• Blog
  • ¿Qué es DMARC y cómo funciona este protocolo?

¿Qué es DMARC y cómo funciona este protocolo?

18min

La seguridad en las comunicaciones electrónicas ha dejado de ser una característica opcional para convertirse en un requisito de cumplimiento obligatorio. En un entorno donde las amenazas de suplantación de identidad evolucionan cada día, entender qué es DMARC resulta vital para cualquier organización que desee proteger su integridad digital. Este protocolo no solo actúa como un escudo, sino que establece las reglas de juego sobre cómo los servidores de todo el mundo deben tratar los correos que dicen venir de tu dominio.

Implementar correctamente el registro DMARC es la forma más efectiva de decirle a los proveedores de correo electrónico, como Google o Microsoft, que te tomas en serio la autenticidad. A lo largo de esta guía, analizaremos detalladamente cómo esta tecnología coordina a sus predecesores (SPF y DKIM) para erradicar el fraude y garantizar que tus mensajes legítimos lleguen siempre a la bandeja de entrada de tus clientes.

Índice

¿Qué es DMARC?

El protocolo DMARC (Domain-based Message Authentication, Reporting, and Conformance) es un sistema de validación de correo electrónico diseñado para proporcionar a los propietarios de dominios una forma de proteger su marca frente a usos no autorizados. Funciona mediante la publicación de una política en el sistema de nombres de dominio (DNS) que indica a los receptores qué acciones tomar si un mensaje falla las comprobaciones de seguridad. Es, esencialmente, el mecanismo que unifica las estrategias de autenticación bajo un solo marco de decisión.

Más allá de la protección técnica, este estándar nació de la necesidad de transparencia. Antes de su aparición, los administradores de sistemas no tenían forma de saber cuántos correos fraudulentos se enviaban en su nombre. Con la adopción de este protocolo, se habilita un canal de retroalimentación donde los servidores receptores informan al emisor sobre el estado de sus envíos, permitiendo una visibilidad total sobre la salud de la infraestructura de correo de la empresa.

¿Cómo funciona DMARC?

La operatividad de este sistema se basa en un ciclo de verificación y respuesta que ocurre en milisegundos cada vez que un correo intenta entrar en un servidor de destino.

Publicación de la política de autenticación en los registros DNS del dominio

El proceso comienza cuando el administrador del dominio añade un registro de tipo TXT en su configuración DNS. Este registro contiene la configuración específica que el protocolo debe seguir, detallando la política deseada y las direcciones de correo donde se deben enviar los informes de actividad. Es la fuente de verdad que consultan los servidores externos para saber si un correo es legítimo o un intento de suplantación.

Al estar alojado en el DNS, la disponibilidad de esta información es universal y constante. Cualquier servidor de destino, al recibir un mensaje de tu dominio, realizará una consulta rápida a este registro para entender bajo qué reglas debe evaluar el correo. Sin esta publicación previa, el servidor receptor no tiene instrucciones claras y queda a su propio criterio la entrega o el rechazo del mensaje, lo que aumenta el riesgo de errores.

Verificación de las firmas SPF y DKIM en el servidor de destino

Una vez que el correo llega al servidor receptor, este no actúa de forma aislada, sino que ejecuta una auditoría de los protocolos previos. Primero, comprueba el registro SPF para verificar si la dirección IP del remitente está autorizada. Segundo, valida la firma criptográfica DKIM para asegurar que el contenido del mensaje no haya sido alterado durante el trayecto desde el servidor de origen.

Esta doble verificación es el insumo principal para que el protocolo tome una decisión. Si ambos sistemas dan un resultado positivo, el correo tiene muchas probabilidades de ser aceptado. Sin embargo, el protocolo añade una capa adicional de inteligencia al evaluar no solo si las pruebas pasaron, sino si tienen coherencia con el dominio que el usuario ve en su bandeja de entrada, lo que nos lleva al siguiente paso crítico.

Comprobación de la alineación de identificadores (Alignment Check)

La alineación es el es el eje central desde el punto de vista técnico de este sistema de seguridad. No basta con que el SPF o el DKIM sean válidos, sino que el protocolo exige que el dominio validado por estas herramientas coincida exactamente (o de forma organizativa) con el dominio que aparece en el encabezado «From» (De:) del correo. Esto evita ataques sofisticados donde un hacker usa un servidor autorizado pero envía el correo bajo el nombre de una marca diferente.

