso.com;
dmarc=fail (SPF not aligned);
compauth=fail reason=001
Análisis: SPF pasa, pero el dominio SPF no se alinea con el dominio De dirección. DKIM también produce un error. DMARC necesita al menos un pase alineado, por lo que se produce un error.
Causa común: escenario de reenvío o retransmisión en el que el dominio de remitente del sobre difiere del dominio de dirección desde.
Corrección: Habilite la firma DKIM para el dominio De dirección. La alineación DKIM proporciona el pase alineado que DMARC necesita.
Conéctese a Exchange Online PowerShell y ejecute el siguiente comando:
Set-DkimSigningConfig -Identity contoso.com -Enabled $true
Mensajes de modificación de puerta de enlace o retransmisión
Encabezado de ejemplo:
Authentication-Results: spf=pass smtp.mailfrom=gateway.fabrikam.com;
dkim=fail (body hash did not verify) header.d=contoso.com;
dmarc=fail (no aligned pass)
Análisis: el mensaje pasado a través de una puerta de enlace o un servicio de seguridad que modificó el cuerpo del mensaje (por ejemplo, agregando un aviso de declinación de responsabilidades o un aviso de examen). La modificación invalidó la firma DKIM. SPF pasa para el dominio de puerta de enlace, pero no se alinea con el dominio Desde.
Opciones de corrección (en orden de prioridad):
- Configuración de ARC en la puerta de enlace (recomendado): ARC conserva los resultados de autenticación mediante la modificación de mensajes. Consulte Configuración de selladores de ARC de confianza.
- Configuración de la puerta de enlace a DKIM-sign después de la modificación: la puerta de enlace agrega su propia firma DKIM válida con el dominio después de los cambios de contenido.
- Agregar la puerta de enlace al filtrado mejorado para conectores: conserva la dirección IP de envío original para la evaluación de autenticación. Consulte Filtrado mejorado para conectores.
El reenvío interrumpe la autenticación
Encabezado de ejemplo:
Authentication-Results: spf=fail (sender IP is 10.0.1.x)
smtp.mailfrom=woodgrovebank.com;
dkim=pass header.d=woodgrovebank.com;
dmarc=fail (SPF failed, DKIM not aligned)
Análisis: un mensaje reenviado produce un error SPF porque la dirección IP del servidor de reenvío no está en el registro SPF del remitente original. DKIM podría pasar si el mensaje no se modificó, pero la alineación con el dominio From podría seguir produciendo un error.
Corrección: Configurar selladores arc de confianza. Microsoft 365 ya confía en los sellos arc de los principales proveedores (por ejemplo, Google y Yahoo). Si todavía se produce un error en la autenticación después de que ARC esté en vigor, revise la configuración de la directiva de anti phishing.
Escenarios comunes del mundo real
Enviar en nombre de en Outlook
Lo que el usuario ve:
From: [email protected] on behalf of [email protected]
Causa principal: SPF softfail o fail porque la dirección IP de envío no está autorizada en el registro SPF.
Corrección: Agregue la dirección IP o el servicio de envío al registro SPF:
v=spf1 ip4:<sending-IP> include:spf.protection.outlook.com ~all
Se produce un error en la automatización de marketing de DMARC
Encabezado de ejemplo:
Authentication-Results: spf=pass smtp.mailfrom=northwindtraders.com;
dkim=pass header.d=northwindtraders.com;
dmarc=fail (no aligned pass) header.from=contoso.com
Causa principal: el servicio de marketing (por ejemplo, Marketo o HubSpot) envía desde su propia infraestructura. SPF y DKIM pasan para el dominio de servicio, pero ninguno se alinea con el dominio de dirección From (contoso.com).
Opciones de corrección:
- Configure el servicio en DKIM-sign con su dominio (preferido).
- Agregue la inclusión de SPF del servicio al registro SPF del dominio (proporciona el pase SPF alineado).
-
Use un subdominio para el correo de marketing (por ejemplo,
marketing.contoso.com):- Configure SPF y DKIM para el subdominio en el servicio.
- Establezca una alineación relajada en el registro DMARC:
aspf=r; adkim=r. - Agregue una directiva de subdominio a DMARC:
v=DMARC1; p=quarantine; sp=none; rua=mailto:[email protected].
La puerta de enlace de seguridad de correo electrónico en la nube interrumpe la autenticación
Encabezado de ejemplo:
Authentication-Results: spf=pass smtp.mailfrom=tailspintoys.com;
dkim=fail (body hash did not verify) header.d=contoso.com;
dmarc=fail
Causa principal: un servicio de seguridad de correo electrónico que no es de Microsoft (por ejemplo, Proofpoint o Mimecast) modifica el mensaje, lo que interrumpe DKIM. El SPF de la puerta de enlace pasa para su propio dominio, pero no se alinea con el dominio Desde.
