La autenticación de tu cold email vive en el DNS, y NIST acaba de reescribir sus reglas de seguridad

Resumen rápido
SPF, DKIM y DMARC viven en el DNS. La nueva guía NIST SP 800-81r3 recuerda que, si tu DNS no es seguro, tu autenticación de correo se apoya en terreno inestable: un registro DNS abandonado puede usarse para enviar correo falsificado que supera tus propios controles.
SPF, DKIM y DMARC, los tres protocolos que deciden si tu cold email entra en la bandeja, no son archivos que vivan en tu plataforma de envío: son registros que viven en el DNS de tu dominio. NIST, el organismo de estándares de Estados Unidos, acaba de publicar la primera revisión de su guía de seguridad DNS en más de una década, y el mensaje de fondo afecta directamente a cualquiera que haga outbound: tu autenticación de correo solo es tan fiable como el DNS que la sostiene.
Qué ha pasado
El NIST (National Institute of Standards and Technology) ha publicado la versión definitiva de la SP 800-81r3, su Secure Domain Name System (DNS) Deployment Guide. Es la primera actualización de esta guía desde 2013, más de doce años de configuraciones de seguridad DNS que apenas se habían tocado a nivel federal. La revisión recoge cómo ha cambiado el panorama: DNS cifrado (DoT, DoH y DoQ), el concepto de Protective DNS como capa activa de seguridad, algoritmos DNSSEC modernos y una mirada mucho más estricta a la higiene de la zona DNS.
Para DNSSEC, la guía empuja a abandonar los algoritmos RSA antiguos en favor de ECDSA (curvas P-256 y P-384) y de curvas Edwards como Ed25519 y Ed448. También aprieta la operativa: ventanas de validez de firma de cinco a siete días en lugar de semanas, rotación de claves cada uno a tres años y almacenamiento de las claves privadas en módulos de hardware seguro (HSM).
Por qué importa para el cold email
Aquí está la conexión que mucha gente que envía outbound pasa por alto. El análisis de la guía lo resume sin rodeos: cada uno de esos protocolos depende de la integridad del DNS para funcionar. SPF declara qué servidores pueden enviar en tu nombre, DKIM publica la clave con la que firmas, DMARC indica qué hacer cuando algo no cuadra. Los tres son registros DNS. Si la base sobre la que se publican no es segura, toda tu autenticación se construye sobre terreno inestable.
El ejemplo más claro es el ataque conocido como SubdoMailing, de febrero de 2024. Atacantes localizaron subdominios abandonados de marcas conocidas, reclamaron los servicios a los que esos subdominios todavía apuntaban y enviaron correo fraudulento desde ellos. Lo inquietante es que ese correo superaba las comprobaciones de SPF y DMARC, incluso con una política p=reject publicada, porque el ataque operaba en la capa del DNS, por debajo de la autenticación. La guía de NIST señala precisamente esto: los registros colgantes (esos CNAME que apuntan a servicios que ya no controlas) y las delegaciones mal configuradas son un riesgo real para cualquier organización.
Para quien hace cold email, la lección es directa. Llevas meses cuidando la reputación de tus dominios de envío, calentando bandejas, vigilando rebotes. Un subdominio olvidado que apunta a una herramienta que dejaste de usar puede convertirse en la grieta por la que alguien envíe spam en tu nombre y arrastre la reputación de todo tu dominio hacia abajo.
Qué significa para tu agencia o equipo de ventas
Nada de esto exige reconstruir tu infraestructura. La SP 800-81r3 es una referencia federal estadounidense, no una obligación legal en España, pero marca por dónde va el sector, igual que las reglas de remitente de Google y Microsoft marcaron el listón de la autenticación. Lo sensato es tratar la guía como un recordatorio para hacer limpieza de DNS antes de tu próxima tanda de envíos.
Tres revisiones concretas valen la pena:
- Audita tus registros SPF, DKIM y DMARC en cada dominio de envío y confirma que están publicados, alineados y firmando de verdad. Esto es la base de la entregabilidad, y lo explicamos en detalle en nuestro artículo sobre los nuevos requisitos de autenticación de Outlook.