Existen dos niveles de alineación, la estricta y la relajada. La alineación estricta requiere una coincidencia exacta de subdominios, mientras que la relajada permite variaciones siempre que el dominio principal sea el mismo. Configurar correctamente esta alineación garantiza que los servicios legítimos de terceros (como plataformas de marketing o nóminas) puedan enviar correos en tu nombre sin ser bloqueados por falta de coherencia técnica.

Aplicación de la instrucción DMARC

Tras evaluar los resultados de SPF, DKIM y la alineación, el servidor receptor consulta la etiqueta p= del registro publicado. Esta etiqueta contiene la orden final, ¿qué hacer si el correo ha fallado las pruebas? Dependiendo de lo que el administrador haya definido, el servidor puede simplemente dejar pasar el correo para monitorizarlo, enviarlo directamente a la carpeta de spam o rechazarlo de plano antes de que entre en la organización.

Esta capacidad de dictar sentencias es lo que otorga el control real al propietario del dominio. Ya no es el filtro de spam del receptor el que decide por intuición, sino que es el propio emisor quien establece la consecuencia de un fallo de seguridad. Esta ejecución sistemática de reglas es la que permite limpiar el tráfico de correo a nivel global, penalizando a los remitentes que no cumplen con los estándares de autenticación.

Generación y envío de informes agregados (RUA) al administrador del dominio

Una de las funcionalidades más potentes es el envío de informes en formato XML, conocidos como informes RUA. Estos archivos se envían periódicamente (normalmente una vez al día) a la dirección de correo especificada en el registro DNS. Contienen datos estadísticos detallados sobre todos los correos recibidos por ese proveedor que decían ser de tu dominio, desglosando direcciones IPs de origen, resultados de autenticación y la acción aplicada.

Analizar estos informes es fundamental para la mejora continua de la seguridad. Permiten identificar si hay servicios legítimos de la empresa que están mal configurados o si alguien en otro país está intentando realizar una campaña de phishing masiva usando tu nombre. Gracias a esta retroalimentación, el administrador puede ajustar sus registros SPF y DKIM basándose en datos reales antes de endurecer la política de bloqueo.

Diferencias entre SPF, DKIM y DMARC

Para gestionar la seguridad del correo de forma profesional, es imperativo entender que estos tres protocolos forman una jerarquía donde cada uno cubre una debilidad del anterior.

¿Qué es SPF (Sender Policy Framework)?

El protocolo SPF es un sistema de lista blanca basado en direcciones IP. Su función es enumerar de forma pública qué servidores tienen permiso para enviar correos electrónicos en nombre de un dominio específico. Cuando un servidor recibe un mensaje, mira el registro SPF y comprueba si la IP que lo envía figura en la lista; si no está, el mensaje es marcado como sospechoso.

A pesar de su utilidad, el SPF tiene limitaciones importantes, como la ruptura de la validación cuando un correo es reenviado automáticamente. Además, no protege el contenido del mensaje, sino únicamente el canal por el que se transmite. Por esta razón, el SPF se considera una herramienta de seguridad necesaria pero insuficiente por sí sola en el panorama actual de ciberamenazas.

¿Qué es DKIM (DomainKeys Identified Mail)?

DKIM añade una capa de seguridad mediante criptografía de clave pública. Al enviar un correo, el servidor de origen inserta una firma digital invisible en el encabezado del mensaje. El servidor receptor utiliza una llave pública publicada en el DNS del remitente para verificar esa firma. Si la firma coincide, se garantiza que el correo proviene realmente de ese dominio y que el cuerpo del mensaje no ha sido modificado.

A diferencia del SPF, el DKIM sobrevive a los reenvíos de correo, lo que lo hace más resistente en flujos de comunicación complejos. Sin embargo, el DKIM no indica al receptor qué hacer si la firma falta o es incorrecta. Es una prueba de identidad y de integridad, pero carece de una política de ejecución de acciones, función que queda delegada al protocolo superior.

¿Cuál es el protocolo más eficaz?

La eficacia no reside en un protocolo individual, sino en la tríada completa. No obstante, el registro DMARC es el más determinante porque actúa como el director de la orquesta. Sin él, SPF y DKIM son solo sugerencias que los proveedores de correo pueden o no tener en cuenta. Es el encargado de dar valor legal y ejecutivo a las comprobaciones técnicas de los otros dos sistemas.

En términos de impacto, una infraestructura que solo usa SPF es vulnerable, mientras una que usa SPF y DKIM es segura pero silenciosa. Solo cuando se implementa el marco completo de autenticación se logra una defensa activa y proactiva. Por ello, se considera que el protocolo de conformidad es la pieza clave para cualquier estrategia de seguridad de correo electrónico que aspire a la excelencia técnica. Aquí tienes el código HTML de la tabla comparativa con la estructura más limpia, sin class, span ni style, para garantizar la máxima compatibilidad en cualquier plataforma.