Opciones de corrección (en orden de prioridad):
- Configure la puerta de enlace para ARC (recomendado; requiere compatibilidad con la puerta de enlace).
- Configure el filtrado mejorado para conectores para omitir la dirección IP de la puerta de enlace en la evaluación de la autenticación. Consulte Filtrado mejorado para conectores.
- Configure la puerta de enlace para conservar o volver a firmar DKIM después del procesamiento.
Mensajes de correo electrónico de dominio de asociados en cuarentena a pesar de la autenticación válida
Encabezado de ejemplo:
Authentication-Results: spf=pass smtp.mailfrom=wingtiptoys.com;
dkim=pass header.d=wingtiptoys.com;
dmarc=pass header.from=wingtiptoys.com;
compauth=fail reason=001
Causa principal: se pasa toda la autenticación estándar, pero la autenticación compuesta de Microsoft sigue generando errores. Es probable que la inteligencia de suplantación de identidad marque el dominio del asociado debido a problemas de confianza entre inquilinos.
Corrección: Agregue el dominio de asociado a la lista de permitidos de suplantación de identidad mediante la lista de permitidos o bloqueados de inquilinos. Conéctese a Exchange Online PowerShell y ejecute el siguiente comando:
New-TenantAllowBlockListSpoofItems -SpoofedUser "*@wingtiptoys.com" -SendingInfrastructure wingtiptoys.com -SpoofType External -Action Allow
Matriz de decisión
Use la tabla siguiente para identificar rápidamente la acción necesaria en función del estado de autenticación:
| Estado de autenticación | SPF | DKIM | DMARC | Acción necesaria |
|---|---|---|---|---|
| Todos los pases | pass | pass | pass | No se necesita ninguna acción. |
| SPF solo produce un error | fail | pass | pass | Corrija el registro SPF. Agregue la dirección IP de envío o incluya. |
| DKIM solo produce un error | pass | fail | pass | Habilite DKIM y agregue registros DNS. |
| Se produce un error en DMARC (alineación) | pass | pass | fail | Corregir la alineación del dominio (el dominio SPF o DKIM debe coincidir con desde el dominio). |
| Error de SPF + DKIM | fail | fail | fail | Corrija SPF y DKIM con urgencia. |
| Sin autenticación | ninguno | ninguno | ninguno | Configure los tres protocolos. |
| Problema de puerta de enlace | Varía | fail | fail | Implemente ARC o corrija la configuración de la puerta de enlace. |
Herramientas de diagnóstico
Use las siguientes herramientas para diagnosticar problemas de autenticación por correo electrónico:
| Herramienta | Objetivo |
|---|---|
| Analizador de encabezados de mensaje | Analice los resultados de la autenticación de los encabezados de mensaje (SPF, DKIM, DMARC, autenticación compuesta). Disponible en https://mha.azurewebsites.net/. |
| Analizador de conectividad remota de Microsoft | Pruebe la configuración de SPF, DKIM y DMARC para el dominio. Disponible en https://testconnectivity.microsoft.com. |
| Seguimiento de mensajes | Realice un seguimiento de la entrega de mensajes y vea los resultados de la autenticación en el Centro de administración de Exchange (EAC). Para obtener más información, vea Seguimiento de mensajes en el EAC moderno. |
| Información de inteligencia sobre suplantación de identidad | Ver remitentes que suplantan el dominio y permitirlos o bloquearlos. Para obtener más información, consulte Información de inteligencia sobre suplantación de identidad. |
Leer los resultados de autenticación en encabezados de mensaje
Para diagnosticar errores de autenticación, examine el Authentication-Results encabezado en el mensaje afectado. Para obtener una descripción completa de todos los campos y códigos de motivo, consulte Encabezado del mensaje Authentication-Results.
Encabezado de ejemplo
Authentication-Results: spf=fail (sender IP is 192.168.50.50)
smtp.mailfrom=contoso.com; dkim=pass (signature was verified)
header.d=contoso.com; dmarc=fail action=quarantine
header.from=contoso.com; compauth=fail reason=000
Campos clave
| Campo | Posibles valores | Significado |
|---|---|---|
spf |
pass, fail, softfail, neutral, none, temperror, permerror |
Si se ha pasado la validación de SPF para la dirección IP de envío. |
dkim |
pass, fail, none |
Si la comprobación de la firma DKIM se realizó correctamente. |
dmarc |
pass, fail, bestguesspass, none |
Si se ha superado la validación de DMARC (requiere que SPF o DKIM pasen con alineación). |
compauth |
pass, fail, softpass, none |
Si el mensaje pasó la comprobación de autenticación compuesta de Microsoft (combina SPF, DKIM y otras señales). |
reason |
000, 001, 002, 010, etc. |
Código de motivo para el resultado de la autenticación compuesta. |