Cómo entender las políticas DMARC y el camino hacia la aplicación

August 28, 2025DMARCFlow Team

Domain-based Message Authentication, Reporting and Conformance (DMARC) ayuda a los propietarios de dominios a detener la suplantación exacta del dominio, mejorar la entregabilidad y obtener visibilidad sobre quién envía correo electrónico en su nombre. DMARC funciona sobre SPF y DKIM e indica a los receptores qué hacer cuando un mensaje no supera la autenticación y la alineación. Este artículo explica cada política DMARC y describe un camino seguro y auditable hacia la aplicación, con notas prácticas sobre cómo DMARCFlow simplifica este proceso.

Qué hacen las políticas DMARC

Un registro DMARC es un registro DNS TXT que incluye etiquetas que describen cómo deben tratar los receptores los mensajes que no superan la verificación. La etiqueta más importante es p (política):

Política Efecto sobre el correo que falla Cuándo usarla
p=none No se toma ninguna acción de entrega; los receptores entregan con normalidad. Usted recibe informes agregados (RUA) y, opcionalmente, informes forenses (RUF) para mayor visibilidad. Monitorización y descubrimiento inicial. No permanezca en esta etapa indefinidamente; los usuarios seguirán expuestos al spoofing si nunca avanza.
p=quarantine Los receptores colocan el correo que falla en spam o en cuarentena. Etapa intermedia para probar la aplicación mientras ajusta la alineación y reduce los falsos positivos.
p=reject Los receptores rechazan el correo que falla en la puerta de enlace. Estado final objetivo para la protección contra la suplantación, una vez que los remitentes legítimos superan SPF o DKIM con alineación.

Un camino paso a paso hacia la aplicación

  1. Publique p=none con informes. Comience con RUA (y opcionalmente RUF). Confirme que los informes llegan y se procesan.
  2. Haga un inventario y autentique todos los remitentes. Para cada servicio que envíe correo desde su dominio, configure SPF y DKIM. Asegúrese de la alineación: el dominio de Return-Path (SPF) y el dominio d= de DKIM deben estar alineados con el dominio From visible.
  3. Use pct para introducir la aplicación de forma gradual. Añada pct=25 (o un valor similar) mientras sigue en p=none, más sp para el control de subdominios si es necesario. Valide el impacto y suba pct progresivamente.
  4. Pase a p=quarantine. Cuando el nivel de cumplimiento sea alto (muchos equipos apuntan a que el 98 %+ del correo legítimo supere la verificación), active la cuarentena. Continúe monitorizando rebotes e impactos en la carpeta de spam.
  5. Suba a p=reject. Una vez que tenga la certeza de que las fuentes legítimas superan la verificación y están alineadas, cambie a reject. Siga monitorizando para detectar nuevos remitentes o derivas en la configuración.
  6. Mantenga y mejore. Trate DMARC como un programa continuo: rote las claves DKIM, revise las consultas SPF, audite a nuevos proveedores y esté atento al shadow IT y a los dominios similares al suyo.

Etiquetas DMARC esenciales

  • rua= Destino(s) de los informes agregados.
  • ruf= Destino(s) opcional(es) de los informes forenses, donde esté permitido.
  • pct= Porcentaje del correo que falla al que se aplica la política (útil para el despliegue gradual).
  • sp= Política de subdominio (puede diferir del dominio principal).
  • aspf= y adkim= Modos de alineación (relajado o estricto) para SPF y DKIM.
  • fo= Opciones de notificación de fallos (forenses, donde esté permitido).

Errores comunes (y cómo evitarlos)

  • Permanecer en p=none indefinidamente. La monitorización no es protección. Defina hitos para alcanzar quarantine y reject.
  • SPF con demasiadas consultas DNS. Refactorice los registros SPF excesivamente largos; aplique higiene de includes y límites.
  • DKIM mal alineado. Asegúrese de que el dominio de firma DKIM esté organizativamente alineado con el dominio From.
  • Sin propietario para un remitente. Asigne responsabilidad técnica y de negocio a cada fuente de correo.
  • Ignorar los subdominios. Use la etiqueta sp para la política de subdominios y descubra los subdominios creados automáticamente o heredados.