HTML

Protocolo de seguridad Mecanismo de validación Fortalezas y limitaciones
SPF (Sender Policy Framework) Lista blanca de direcciones IP autorizadas en el DNS. Eficaz para validar el origen, pero se rompe al reenviar correos y no protege el contenido.
DKIM (DomainKeys Identified Mail) Firma digital criptográfica insertada en el encabezado. Garantiza que el mensaje no ha sido alterado y sobrevive a los reenvíos automáticos.
DMARC Instrucciones técnicas (políticas) basadas en SPF y DKIM. Es el «director de orquesta»: define qué hacer (rechazar o cuarentena) si los otros fallan.

Las políticas de DMARC

Existen tres niveles de rigor que un administrador puede aplicar. La elección de uno u otro marca la diferencia entre simplemente observar el tráfico o bloquear activamente las amenazas.

Política de Monitorización (none)

La política p=none es el punto de entrada recomendado para cualquier implementación. Bajo esta instrucción, el propietario del dominio pide a los servidores receptores que, aunque un correo falle las pruebas de autenticación, no lo bloqueen ni lo envíen a spam. El objetivo exclusivo de este nivel es la recolección de datos a través de los informes para entender quién está enviando correos en nombre de la empresa.

Es una etapa de diagnóstico clave que previene errores entre sistemas propios. ya que permite descubrir proveedores legítimos (como herramientas de marketing o CRM) que podrían estar mal configurados. Permanecer en este estado durante unas semanas asegura que, cuando se decida subir el nivel de seguridad, no se pierdan comunicaciones importantes del negocio por un error de configuración técnica inicial.

Política de Cuarentena (quarantine)

El nivel p=quarantine representa un paso intermedio en la seguridad activa. Con esta política, los correos que no superen las validaciones de SPF o DKIM (o que no estén alineados) serán enviados directamente a la carpeta de correo no deseado del destinatario. Es una forma de advertir al usuario final de que el mensaje no es de confianza, reduciendo drásticamente la probabilidad de que se haga clic en enlaces maliciosos.

Desde un punto de vista estratégico, la cuarentena permite mitigar el impacto de un ataque de phishing sin llegar a la pérdida total de la información en caso de falsos positivos. Es la política ideal para empresas que ya han validado su tráfico principal pero que aún mantienen servicios antiguos o flujos de correo complejos que podrían presentar incidencias esporádicas de autenticación.

Política de Rechazo (reject)

La política p=reject es el estándar de oro de la seguridad en internet. Bajo esta instrucción, cualquier correo que no cumpla estrictamente con los requisitos de autenticidad es descartado por el servidor de destino antes de ser entregado. El mensaje nunca llega a la bandeja de entrada ni a la carpeta de spam del usuario, sino que simplemente deja de existir para el receptor.

Implementar el rechazo es la declaración definitiva de autoridad sobre tu dominio. Solo debe activarse cuando los informes RUA confirman que el 100% de tus correos legítimos están correctamente autenticados. En la actualidad, alcanzar el estado de p=reject es un requisito indispensable para las grandes organizaciones, ya que detiene el fraude de identidad en seco y protege la reputación de la marca de forma absoluta.

Beneficios de implementar DMARC en tu infraestructura

Adoptar este estándar no es solo una medida técnica, sino que es una decisión de negocio que impacta directamente en la visibilidad y seguridad de tu marca.

Mejora drástica en la entregabilidad de tus campañas de email marketing

Los proveedores de correo (ISP) como Gmail o Outlook confían mucho más en los dominios que tienen una política de autenticación estricta. Al demostrar que tienes control total sobre quién envía correos en tu nombre, tu reputación como remitente mejora. Esto se traduce en que tus boletines, promociones y facturas tienen muchas menos probabilidades de ser filtrados erróneamente por los sistemas antispam.

En un mercado saturado de información, asegurar que tu mensaje llegue al lugar correcto es una ventaja competitiva. Los dominios protegidos disfrutan de tasas de apertura superiores, ya que el sistema de recepción no tiene que adivinar si el remitente es real o no. En este contexto, la seguridad actúa como el factor que convierte el esfuerzo de marketing en resultados concretos.

