Cómo proteger un dominio que no envía emails (y por qué deberías hacerlo hoy)

Tienes tres dominios. El principal envía newsletters. Uno redirige al principal. Y el tercero — que compraste hace dos años para una landing que nunca lanzaste — está ahí, aparcado, sin apuntar a nada.

Ese tercero es el problema.

Para un atacante, un dominio que no envía emails es oro puro: puede falsificar el From: y enviar phishing a tus clientes sin que ningún servidor de correo se dé cuenta. Nadie configuró protecciones porque nadie usa el dominio. Y ese vacío — la ausencia de SPF, DKIM y DMARC — es exactamente lo que los motores antispam interpretan como "no hay política, acepta el mensaje".

Según los últimos datos de Global Cyber Alliance, más del 60% de los dominios corporativos secundarios y "parked" no tienen DMARC con política reject. Para startups y SaaS españolas en proceso de cumplir ENS o ISO 27001, esto es un hallazgo inmediato de auditoría.

La buena noticia: arreglarlo son 4 registros DNS y 15 minutos. Y no requiere que lances nada.

Por qué un dominio sin email también necesita protección

Hay tres tipos de dominios que tienes que blindar aunque no envíen un solo correo:

1. Dominios aparcados (parked): los que registraste para una marca, un producto descartado o para proteger tu tipografía (vulnerabbit.net, vulnerabbit.es, etc.).
2. Dominios de redirección: apuntan a tu principal pero conservan DNS propios.
3. Subdominios internos o de marketing: eventos.tudominio.com, old.tudominio.com, entornos de staging expuestos sin saberlo.

Cualquiera de ellos puede ser usado para:

• Phishing contra tu cartera de clientes ("Hola, soy de facturación-tudominio.com").
• Suplantación a proveedores pidiendo cambios de cuenta bancaria desde [email protected].
• BEC (Business Email Compromise) con lookalike domains que se apoyan en un registro legítimo tuyo sin política restrictiva.

En España, el INCIBE publicó en su último informe anual que el BEC creció un 31% interanual. La mayoría de los casos reportados se apoyan en dominios sin protecciones DNS básicas. Es el eslabón más débil y también el más barato de arreglar.

Los 4 registros DNS que necesitas (y sus valores exactos)

El objetivo es simple: cualquier servidor de correo del mundo tiene que saber que este dominio no envía email, que no tiene firma válida, que ningún mensaje debería parecer suyo, y que además no recibe correo tampoco. Cuatro registros:

1. SPF — "Nadie está autorizado a enviar en nombre de este dominio"

Tipo:   TXT
Nombre: @ (el dominio raíz)
Valor:  v=spf1 -all

-all (hard fail) le dice al receptor: "descarta cualquier correo que afirme venir de aquí, porque no hay ningún servidor autorizado". No uses ~all (soft fail) — para un dominio que no envía, la política tiene que ser absoluta.

2. DKIM — "No hay clave pública, así que ninguna firma será válida"

Tipo:   TXT
Nombre: *._domainkey
Valor:  v=DKIM1; p=

El wildcard *._domainkey cubre cualquier selector que un atacante intente inventar. El campo p= vacío significa "clave pública revocada" — cualquier firma DKIM será inválida por definición.

3. DMARC — "Si algo falla SPF o DKIM, recházalo y avísame"

Tipo:   TXT
Nombre: _dmarc
Valor:  v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; rua=mailto:[email protected]

Desglose:

• p=reject: política estricta para el dominio raíz.
• sp=reject: misma política aplicada a subdominios (no lo omitas — este es el error más común).
• adkim=s; aspf=s: alineamiento estricto. Bloquea lookalikes más agresivamente.
• rua=mailto:...: recibes los informes agregados. Útiles para detectar intentos de suplantación.

Usa una dirección de DMARC que sí exista en tu dominio principal — por ejemplo [email protected] si vulnerabbit.com es el dominio activo y vulnerabbit.es es el protegido.

4. Null MX — "Este dominio ni siquiera recibe correo"

Tipo:     MX
Nombre:   @
Prioridad: 0
Valor:    . (un solo punto)

Definido en RFC 7505. Un MX de prioridad 0 apuntando a . le dice a cualquier servidor de correo del planeta: "no hay servidor de recepción, devuelve el mensaje inmediatamente". Evita que tu dominio aparezca como receptor válido en listas de distribución comprometidas.

Orden de despliegue (y cómo no romperte los newsletters)

Si el dominio de verdad no envía correo nunca, puedes poner los cuatro registros a la vez.

