¿Qué es DMARC (Domain‑based Message Authentication, Reporting, and Conformance)?

September 02, 2025By DMARCFlow Team

Domain‑based Message Authentication, Reporting, and Conformance, más conocido como DMARC, es un estándar de autenticación de correo electrónico diseñado para impedir que los atacantes suplanten su dominio. Ofrece a los propietarios de dominios la posibilidad de indicar a los servidores receptores cómo gestionar los mensajes que no superan las comprobaciones de Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM). De este modo, contribuye a prevenir el compromiso del correo empresarial, el phishing y otras estafas basadas en direcciones de remitente falsificadas. DMARC también proporciona informes para que usted pueda ver quién envía mensajes en nombre de su dominio y si esos correos superan la autenticación.

Comprensión de DMARC y sus componentes

DMARC se apoya en SPF y DKIM. SPF permite al propietario de un dominio publicar las direcciones IP o los servidores de correo autorizados para enviar mensajes en su nombre. DKIM utiliza firmas criptográficas para demostrar que el contenido y el campo From de un correo no han sido alterados durante el tránsito. DMARC los une: verifica que el dominio que aparece en el encabezado From coincide con los dominios empleados en SPF y DKIM. Si SPF o DKIM pasan la verificación y los dominios están alineados, DMARC pasa. En caso contrario, falla.

Un registro DMARC es un sencillo registro de texto ubicado en DNS bajo el subdominio _dmarc.yourdomain.com. Contiene una serie de etiquetas y valores separados por puntos y comas. Las etiquetas más importantes son:

  • v: La versión de DMARC. Debe ser DMARC1.
  • p: La política aplicada cuando un mensaje no supera la autenticación. Las opciones son none, quarantine o reject.
  • rua: La dirección (o direcciones) a la que se envían los informes agregados. Habitualmente se envían una vez al día.
  • ruf: La dirección utilizada para los informes de fallo (forenses). Estos informes contienen información de cabecera sobre mensajes fallidos individuales y se envían en tiempo real cuando están disponibles.
  • adkim y aspf: Modos de alineación para DKIM y SPF. El valor r establece alineación flexible (los dominios organizacionales deben coincidir), mientras que s establece alineación estricta (los dominios deben ser idénticos).
  • pct: El porcentaje de mensajes fallidos a los que se aplica la política. Puede usarse para desplegar la aplicación de forma gradual.
  • sp: Una política independiente para subdominios. Si se omite, los subdominios siguen la política principal.

A continuación se muestra un ejemplo de registro DMARC para un dominio que desea rechazar todos los correos que no superen la autenticación y recibir informes diarios:

v=DMARC1; p=reject; rua=mailto:dmarcreports@example.com; ruf=mailto:dmarc-errors@example.com; adkim=s; aspf=s; pct=100;

La etiqueta de política (p) controla la rigurosidad con que los receptores gestionan los mensajes no conformes. Cada nivel se resume a continuación.

Política Significado Gestión del mensaje Caso de uso
none Solo monitorización Entregar todos los mensajes Implementación inicial durante la recopilación de datos
quarantine Mensajes sospechosos Redirigir a spam o correo no deseado Fase intermedia tras resolver los problemas
reject Aplicación estricta Descartar mensajes no conformes Estado final cuando la confianza es alta

Cómo funciona DMARC con SPF y DKIM

Cuando un servidor de correo recibe un mensaje, lleva a cabo una serie de comprobaciones. Primero busca el dominio en la dirección From visible y consulta DNS en busca de un registro DMARC. Si no hay registro, el servidor aplica sus propias políticas anti-spam. Si hay un registro, el servidor verifica SPF y DKIM según lo especificado por el propietario del dominio:

  1. El servidor compara la dirección IP remitente con el registro SPF del dominio indicado en la dirección envelope‑from (return‑path). Si la IP está autorizada y el dominio está alineado con el dominio From visible, la parte SPF de DMARC pasa.
  2. El servidor verifica las firmas DKIM presentes en la cabecera del correo. Si al menos una firma es válida y el dominio en la etiqueta d está alineado con el dominio From visible, la parte DKIM de DMARC pasa.
  3. Si SPF o DKIM pasan y el dominio correspondiente está alineado, la prueba DMARC general se considera satisfactoria. Si ambas fallan o la alineación falla, DMARC falla.
  4. En función de la etiqueta p, el servidor entregará, pondrá en cuarentena o rechazará el mensaje. Los receptores también pueden anular la política en determinados casos (por ejemplo, listas blancas locales), pero deben informar del motivo.
  5. Una vez al día, el receptor compila un informe agregado y lo envía a la dirección indicada en rua. Si la etiqueta ruf está presente y el receptor admite informes forenses, podrán enviarse informes de fallo individuales en tiempo real.

La alineación es un concepto clave en DMARC. La alineación estricta exige que los nombres de dominio en SPF, DKIM y el encabezado From sean idénticos. La alineación flexible permite que compartan el mismo dominio organizacional. Por ejemplo, newsletter.example.com está alineado con example.com en modo flexible, pero no en modo estricto. Elegir el modo de alineación adecuado ayuda a mantener la entregabilidad y a prevenir la suplantación.