Protección de la reputación de tu marca frente al domain spoofing

El domain spoofing es una técnica donde los atacantes falsifican el nombre del remitente para engañar a clientes o empleados. Sin una protección adecuada, cualquiera puede enviar un correo que parezca venir de tu dirección oficial. El registro DMARC detiene esta práctica al obligar a que todo mensaje pase una validación de identidad que los criminales no pueden replicar sin acceso a tus claves privadas o DNS.

Mantener tu dominio libre de usos maliciosos es vital para la confianza del consumidor. Si tus clientes empiezan a recibir correos falsos con tu logo pidiendo datos bancarios, la imagen de tu empresa sufrirá un daño irreparable. Este protocolo actúa como un vigilante permanente que asegura que nadie más que tú pueda utilizar el prestigio de tu marca en las comunicaciones electrónicas.

Reducción del riesgo de ataques de phishing y Business Email Compromise (BEC)

El fraude del CEO o los ataques BEC suelen basarse en correos que parecen legítimos para inducir a transferencias de dinero o robo de credenciales internas. Al implementar una política de rechazo, estas tácticas pierden su efectividad, ya que los correos falsificados son bloqueados en el perímetro de la red antes de llegar a los empleados. Es una de las capas más críticas de la ciberdefensa moderna.

Un solo ataque exitoso de phishing puede costar a una empresa miles de euros y problemas legales. Al automatizar la validación de la identidad del remitente, reduces la dependencia del juicio humano, que es el eslabón más débil de la seguridad. Este protocolo proporciona una tranquilidad operativa inestimable, permitiendo que el equipo se centre en su trabajo sin el temor constante a ser engañados por una dirección de correo impostora.

Cumplimiento de las normativas de Google, Yahoo! y Microsoft

Desde principios de 2024, los grandes gigantes tecnológicos han endurecido sus reglas para los remitentes masivos. Actualmente, para enviar más de 5.000 correos al día a cuentas de Gmail o Yahoo!, es obligatorio contar con registros de autenticación válidos. No cumplir con estas normativas resulta en el bloqueo automático de tus envíos, independientemente de la calidad de tu contenido.

Estar al día con estos requisitos de cumplimiento es fundamental para cualquier negocio online. El cumplimiento normativo asegura que tu infraestructura de comunicación sea compatible con el estándar global de internet. Implementar esta tecnología hoy te prepara para un futuro donde la falta de autenticación será sinónimo de invisibilidad en la red.

¿Cómo configurar un registro DMARC correctamente?

La implementación técnica es un proceso metódico que requiere precisión en la sintaxis para evitar efectos secundarios no deseados.

Anatomía de un registro TXT

Un registro para este protocolo es una cadena de texto que se inserta en el DNS bajo el subdominio _dmarc. Su estructura básica comienza con la etiqueta de versión v=dmarc1;, seguida de la política p= (none, quarantine o reject). También incluye etiquetas opcionales pero recomendadas, como rua= para los informes agregados y ruf= para los informes forenses de fallos individuales.

Es vital respetar los puntos y coma y los espacios, ya que una sintaxis incorrecta invalidará el registro completo. Cada etiqueta tiene un propósito específico: mientras que v y p son obligatorias, las demás permiten personalizar el nivel de detalle y de control que deseas ejercer sobre tu dominio. Un registro bien construido es la base de una estrategia de seguridad técnica sólida.

La estrategia de implementación progresiva

Nunca se debe activar una política de rechazo desde el primer día. La estrategia profesional consiste en un despliegue por fases: primero se establece la política en p=none para recopilar datos y verificar que todos tus servicios legítimos están bien configurados. Una vez que los informes muestran que el tráfico autorizado pasa las pruebas, se sube a p=quarantine para empezar a filtrar el tráfico sospechoso.

Este enfoque de escalera de seguridad minimiza el riesgo de bloquear correos importantes del negocio por error. La transición entre fases puede durar desde unas semanas hasta varios meses, dependiendo de la complejidad de la infraestructura de envío de la empresa. La paciencia en esta etapa es la clave para una implementación exitosa que no afecte a la operatividad diaria.

Configuración de los porcentajes de aplicación mediante la etiqueta pct

La etiqueta pct permite aplicar la política de seguridad a un porcentaje específico de los correos que fallan la autenticación. Por ejemplo, p=quarantine; pct=20; significa que solo el 20% de los correos sospechosos irán a spam, mientras que el resto seguirán entrando normalmente. Es un mecanismo de control de daños que permite probar la dureza de la política de forma gradual.