Si tienes duda — por ejemplo, un dominio que usas solo para notificaciones automáticas de un servicio viejo — haz esto en dos pasos:

1. Semana 1: despliega DMARC con p=none + rua= para monitorizar. Durante 7–14 días revisa los informes: verás si realmente sale correo legítimo desde algún sitio.
2. Semana 2: si los informes están limpios, endurece a p=reject y añade SPF -all, DKIM p= vacío y Null MX.

Los informes DMARC llegan como XML adjunto. Si no quieres procesarlos a mano, Postmark, Valimail o dmarcian tienen parseadores gratuitos para volúmenes bajos.

Cómo verificar que lo has hecho bien

En línea de comandos:

dig TXT tudominio.com +short                           # SPF
dig TXT _dmarc.tudominio.com +short                    # DMARC
dig TXT default._domainkey.tudominio.com +short        # DKIM wildcard
dig MX  tudominio.com +short                           # Null MX (debe devolver "0 .")

O con MXToolbox si prefieres interfaz gráfica. Herramientas gratuitas como Internet.nl te dan un informe completo con un solo clic.

Si los cuatro registros resuelven correctamente, tu dominio queda blindado frente a suplantación por email — sin afectar absolutamente a nada, porque el dominio no envía ni recibe correo.

El test de cumplimiento: ¿cómo encaja esto en ENS, ISO 27001 o NIS2?

Esto no es "buenas prácticas opcionales". Los tres marcos relevantes en España lo piden explícitamente:

• ENS (Esquema Nacional de Seguridad): control mp.s.8 (protección frente a correo no deseado) y op.ext.3 (medios de comunicación). Un dominio sin DMARC es un hallazgo automático.
• ISO 27001:2022: Anexo A.8.23 (filtrado de contenidos web), A.5.14 (transferencia de información). En una auditoría de certificación, la ausencia de DMARC en dominios corporativos se documenta como no conformidad menor.
• NIS2: el artículo 21 exige "medidas técnicas para garantizar la integridad y autenticidad de las comunicaciones". DMARC entra de lleno.

Si tu empresa está en medio de una certificación, esto es de los puntos de menor coste y mayor retorno documental: un PDF con el output de dig cierra tres controles de un tirón.

Errores frecuentes que vemos en auditorías

En los escaneos que hacemos desde Vulnerabbit, estos son los cuatro fallos más comunes en dominios españoles:

1. DMARC con p=none permanente. Se puso "para monitorizar" en 2023 y nunca se endureció. Es equivalente a no tener DMARC desde el punto de vista del receptor.
2. SPF con ~all en dominios que no envían. Debe ser -all. Soft fail no protege.
3. Falta de sp= en DMARC. El dominio raíz queda cubierto, los subdominios no — y ahí es exactamente donde atacan (factura.tudominio.com).
4. Dominios protegidos olvidados: el equipo de marketing compra un dominio para una campaña, lo apunta a Webflow, no configura DNS de email, y queda expuesto durante meses.

En 15 minutos cierras uno de los huecos más explotados de tu superficie

Este es, sin exagerar, uno de los hallazgos con mejor ROI que vas a encontrar en tu stack. No necesita deploy, no necesita coordinación con desarrollo, no rompe nada si el dominio no envía correo. Solo abres el panel de DNS, añades los cuatro registros, y verificas.

Si tienes más de un dominio — y la mayoría de startups españolas tienen entre 3 y 10 entre marcas, productos descartados y redirecciones — repite el proceso para cada uno. Cada dominio sin proteger es una puerta abierta a suplantación con tu logotipo.

---

Cómo encaja Vulnerabbit aquí

Lo que acabas de leer es el tipo de hallazgo que nuestro escáner detecta de forma automática en cualquier dominio o aplicación que le apuntes. Si quieres ver qué encuentra en tu stack sin configurar nada, lanza un escaneo gratuito — sin registro, sin tarjeta, en minutos. Te incluye el estado de DMARC, SPF y Null MX de todos tus dominios.

Si estás en medio de una implantación mayor (ISO 27001, ENS, migración cloud) y te interesa acompañamiento además de herramienta, escríbenos: seleccionamos un número reducido de engagements al año.

---

¿Qué leer después?

• CIS Benchmarks en AWS y GCP: guía práctica
• ISO 27001 en España: cuánto cuesta realmente certificarse en 2026
• Seguridad Firebase: los errores de configuración más habituales