Por qué DMARC es importante

El correo electrónico sigue siendo un vector principal del cibercrimen. El phishing, el compromiso del correo empresarial y el ransomware suelen comenzar con mensajes falsificados. Las investigaciones muestran que una gran parte de los ataques de red aprovechan el correo electrónico y que casi el 90 por ciento de los ataques de phishing no contienen malware, sino que se basan en la ingeniería social. Sin DMARC, los atacantes pueden falsificar su dominio en el campo From visible aunque usted tenga SPF y DKIM configurados. Pueden engañar a sus clientes, proveedores o empleados y dañar su marca.

La adopción de DMARC ha crecido rápidamente. Grandes proveedores como Google, Microsoft y Yahoo admiten y aplican DMARC cuando un remitente publica un registro. Miles de millones de buzones en todo el mundo reconocen DMARC, y la adopción por parte de los remitentes sigue aumentando. Más de siete millones de dominios publican registros DMARC y la cifra crece cada trimestre. En octubre de 2023, Gmail y Yahoo anunciaron que los remitentes masivos deben tener DMARC habilitado para garantizar la entrega en bandeja de entrada. Las organizaciones que se retrasan corren el riesgo de que sus mensajes vayan a carpetas de spam o sean rechazados directamente.

Implementar DMARC mejora la seguridad del correo electrónico y potencia la entregabilidad. Cuando los receptores saben que su dominio está protegido por DMARC, es más probable que confíen en sus mensajes. DMARC también abre la puerta a otros estándares como Brand Indicators for Message Identification (BIMI), que muestra el logotipo de su marca en las bandejas de entrada compatibles. Más allá de la seguridad, DMARC aporta visibilidad sobre quién envía correos en nombre de su dominio. Los informes destacan remitentes legítimos, servicios mal configurados y actores maliciosos. Esta información le permite reforzar la autenticación y eliminar fuentes no autorizadas.

Informes y monitorización de DMARC

Los informes DMARC son un componente central del protocolo. Los informes agregados se envían en formato XML y resumen todos los resultados de autenticación de su dominio durante un período de tiempo, generalmente un día. Cada registro muestra la dirección IP de origen, el número de mensajes y si SPF y DKIM han pasado o fallado. Los datos agregados facilitan la identificación de patrones y permiten ver qué fuentes son legítimas y cuáles son sospechosas.

Los informes de fallo, denominados a veces informes forenses, proporcionan información más detallada sobre los mensajes individuales que no superaron DMARC. Incluyen fragmentos de la cabecera del mensaje infractor, la dirección IP de origen y el motivo del fallo. Los informes forenses son valiosos para depurar configuraciones incorrectas, aunque no todos los proveedores los admiten porque pueden exponer datos personales. En esos casos, los informes agregados siguen siendo la herramienta principal.

Supervisar los informes DMARC manualmente puede ser un reto. El formato XML es extenso y el volumen de datos puede ser elevado, especialmente en dominios con mucho tráfico de correo. Convertir datos brutos en información útil requiere herramientas de análisis y experiencia. Una monitorización eficaz implica seguir las tasas de éxito, identificar nuevos remitentes, detectar picos de fallos e investigar anomalías. Esto puede volverse muy demandante, especialmente cuando gestiona múltiples dominios.

Implementación de DMARC paso a paso

El despliegue de DMARC requiere preparación y una implementación cuidadosa. Los siguientes pasos ofrecen un marco de alto nivel:

  1. Prepare su dominio. Asegúrese de tener registros SPF y DKIM funcionales. Enumere todos los servidores y servicios de correo legítimos que envían en nombre de su dominio. Configure el reenvío de correo y los servicios de terceros para que usen correctamente su dominio.
  2. Publique un registro de monitorización. Cree un registro DMARC con p=none, incluya una dirección rua y elija la alineación flexible como punto de partida. Esta configuración recopila informes sin afectar la entrega de correo.
  3. Analice los informes y corrija los problemas. Revise los datos agregados para confirmar qué remitentes son legítimos y qué servicios están fallando en la autenticación. Corrija las configuraciones incorrectas o actualice SPF y DKIM. Elimine o reconfigure los remitentes no autorizados. Continúe monitorizando hasta que las tasas de éxito sean consistentes.
  4. Aumente la aplicación. Cambie la política a p=quarantine, comenzando opcionalmente con un valor pct menor para aplicar la política a un subconjunto de mensajes fallidos. Continúe monitorizando para asegurarse de que el correo legítimo no sea redirigido incorrectamente.
  5. Pase a reject. Una vez que esté seguro de que todo el correo legítimo supera la autenticación, establezca p=reject y elimine o ajuste la etiqueta pct. Esta política indica a los receptores que descarten todos los mensajes falsificados. Continúe monitorizando para detectar nuevos problemas o remitentes.
  6. Mantenga y adapte. DMARC no es una tecnología de configurar y olvidar. Actualice sus registros cuando añada nuevos servicios o dominios. Revise los informes con regularidad. Ajuste la alineación o las políticas si es necesario. Considere añadir BIMI y monitorizar los cambios en los requisitos de los proveedores.

Durante el despliegue, tenga en cuenta los posibles retos. Las listas de correo y los reenviadores pueden romper las firmas DKIM o alterar el campo From, haciendo que DMARC falle para mensajes legítimos. Algunos proveedores reescriben la dirección From para evitarlo. Las redes publicitarias, los formularios de contacto y otros servicios de terceros también pueden enviar en su nombre; deben estar correctamente configurados. Comenzar con una política none e ir aumentando gradualmente la aplicación ayuda a detectar estos problemas antes de que afecten a la entrega.

Por qué elegir la solución DMARC adecuada es importante

Gestionar DMARC puede ser complicado, especialmente para organizaciones con múltiples dominios, operaciones globales o recursos técnicos limitados. Analizar informes XML, rastrear cientos de fuentes de envío y mantener una alineación coherente de SPF y DKIM requiere tiempo y experiencia. Las herramientas de automatización y análisis simplifican esta tarea recopilando informes, normalizando datos y presentando información clara.

DMARCFlow es una de esas soluciones. En lugar de posicionarse como un proveedor más, DMARCFlow adopta un enfoque integral de la autenticación del correo electrónico. La plataforma ofrece:

  • Monitorización con inteligencia artificial. Los modelos de aprendizaje automático detectan anomalías, patrones de envío inusuales e intentos de suplantación con mayor rapidez que la revisión manual. Esto reduce el tiempo de respuesta cuando surgen amenazas.
  • Paneles de control intuitivos. Los informes se convierten en gráficos visuales y resúmenes claros. Incluso los usuarios sin conocimientos técnicos pueden ver qué fuentes envían correo, cuántos mensajes pasan o fallan y dónde surgen los problemas.
  • Configuración guiada y generación de registros. DMARCFlow proporciona asistentes para crear correctamente los registros SPF, DKIM y DMARC. Ayuda a simplificar los registros SPF complejos y a gestionar múltiples selectores, evitando el límite habitual de diez consultas DNS.
  • Gestión multidominios. Las organizaciones pueden gestionar múltiples dominios y subdominios desde una sola interfaz. Las políticas se pueden aplicar a nivel de grupo y las excepciones se gestionan individualmente.
  • Informes completos. Los informes diarios y semanales resumen tanto los datos agregados como los forenses. Los paneles visuales destacan tendencias, nuevos remitentes y posibles abusos. Las alertas notifican a los administradores sobre cambios repentinos.
  • Protección de datos europea. DMARCFlow almacena todos los datos exclusivamente en la Unión Europea y cumple los requisitos del Reglamento General de Protección de Datos (RGPD). Los datos personales no se conservan. Esto hace que DMARCFlow sea especialmente adecuado para las empresas europeas y cualquier organización sujeta a estrictas leyes de privacidad.
  • Despliegue rápido. La configuración inicial puede completarse en minutos. Un asistente guiado le lleva a través de la adición de registros DNS y su validación. No se requieren conocimientos profundos de DNS.
  • Precios transparentes y soporte real. DMARCFlow ofrece planes claros sin tarifas ocultas ni penalizaciones por volumen. Personas reales ayudan con la configuración y la resolución de problemas, lo cual es muy valioso al navegar por infraestructuras de correo complejas.

En la práctica, estas características hacen que DMARCFlow sea muy adecuado para organizaciones que desean una seguridad de correo sólida sin necesidad de desarrollar experiencia interna. El motor de inteligencia artificial detecta problemas que los humanos podrían pasar por alto. El enfoque en el cumplimiento del RGPD garantiza que los datos sensibles permanezcan dentro de las jurisdicciones europeas. El generador de registros y el escáner de riesgos reducen la posibilidad de configuraciones incorrectas. Para las empresas que ya cuentan con alguna medida de seguridad de correo, DMARCFlow complementa las puertas de enlace de correo seguro y la protección de endpoints abordando la autenticación y la suplantación de marca.

Conclusión

DMARC es una herramienta poderosa que ayuda a proteger su dominio frente a la suplantación, el phishing y otras formas de abuso del correo electrónico. Se apoya en SPF y DKIM, alinea la dirección From visible con los dominios de autenticación subyacentes y le da control sobre cómo se gestionan los mensajes no conformes. También proporciona informes valiosos que arrojan luz sobre sus flujos de correo. Implementar DMARC requiere planificación, monitorización y mantenimiento continuo, pero los beneficios son claros: mayor seguridad, mejor entregabilidad y más confianza.

Elegir la solución DMARC adecuada puede hacer el proceso mucho más sencillo. Con su monitorización basada en inteligencia artificial, paneles fáciles de usar, configuración guiada y sólida postura de protección de datos, DMARCFlow ofrece una forma pragmática de lograr el cumplimiento DMARC y mantenerse por delante de las amenazas de correo en constante evolución. Tanto si gestiona un único dominio como muchos, adoptar DMARC y asociarse con una plataforma competente fortalecerá su postura de seguridad del correo electrónico y protegerá su marca.