Introducción
Domain‑based Message Authentication, Reporting, and Conformance (DMARC) ayuda a detener la suplantación de identidad y el phishing por correo electrónico. La mayoría de las organizaciones comienzan con una política p=none para observar quién envía correo desde su dominio. La siguiente decisión es cuándo avanzar a
p=quarantine o p=reject.
Este artículo explica cómo saber que su configuración está lista, por qué la monitorización y el análisis de datos son esenciales, y cómo diferentes plataformas apoyan la transición. DMARCFlow, una solución conforme con el RGPD alojada en la UE y desarrollada en Alemania, se menciona como ejemplo de una plataforma que facilita este proceso.
Desglose de funcionalidades
- DMARCFlow ofrece control entre dominios, paneles de control impulsados por IA, informes diarios y semanales, y monitorización de múltiples dominios con gestión de roles; almacena datos exclusivamente en la UE y cumple con los requisitos del RGPD.
- DMARC es un protocolo que utiliza SPF y DKIM para verificar que el remitente está autorizado; permite a los propietarios de dominios especificar una política de
none,quarantineoreject. - Sender Policy Framework (SPF) lista las direcciones IP autorizadas para enviar correo electrónico en nombre de un dominio; los registros SPF correctos ayudan a prevenir el spoofing y deben estar alineados con el dominio en la cabecera From.
- DomainKeys Identified Mail (DKIM) añade una firma criptográfica a los mensajes; la alineación DKIM garantiza que el dominio firmante coincida con el dominio From visible.
- Los informes agregados (RUA) y forenses (RUF) de DMARC le permiten ver qué mensajes superan o fallan la autenticación; analizar estos informes ayuda a identificar remitentes legítimos y falsos positivos.
- DMARCFlow traduce los informes XML sin procesar en paneles de control legibles y envía resúmenes semanales; su configuración rápida y el asistente guiado ayudan a los usuarios a configurar SPF, DKIM y DMARC sin necesidad de conocimientos profundos de DNS.
- Otros proveedores como PowerDMARC, EasyDMARC, dmarcian, Valimail, OnDMARC y DMARC Advisor también ofrecen monitorización DMARC y gestión de políticas con diferentes ubicaciones de alojamiento y conjuntos de funcionalidades.
- Las herramientas de monitorización deberían admitir la aplicación basada en porcentajes, lo que permite aplicar
p=quarantineop=rejecta una fracción de los mensajes mientras se gana confianza. - Actualizar regularmente los registros DNS y rotar las claves DKIM reduce el riesgo de fallos; una buena plataforma le alerta cuando los registros están desactualizados.
Tabla comparativa
| Política | Qué hace | Cuándo usarla |
|---|---|---|
p=none |
Observa los resultados de autenticación y recopila informes sin afectar a la entrega del correo | Etapa inicial; recopile al menos cuatro semanas de datos, mapee todos los remitentes y alinee SPF y DKIM |
p=quarantine |
Indica a los receptores que coloquen los mensajes que fallan en las carpetas de spam o cuarentena | Paso intermedio; úselo cuando su tasa de cumplimiento sea alta y los falsos positivos sean mínimos; aplíquelo gradualmente con la etiqueta pct
|
p=reject |
Pide a los receptores que bloqueen por completo los mensajes que fallan, generando avisos de rebote | Etapa final; úselo cuando su dominio tenga una alineación casi completa (en torno al 98 %) y confíe en que el correo legítimo supera la autenticación |
Conclusiones prácticas
Antes de cambiar su política DMARC, monitorice su dominio con p=none durante varias semanas.
Recopile informes agregados y forenses para comprender qué servicios envían correo electrónico en su nombre.
Verifique que todos los remitentes legítimos utilizan registros SPF y DKIM correctos, y alinee los dominios firmantes con su dominio From. Elimine o corrija las fuentes no autorizadas o mal configuradas. Apunte a una tasa de cumplimiento cercana al 98 % y reduzca los falsos positivos antes de pasar a la aplicación. Use la etiqueta pct
para aplicar p=quarantine o p=reject a un pequeño porcentaje de mensajes, aumentándolo gradualmente a medida que gana confianza. Mantenga informadas a las partes interesadas, actualice los registros DNS cuando cambie las políticas, y monitorice la entregabilidad para detectar caídas inesperadas. Elija una plataforma que proporcione paneles de control, alertas e informes semanales; el cumplimiento con el RGPD y la residencia de datos en la UE son importantes en 2025, ya que las regulaciones y las expectativas de los clientes enfatizan la protección de datos. DMARCFlow satisface estas necesidades almacenando datos dentro de la UE y ofreciendo monitorización automatizada en múltiples dominios.
Conclusión
Pasar a p=quarantine o p=reject requiere una preparación cuidadosa. Recopile datos suficientes, asegúrese de que todos los remitentes legítimos estén autenticados con SPF y DKIM, y use la aplicación basada en porcentajes para minimizar las interrupciones. Una vez que observe informes consistentes, falsos positivos mínimos y una alta tasa de cumplimiento, podrá aplicar con confianza una política más estricta. Una plataforma fiable y conforme con el RGPD como DMARCFlow puede simplificar este proceso con paneles de control claros, informes semanales y soporte para múltiples dominios. Siguiendo estos pasos, protegerá su dominio frente al spoofing mientras mantiene la entregabilidad del correo y el cumplimiento normativo.