¿Qué es DMARC? Guía de políticas, registros e informes
Descubre qué es DMARC, cómo combina SPF y DKIM para proteger tu dominio, qué hacen las políticas none/quarantine/reject, y cómo publicar un registro DMARC e interpretar sus informes.
DMARC, abreviatura de Domain-based Message Authentication, Reporting, and Conformance, es el estándar de autenticación de email que se sitúa por encima de SPF y DKIM, protegiendo tu dominio de mensajes suplantados y ataques de phishing.
SPF y DKIM realizan la verificación propiamente dicha; el papel de DMARC es distinto. Define qué debe ocurrir con los mensajes que no superan esas comprobaciones, y te entrega informes continuos para que puedas ver exactamente cómo se está usando tu dominio.
Cómo funciona DMARC
Piensa en DMARC como la capa de aplicación y visibilidad construida sobre SPF y DKIM. El flujo funciona así:
1. Autenticación del email
Al llegar, el servidor receptor evalúa el mensaje frente a SPF y DKIM. DMARC solo puede superarse si al menos una de esas dos comprobaciones tiene éxito.
2. Comprobación de alineación
A continuación llega la "alineación de identificadores": el servidor comprueba que el dominio mostrado en la cabecera visible "From" coincide con el dominio que realmente superó SPF o DKIM.
3. Aplicación de la política
Cuando tanto la autenticación como la alineación tienen éxito, el mensaje se entrega con normalidad. Cuando no es así, el receptor aplica la política que hayas publicado: none (solo observar), quarantine (desviar a spam) o reject (rechazar la entrega).
4. Informes
Los proveedores de buzones de correo participantes te envían por email resúmenes diarios que cubren todos los mensajes que indicaron tu dominio como remitente, junto con el resultado de autenticación de cada uno.
DMARC requiere SPF o DKIM
DMARC no tiene mecanismo de autenticación propio: depende por completo de que SPF y/o DKIM estén implementados. Su aportación es la aplicación de políticas y los informes que construye sobre ellos.
Sintaxis de un registro DMARC
Publicas DMARC como un registro TXT en _dmarc.yourdomain.com. Un registro típico tiene este aspecto:
_dmarc.yourdomain.com IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com; ruf=mailto:forensic@yourdomain.com; pct=100; adkim=r; aspf=r"
# Breaking down the components:
# v=DMARC1 -> DMARC version
# p=quarantine -> Policy (none, quarantine, or reject)
# rua=mailto:dmarc@yourdomain.com -> Aggregate report email
# ruf=mailto:forensic@yourdomain.com -> Forensic report email
# pct=100 -> Percentage of mail to apply policy (100%)
# adkim=r -> DKIM alignment mode (r=relaxed, s=strict)
# aspf=r -> SPF alignment mode (r=relaxed, s=strict)Etiquetas de política DMARC
| Etiqueta | Descripción | Obligatorio |
|---|---|---|
| v | Versión del protocolo (siempre DMARC1) | Sí |
| p | Política de aplicación: none, quarantine o reject | Sí |
| rua | Dónde se entregan los informes agregados | Recomendado |
| ruf | Dónde se entregan los informes forenses | Opcional |
| pct | Porcentaje de correo al que se aplica la política (0-100) | Opcional |
| sp | Política independiente para subdominios | Opcional |
| adkim | Modo de alineación DKIM: r (relaxed) o s (strict) | Opcional |
| aspf | Modo de alineación SPF: r (relaxed) o s (strict) | Opcional |
Entender las políticas de DMARC
Existen tres niveles de política, y el enfoque más seguro es avanzar por ellos en orden:
p=none (modo de monitorización)
Los mensajes que fallan se entregan con normalidad: no se bloquea nada. Este modo existe únicamente para recopilar datos de los informes, lo que lo convierte en el punto de partida adecuado mientras auditas tu autenticación.
v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.comIdeal para: primeras implementaciones, recopilación de datos, validar tu configuración
p=quarantine (poner en cuarentena el correo fallido)
Los mensajes que fallan la autenticación se desvían a las carpetas de spam o correo no deseado de los destinatarios. Es un paso intermedio sensato: tu dominio gana protección real con un riesgo limitado para la entrega legítima.
v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com; pct=100Ideal para: cuando la monitorización muestra que tu correo legítimo se autentica de forma fiable
p=reject (bloquear el correo fallido)
Los mensajes que fallan se rechazan directamente y nunca se entregan. Nada protege tu dominio de forma más completa, pero exige una configuración de autenticación impecable en todos tus flujos de correo.
v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain.com; pct=100Ideal para: configuraciones consolidadas en las que todos los remitentes se autentican correctamente
Implementación progresiva
Empieza siempre el despliegue con p=none y observa durante un mínimo de 2 a 4 semanas. Revisa los informes, resuelve cualquier carencia de autenticación y solo entonces sube a p=quarantine y, finalmente, a p=reject.
Cómo configurar DMARC
Asegúrate de que SPF y DKIM funcionan
Como DMARC depende de SPF o DKIM (idealmente de ambos), confirma que esos registros están publicados y se superan correctamente antes de continuar.
Crea un buzón para los informes
Crea una dirección dedicada, como dmarc@yourdomain.com, para recopilar los informes: llegan a diario y pueden acumularse rápidamente, así que mantenlos fuera de tu bandeja de entrada personal.
Crea tu registro DMARC
Empieza en modo de observación:
v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com; pct=100Añádelo al DNS
Publícalo como un registro TXT bajo _dmarc.yourdomain.com
Supervisa los informes
Dedica de 2 a 4 semanas a revisar los informes que recibas. Busca fallos de autenticación y señala cualquier origen de envío legítimo al que todavía le falte configurar SPF o DKIM.
Aumenta la política de forma gradual
Cuando los datos se vean limpios, cambia a p=quarantine, vuelve a observar los informes y termina con p=reject si quieres la máxima protección.