- Busca y elimina registros DNS que ya no uses, sobre todo CNAME que apunten a herramientas o servicios que diste de baja. Cada uno es una puerta potencial para un secuestro de subdominio.
- Revisa quién tiene acceso a tu zona DNS y cómo se protege. El acceso a la configuración DNS es, en la práctica, el acceso a tu identidad de remitente.
Esta higiene se suma al trabajo de fondo que ya da resultado en outbound: dominios secundarios dedicados, separados de tu dominio principal, y un calentamiento progresivo de cada bandeja antes de escalar volumen, como contamos en la guía de calentamiento de IP para 2026.
Con el DNS cifrado, según resume Cricket Liu (Infoblox), el servidor de DNS deja de ser una pieza pasiva y se convierte en el punto donde se detecta y se aplica la seguridad.
En resumen
NIST no ha cambiado las reglas del cold email, pero ha vuelto a poner el foco en algo fácil de olvidar: la autenticación que protege tu entregabilidad vive en el DNS, y el DNS también se descuida. La primera actualización de su guía de seguridad DNS en más de una década deja un aviso incómodo: los registros abandonados y las zonas mal protegidas pueden tirar por tierra meses de trabajo de reputación.
Si no tienes claro cómo está configurada la autenticación de tus dominios de envío, o quieres que alguien audite tu infraestructura de cold email antes de la próxima campaña, en RevProcess lo revisamos contigo. Agenda una llamada y le echamos un vistazo.
Preguntas frecuentes
- ¿Qué tiene que ver el DNS con la entregabilidad del cold email?
- SPF, DKIM y DMARC son registros que viven en el DNS de tu dominio. Si el DNS está mal configurado o tiene registros abandonados, esos protocolos de autenticación pierden fiabilidad y un atacante puede aprovecharlos para enviar correo en tu nombre, lo que daña la reputación de envío de la que depende tu cold email.
- ¿Qué es un registro DNS colgante y por qué es un riesgo?
- Un registro colgante (dangling) es una entrada DNS, normalmente un CNAME, que apunta a un servicio que ya no controlas. Un atacante puede reclamar ese servicio y enviar correo desde tu subdominio. El ataque SubdoMailing de 2024 demostró que esos correos pueden superar SPF y DMARC pese a una política p=reject, porque el problema está por debajo de la capa de autenticación.
- ¿Tengo que cambiar algo en mi infraestructura de cold email por la guía NIST?
- La guía es una referencia federal de EE. UU., no una norma obligatoria en España, pero marca la dirección del sector. Lo práctico es auditar tus registros SPF, DKIM y DMARC, eliminar registros DNS que ya no uses y revisar quién tiene acceso a tu zona DNS. Son revisiones de higiene que protegen la entregabilidad de tus campañas.
¿Tu outbound no llega al buzón o no llena la agenda? Lo revisamos contigo.
Agenda una llamadaSigue leyendo
Cold Email30 de junio de 2026· 5 min de lecturaReglamento de IA de la UE y cold email: lo que tienes que hacer antes del 2 de agosto
El Reglamento de IA de la UE entra en vigor el 2 de agosto de 2026. Si usas IA para escribir cold emails a contactos europeos, tienes 33 días para cumplir.
Leer más →
Cold Email28 de junio de 2026· 4 min de lecturaDMARC tiene su primer estándar formal en 11 años: qué cambia con el RFC 9989
El IETF publica el RFC 9989 y convierte DMARC en estándar formal por primera vez desde 2015. Qué tags retirar y qué revisar en tu DNS si envías cold email B2B.
Leer más →
Cold Email26 de junio de 2026· 5 min de lecturaLos buzones ya no miran solo tu reputación, miran tu engagement: el giro que cambia el cold email
Los buzones priorizan las señales de engagement sobre la reputación de IP. Qué significa este giro para la deliverability de tu cold email B2B en 2026.
Leer más →