El correo electrónico sigue siendo la columna vertebral de la comunicación empresarial, y al mismo tiempo uno de los mayores vectores de ataque. El phishing, el spoofing y el Business Email Compromise (BEC) causan miles de millones en pérdidas cada año. Sin embargo, existe un flujo técnico bien definido que protege el correo electrónico de extremo a extremo: el DMARC Flow. Entenderlo paso a paso es el prerrequisito para implementarlo correctamente.

Paso 1 — El remitente declara: SPF

Sender Policy Framework (SPF) es un registro DNS que lista qué servidores de correo están autorizados a enviar correos en nombre de su dominio. Cuando un servidor de correo receptor recibe un mensaje que dice provenir de usted@example.com, realiza una consulta DNS del registro SPF de example.com y comprueba si la dirección IP que se conecta está en la lista autorizada.

Si la IP no aparece en la lista y SPF termina con -all (fallo duro), SPF falla. Con ~all (fallo suave), el mensaje queda marcado pero no se rechaza directamente. SPF por sí solo no es suficiente para detener el spoofing de dominio, porque SPF verifica el remitente del sobre (el "Return-Path"), no el encabezado De visible que los usuarios realmente ven.

Errores comunes de SPF que rompen el flujo: superar el límite de 10 consultas DNS, dejar includes obsoletos de proveedores dados de baja, y olvidar añadir nuevas herramientas de envío de correo (CRMs, plataformas de marketing, sistemas transaccionales) al registro.

Paso 2 — El mensaje se firma: DKIM

DomainKeys Identified Mail (DKIM) añade una firma criptográfica a cada mensaje saliente. El servidor de correo remitente firma el mensaje con una clave privada y añade la firma como campo de cabecera. La clave pública correspondiente se publica en DNS bajo un registro de selector como selector1._domainkey.example.com.

Cuando el servidor receptor recibe el mensaje, obtiene la clave pública del DNS y la utiliza para verificar la firma. Una firma válida prueba dos cosas: primero, que el mensaje provino de un servidor en posesión de la clave privada (es decir, un remitente autorizado); y segundo, que el cuerpo del mensaje y los encabezados clave no fueron modificados en tránsito.

A diferencia de SPF, DKIM sobrevive al reenvío de correo electrónico, porque está vinculado al propio mensaje y no a la IP de envío. Esto lo convierte en una señal más sólida para la alineación. Sin embargo, DKIM por sí solo tampoco puede prevenir el spoofing de dominio: el dominio firmado debe estar alineado con el encabezado De para contar en DMARC.

Paso 3 — La política se aplica: DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) es la capa que une SPF y DKIM y los hace accionables. Un registro DMARC es un registro TXT publicado en _dmarc.example.com que indica a los servidores receptores tres cosas:

  1. Qué hacer con los mensajes que fallan tanto la alineación SPF como DKIM — la política (p=none, p=quarantine o p=reject).
  2. Adónde enviar los informes agregados (el parámetro rua) — resúmenes XML diarios de todos los principales proveedores de buzón que muestran los resultados de autenticación para todo el correo que reciben afirmando ser de su dominio.
  3. Adónde enviar los informes forenses (el parámetro ruf) — informes de fallos por mensaje individual para cada fallo de autenticación.

La comprobación de alineación es el concepto clave. DMARC pasa si la alineación SPF pasa (el dominio en Return-Path coincide con el dominio De) o la alineación DKIM pasa (el dominio en la firma DKIM coincide con el dominio De). Un atacante que falsifique su encabezado De no puede pasar la alineación, porque no puede controlar su DNS ni firmar con su clave privada, por lo que su mensaje queda rechazado.

Los tres niveles de política explicados

  • p=none: Modo de monitoreo. Los mensajes que fallan DMARC se siguen entregando. Los informes agregados se envían a su dirección rua. Este es el punto de partida: le da visibilidad antes de tomar cualquier medida de cumplimiento. Las organizaciones no deberían permanecer en p=none más de 30–60 días.
  • p=quarantine: Los mensajes que fallan DMARC se envían a la carpeta de spam/no deseado. Es el paso intermedio que permite verificar que ningún correo legítimo está siendo capturado antes de pasar al rechazo total. Utilice el parámetro pct= para aplicar inicialmente la cuarentena solo a un porcentaje del correo fallido.
  • p=reject: Los mensajes que fallan DMARC son rechazados directamente por el servidor receptor. Nunca llegan a la bandeja de entrada ni a la carpeta de spam. Este es el único nivel de política que previene completamente el spoofing de dominio. Google, Yahoo y la mayoría de las aseguradoras ahora tratan p=reject como la base esperada para dominios establecidos.

El bucle de informes: cerrando el flujo

Lo que hace de DMARC un flujo y no una configuración puntual es el bucle de retroalimentación de informes. Cada día, los principales proveedores —Gmail, Outlook, Yahoo, Apple Mail— envían informes XML agregados a su dirección rua. Estos informes contienen:

  • Las direcciones IP de envío y los volúmenes
  • El resultado de SPF y DKIM para cada origen
  • La disposición DMARC aplicada (none, quarantine, reject)

Al analizar estos informes, descubre orígenes de envío desconocidos, identifica sistemas mal configurados y hace seguimiento de su progreso hacia el cumplimiento total. Sin este bucle de retroalimentación, opera a ciegas: tiene políticas publicadas pero no sabe si están funcionando o si están capturando correo legítimo.

DMARCFlow analiza estos informes XML automáticamente y los presenta en paneles legibles, alertándole cuando aparecen nuevos orígenes o cuando las tasas de autenticación caen inesperadamente.

Por qué el DMARC Flow importa más allá de la seguridad

Completar el DMARC Flow —desde SPF y DKIM hasta p=reject con monitoreo activo— aporta beneficios más allá de detener el phishing:

  • Entregabilidad en la bandeja de entrada: Las directrices para remitentes masivos de Gmail y Yahoo (vigentes desde 2024) requieren p=quarantine o superior para remitentes masivos. Los dominios sin cumplimiento DMARC se enfrentan a un mayor filtrado de spam.
  • Protección de la marca: Su dominio no puede usarse para enviar correos de phishing convincentes a sus clientes o socios una vez que p=reject está en vigor. Se elimina el riesgo reputacional de un incidente de spoofing que cause fraude a los clientes.
  • Seguros y cumplimiento normativo: Las aseguradoras de ciberseguridad y los reguladores (NIS2, ISO 27001, PCI DSS v4) tratan el cumplimiento DMARC como un control de referencia. Los dominios en p=none se califican con mayor riesgo en los modelos de suscripción.
  • Elegibilidad para BIMI: Brand Indicators for Message Identification —la función que muestra su logotipo en las bandejas de entrada de Gmail— requiere DMARC en p=quarantine o p=reject como prerrequisito.
Trace su DMARC Flow en minutos
Analice su dominio, vea quién está enviando y obtenga correcciones precisas.
Ejecutar verificación DMARC Iniciar monitoreo