DMARC (autenticación, informes y conformidad de mensajes basados en dominio) es un protocolo de autenticación de correo electrónico que ayuda a los ISP a verificar la identidad del remitente y evita la suplantación de dominio.

¿Con qué frecuencia debo revisar mi registro DMARC?

Verifique su registro DMARC cada vez que cambie sus proveedores de envío de correo electrónico o desee verificar que sus políticas de autenticación actuales estén publicadas correctamente.

¿Cuál es la diferencia entre la política principal y la política de subdominio?

La política principal se aplica a su dominio raíz, mientras que la política de subdominio se aplica a subdominios como 'mail.example.com'. Puede establecer políticas diferentes para cada uno.

¿Debería utilizar "ninguno", "cuarentena" o "rechazar"?

Comience con "ninguno" para monitorear los resultados, pase a "cuarentena" para una aplicación moderada y use "rechazar" solo cuando esté seguro de su configuración de SPF y DKIM.

Comprueba tu registro DMARC

Verifica tu registro DNS DMARC (Domain-based Message Authentication) gratis. Protege tu dominio de usos no autorizados.

¿Qué es DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) está definido en el RFC 7489. Se construye sobre SPF y DKIM añadiendo dos capacidades clave: una política que indica a los receptores cómo manejar el correo no autenticado (monitorear, poner en cuarentena o rechazar) y un mecanismo de notificación que le envía informes XML sobre quién envía correo desde su dominio y si supera la autenticación.

Fundamentalmente, DMARC añade el concepto de **alineación**: el dominio en el encabezado "From" visible del correo debe coincidir con el dominio autenticado por SPF o DKIM. Esto evita que los atacantes superen SPF/DKIM en un dominio diferente mientras suplantan su dominio en el encabezado From.

¿Por qué necesita DMARC?

1Protección del encabezado From

SPF y DKIM por sí solos no protegen la dirección From visible — DMARC cierra esa brecha con la alineación.

2Política de cumplimiento

Usted decide qué sucede con el correo que falla: monitorearlo, enviarlo a spam o rechazarlo por completo.

3Informes agregados

Los informes diarios XML (RUA) muestran cada IP que envía correo con su dominio y sus tasas de éxito/fallo.

4Informes forenses

Los informes de fallos (RUF) envían una copia editada de mensajes individuales que fallan para su investigación.

5Requerido por Google/Yahoo

Desde febrero de 2024, los remitentes masivos deben tener DMARC al menos en p=none para llegar a las bandejas de entrada de Gmail/Yahoo.

6Protección de marca

Evita que los correos de phishing que suplantan su marca lleguen a sus clientes.

Cómo funciona DMARC — paso a paso

Usted publica un registro DMARC TXT en `_dmarc.sudominio.com` especificando su política y direcciones de informes.

Llega un mensaje al servidor receptor. Este realiza las comprobaciones de SPF y DKIM de forma independiente.

Se comprueba la alineación DMARC: ¿coincide el dominio autenticado (de SPF o DKIM) con el dominio del encabezado From?

Si pasa SPF+alineación O DKIM+alineación, el mensaje supera DMARC.

Si ambos fallan, el receptor aplica su política: none (entregar), quarantine (carpeta de spam) o reject (rebotar).

El receptor recopila los datos de autenticación de su dominio y envía informes agregados (RUA) o forenses (RUF) a las direcciones especificadas.

Sintaxis del registro DMARC

Registro DNS TXT en _dmarc.sudominio.com

v=DMARC1; p=quarantine; pct=100; sp=reject;
            rua=mailto:dmarc-reports@sudominio.com;
            ruf=mailto:dmarc-failures@sudominio.com;
            adkim=s; aspf=s; fo=1

Referencia de etiquetas

v=DMARC1— versión, obligatoria

p=— política para el dominio

sp=— política para subdominios

pct=— % de correos fallidos a los que se aplica la política

rua=— destinatarios de informes agregados (mailto:)

ruf=— destinatarios de informes forenses (mailto:)

adkim=— alineación DKIM: r=relaxed, s=strict

aspf=— alineación SPF: r=relaxed, s=strict

fo=— opciones de informes de fallos (0, 1, d, s)

ri=— intervalo de informe en segundos (por defecto 86400)

Las tres políticas DMARC

p=none

Solo monitoreo. El correo fallido se entrega normalmente. Úselo al principio para recopilar informes antes de aplicar restricciones.

p=quarantine

El correo fallido va a la carpeta de spam/correo no deseado. Un paso intermedio antes del rechazo total.

p=reject

El correo fallido se rechaza a nivel SMTP y nunca se entrega. La protección más fuerte.

Alineación DMARC explicada

Alineación relajada (predeterminada)

El dominio autenticado puede ser un padre organizacional. Ej: mail.sudominio.com es válido para sudominio.com

Alineación estricta

El dominio autenticado debe coincidir exactamente con el dominio del From. mail.sudominio.com NO es válido para sudominio.com

Errores comunes de DMARC y soluciones

Fallo de alineación SPF

El dominio del sobre (return-path) no coincide con el From del encabezado — común en proveedores de servicios de correo (ESP) que usan su propio return-path.

Fallo de alineación DKIM

El dominio d= en la firma DKIM no coincide con el dominio From visible — configure su ESP para firmar con su propio dominio.

Falta la dirección RUA

Sin rua= no obtendrá informes ni visibilidad — incluya siempre al menos una dirección para informes.

Subdominios no cubiertos

Añada sp=reject para extender su política a los subdominios o publique registros DMARC individuales por subdominio.

Preguntas frecuentes

Preguntas Frecuentes

DMARC es un protocolo de autenticación de correo que trabaja junto a SPF y DKIM. Da instrucciones a los servidores receptores sobre cómo manejar correos que fallan la autenticación, evitando que terceros suplanten su dominio.

Verifica que su registro esté correctamente publicado en el DNS. Al tener una política activa (como p=reject), señala a proveedores como Google que sus correos son legítimos, reduciendo el riesgo de ser marcado como spam.

'Quarantine' envía los correos fallidos a la carpeta de spam. 'Reject' es más seguro, ya que indica al servidor que rechace el correo por completo, asegurando que nunca llegue al destinatario.

Ocurre cuando el dominio en el encabezado 'De' coincide con el validado por SPF o DKIM. Sin alineación, incluso un SPF válido puede resultar en fallo de DMARC.

Revise que su etiqueta 'rua' tenga un URI mailto: válido. Asegúrese también de que el DNS haya propagado y que la dirección de destino acepte informes externos.

Depende del TTL de su DNS. Puede tardar desde unos minutos hasta 48 horas para la propagación global.