A medida que aumenta la confianza en la configuración de SPF y DKIM, el administrador puede ir incrementando este valor del 20% al 50%, luego al 80% y finalmente al 100%. Esta granularidad es una de las grandes ventajas del protocolo, ya que permite un ajuste fino y seguro, evitando cambios drásticos que puedan causar incidencias masivas en la comunicación de la empresa.

Selección de direcciones de correo para la recepción de informes XML

Es fundamental definir una dirección de correo dedicada para recibir los informes RUA, como dmarc-reports@tudominio.com. Dado que estos informes llegan en formato XML y pueden ser muy numerosos si el volumen de envíos es alto, no se recomienda usar una cuenta personal. Existen herramientas especializadas que procesan estos archivos XML y los transforman en gráficos fáciles de entender.

Asegurarse de que el buzón de recepción tiene capacidad suficiente y que el registro DNS apunta correctamente a él mediante la sintaxis mailto:direccion@correo.com es un paso técnico que no debe olvidarse. Sin estos informes, estás volando a ciegas; la información contenida en ellos es la que realmente te permite tomar decisiones basadas en evidencias para proteger tu marca.

Herramientas de validación y checkers para evitar errores de sintaxis DNS

Antes de guardar los cambios en tu panel de control, es altamente recomendable utilizar herramientas de validación externas. Existen múltiples «checkers» gratuitos online que analizan tu registro TXT y te avisan si falta alguna etiqueta obligatoria o si hay algún error tipográfico que podría causar que los servidores de destino ignoren tu política de seguridad.

Estas herramientas también simulan cómo verían otros servidores tu dominio, dándote una vista previa de la salud de tu configuración. Realizar una validación previa es un hábito de higiene técnica que previene caídas accidentales de la entregabilidad. Una vez publicado el registro, estas mismas herramientas sirven para monitorizar que la propagación DNS se ha realizado correctamente en todos los nodos globales.

Errores comunes al configurar DMARC que pueden bloquear tus propios correos

Incluso con las mejores intenciones, una mala configuración técnica puede volverse en tu contra, afectando a la comunicación legítima de tu negocio.

Falta de alineación entre el dominio del remitente y las firmas SPF/DKIM

Este es el error técnico más frecuente. Ocurre cuando una empresa utiliza un servicio externo (como una plataforma de facturación) que tiene sus propios registros SPF y DKIM válidos, pero que utiliza un dominio diferente al de la empresa en el remitente visual. El protocolo detectará esta falta de coincidencia como un fallo de alineación y aplicará la política de bloqueo aunque los correos sean reales.

Para solucionar esto, es necesario configurar el servicio externo para que utilice un subdominio de tu propia marca o asegúrate de que firmen con tu clave DKIM. La alineación no es negociable, ya que sin ella, el protocolo considera que el correo es un intento de suplantación. Revisar la coherencia entre el dominio oculto de la autenticación y el dominio visible del remitente es el primer paso tras detectar bloqueos inesperados.

Implementación prematura de la política p=reject sin fase de monitorización

El exceso de celo en la seguridad puede llevar a un administrador a saltar directamente al bloqueo total. Si se activa p=reject sin haber analizado previamente los informes RUA, es casi seguro que se bloquearán correos legítimos de departamentos que el técnico de sistemas desconocía, como servicios de atención al cliente externos o herramientas de marketing automation mal configuradas.

Este error suele tener consecuencias graves para el flujo de trabajo de la empresa. La recomendación oficial es siempre comenzar con none, pasar por quarantine al 100% y solo cuando no haya rastro de errores en los informes durante un periodo de tiempo estable, dar el salto al rechazo total. La seguridad debe ser un proceso habilitador, no un obstáculo para la actividad comercial de la compañía.

Errores de sintaxis en el registro DNS

El sistema DNS es extremadamente sensible a los pequeños errores de escritura. Olvidar un punto y coma entre etiquetas, incluir comillas innecesarias o confundir el nombre del registro (escribir dmarc en lugar de _dmarc) hará que el protocolo sea totalmente ineficaz. Muchos administradores creen estar protegidos cuando, en realidad, los servidores receptores están ignorando su registro por ser técnicamente ilegible.

Otro error común es tener más de un registro de este tipo para el mismo dominio. El estándar prohíbe la duplicidad; si un servidor encuentra dos políticas diferentes, invalidará ambas y volverá al estado de desprotección total. La limpieza y la precisión en la gestión de los registros TXT son fundamentales para asegurar que la infraestructura de correo funcione bajo los más altos estándares de fiabilidad.

Artículos relacionados

Productos relacionados: