Ir al contenido principal

Seguridad DMARC: ¿qué es y cómo implementarla?

DMARC es una de las herramientas para proteger el correo electrónico.

Weronika Kapias avatar
Escrito por Weronika Kapias
Actualizado esta semana

¿Qué es DMARC?

DMARC (Domain-based Message Authentication Reporting and Conformance) funciona sobre la base de la información contenida en los registros SPF y DKIM. Sin embargo, a diferencia de estos, DMARC puede especificar al servidor si debe aceptar o no un mensaje.


A continuación se muestra un ejemplo de registro DMARC junto con una explicación de sus elementos individuales:

v=DMARC1;p=reject;rua=mailto:dmarc-raporty@twojadomena.com;ruf=mailto:dmarc-forensic@twojadomena.com

Elementos individuales:

  • «v=DMARC1» es el identificador que busca el servidor receptor para ejecutar la prueba DMARC; especifica la versión del protocolo DMARC.

  • «p=...» indica al servidor qué hacer con los mensajes de correo electrónico que no han superado la prueba DMARC. Hay tres políticas: none (sin restricciones), quarantine (poner en spam) y reject (rechazar).

  • «rua=mailto:...» indica al servidor dónde enviar los informes agregados sobre fallos DMARC.

  • «ruf=mailto:...» se refiere a los informes detallados relacionados con los fallos DMARC. La dirección de correo electrónico debe proceder del dominio para el que se publica el registro DMARC.

Este ejemplo solo contiene algunos elementos (las llamadas etiquetas), los más recomendados, pero puede ser más complejo en función de las necesidades. También se puede incluir el parámetro «rf=...», que especifica el formato del informe de fallo, o «pct=...», que indica qué porcentaje de mensajes que no superan DMARC deben rechazarse.

Puede encontrar más etiquetas y descripciones de su uso aquí: https://mxtoolbox.com/dmarc/details/what-is-a-dmarc-record

De acuerdo con los cambios que introducirán Google y Yahoo a partir de febrero de 2024, cada dominio remitente deberá tener DMARC con al menos la política p=none.

Esta entrada puede tener el siguiente aspecto:

Nombre: _dmarc.tudominio.com

Tipo: TXT

Valor: v=DMARC1; p=none


Configuración recomendada de DMARC

Recomendamos utilizar los siguientes ajustes DMARC:

  • adkim = r - coincidencia DKIM relajada
    Determina la rigurosidad con la que se comprueba la firma DKIM en los mensajes salientes de su dominio. En el modo «relajado» (r), la coincidencia es menos restrictiva; por ejemplo, si un subdominio envía un mensaje, este puede seguir considerándose válido. De este modo, se reduce el riesgo de rechazar correos electrónicos válidos.


  • aspf = r - coincidencia relajada de SPF
    Especifica con qué rigor se comprueba la dirección del remitente en el registro SPF. En el modo «relajado» (r), la coincidencia no tiene que ser idéntica: los mensajes enviados desde subdominios también pueden pasar la verificación. Esto ayuda a evitar bloqueos falsos, especialmente si utilizas diferentes servicios para enviar correos electrónicos.

  • p = none: modo de supervisión
    La configuración p=none significa que la política DMARC no bloquea ni marca los mensajes. Los servidores de los destinatarios solo envían informes sobre cómo han pasado la verificación tus correos electrónicos. Esto te permite observar el tráfico de correo electrónico y verificar la configuración antes de decidirte por una política más restrictiva.

Una configuración DMARC demasiado restrictiva (por ejemplo, p=quarantine o p=reject) puede causar problemas de entregabilidad si no todas las fuentes de envío están configuradas correctamente.


¿Cómo funciona la verificación DMARC?

Recuerda que para que DMARC funcione correctamente, primero debes configurar las entradas SPF y DKIM. Encontrarás las instrucciones a continuación:

El propietario del dominio establece las reglas que determinan cómo se deben tratar los mensajes que no cumplen los requisitos de SPF y DKIM. DMARC también permite recibir informes sobre las acciones realizadas por los servidores de correo que reciben los mensajes. Estas reglas pasan a formar parte de los registros DNS del dominio en cuestión.


Cuando un servidor de correo recibe un mensaje, verifica los registros DNS del dominio del remitente para comprobar la política DMARC y evalúa el mensaje según tres directrices:


  • si DKIM es válido

  • si SPF contiene la IP del servidor remitente

  • si los dominios de los encabezados (from y return_path) son los mismos que el dominio de la dirección del remitente (en el campo «de»)

Tras la verificación, basándose en la política DMARC establecida por el remitente, el servidor «decide» qué hacer con el mensaje y envía un informe al remitente.





Fuente: https://hostido.pl/blog/mechanizmy-zabezpieczajace-poczte-e-mail-spf-dkim-dmarc/


¿Por qué vale la pena configurar DMARC?

SPF y DKIM se centran en la autenticación de los mensajes en términos de origen e integridad del contenido, mientras que DMARC agrega adicionalmente estos mecanismos, permitiendo establecer políticas para el manejo de mensajes y reportar las acciones tomadas por los servidores de correo. Configurar SPF y DKIM de acuerdo con DMARC puede aumentar la eficacia de la seguridad contra la falsificación y los ataques de phishing.


¿Necesitas ayuda adicional?

Si tienes alguna pregunta adicional sobre cómo trabajar con el dominio del remitente y DKIM en edrone, ponte en contacto con nosotros en hello@edrone.me.

Artículos relacionados
Seguridad DKIM - ¿qué es y cómo la añado a un mensaje edrone?
Remitente del mensaje y entregabilidad del correo electrónico
Diccionario disponibilidad del correo electrónico
¿Qué es BIMI y para qué sirve?
Tipos de conformidad con DMARC
¿Ha quedado contestada tu pregunta?