Cómo DMARCFlow apoya el proceso

DMARCFlow está diseñado en torno al camino real hacia la aplicación: descubrir, autenticar, aplicar y mantener. Los planes se corresponden con la madurez operativa y la escala.

Plan Standard (inicio rápido)

Especificaciones: 5 dominios, 3 usuarios, 12 meses de retención de datos, hasta 300 k mensajes DMARC al mes.

Funcionalidades: Ingesta de RUA y RUF opcional; paneles de control y análisis de tendencias; descubrimiento de fuentes; progresión de política (none a quarantine a reject); alertas (anomalías, nuevos remitentes, fallos de autenticación); exportaciones en PDF/CSV y resúmenes programados; webhook para automatización básica; autenticación de dos factores; mapas geográficos; descubrimiento automático de subdominios; comprobaciones SPF seguras (linting, orientación de solo lectura); visibilidad básica de MTA-STS y TLS-RPT; interfaz multilingüe; soporte por correo electrónico 8x5; disponibilidad del 99,99 % (Crítico: 4 h; Alto: 1 día hábil). Precio: 45 USD/mes o 460 USD/año (–15 %).

Plan Enterprise (escala y gobernanza)

Especificaciones: 25 dominios, 10 usuarios, 36 meses de retención de datos, hasta 3 M de mensajes DMARC al mes.

Funcionalidades: RBAC avanzado y registro de auditoría; SSO (SAML/OIDC) y SCIM; API avanzada (escritura donde corresponda); conectores nativos (Splunk, QRadar, Elastic); integraciones de tickets (Jira, ServiceNow); opciones de residencia de datos (p. ej., UE); procesamiento y visor de RUF; gestión SPF dinámica y segura (aplanamiento, auto-includes, límites de consulta, registros sugeridos); monitorización de listas negras de dominios y de dominios similares a la marca; alertas adaptativas (Slack, Teams, SIEM); grupos de espacios de trabajo y dominios con acceso granular; comprobaciones de preparación para BIMI; alojamiento de MTA-STS y TLS-RPT; soporte crítico 24x7 con TAM asignado; disponibilidad del 99,99 % (Crítico: 30 min; Alto: 2 h). Precio: 300 USD/mes o 3.000 USD/año (–15 %).

Plan Enterprise+ (resultados y asistencia operativa)

Especificaciones: Dominios ilimitados, 100 usuarios, 60 meses de retención de datos, volumen DMARC personalizado.

Funcionalidades: Ingeniero DMARC dedicado y CSM; despliegue práctico (limpieza SPF, configuración DKIM, aplicación gradual); revisiones operativas semanales e informes ejecutivos mensuales; preparación para BIMI y coordinación VMC; inteligencia de amenazas y enriquecimiento de reputación de IP; gestión de DKIM (rotación de claves); gestión de SPF (automatización de políticas); revisiones trimestrales de negocio con ejecutivos y hoja de ruta; retención de datos personalizada y almacenamiento propio; escalación nominal de guardia; descuentos plurianuales; escalación nominal 24x7; runbooks personalizados y SLA de respuesta; revisiones trimestrales de postura; disponibilidad del 99,99 %. Precio: 500 USD/mes o 5.000 USD/año (–15 %).

Beneficios adicionales para Enterprise y Enterprise+

  • Taller de incorporación (4 h en remoto)
  • Periodo de evaluación de 30 días (cancelación en cualquier momento durante los primeros 30 días)
  • Informes ejecutivos mensuales (entregabilidad, tendencias de amenazas, ROI)
  • Informes de seguridad trimestrales (amenazas y acciones)
  • Actualizaciones DNS gestionadas y monitorización continua
  • Sesión anual de simulación de amenazas ejecutivas con plan de formación personalizado

Conclusiones

  • La aplicación es el objetivo: reject detiene la suplantación exacta del dominio.
  • Use pct, quarantine y la política de subdominios para reducir el riesgo durante el proceso.
  • Trate DMARC como un programa continuo, no como un proyecto puntual.
  • DMARCFlow alinea funcionalidades y soporte con cada hito de aplicación, desde los primeros informes hasta el reject completo en múltiples dominios.