DocumentaciónGuía de prácticas recomendadas de entrega

Implementar Domain-based Message Authentication, Reporting and Conformance (DMARC)

Última actualización: 5 de mayo de 2025

Creado para:

  • {"id":"e8ccd51f-da0d-4e3b-939b-e30d5ebb1ea5"}
  • {"id":"c66ffd68-0f65-42bb-aa23-b4020f12e0bd"}

El propósito de este documento es proporcionar al lector más información sobre el método de autenticación de correo electrónico, DMARC. Al explicar cómo funciona DMARC y sus distintas opciones de directiva, los lectores entenderán mejor el impacto de DMARC en la capacidad de envío de correo electrónico.

¿Qué es DMARC? about

Domain-based Message Authentication, Reporting and Conformance es un método de autenticación por correo electrónico que permite a los propietarios de dominio proteger su dominio contra el uso no autorizado. DMARC también proporciona comentarios sobre el estado de autenticación de correo electrónico y permite a los remitentes controlar qué sucede con los correos electrónicos que no se autentican correctamente. Esto incluye opciones para monitorizar, poner en cuarentena o rechazar correo según la política de DMARC que se haya implementado.

DMARC tiene tres opciones de directiva:

  • Supervisar (p=ninguno): Indica al proveedor o ISP del buzón que haga lo que normalmente haría con el mensaje.
  • Cuarentena (p=cuarentena): Indica al proveedor/ISP del buzón que debe enviar el correo que no pasa DMARC a la carpeta de correo no deseado del destinatario.
  • Rechazar (p=reject): Indica al proveedor/ISP del buzón que bloquee el correo que no pasa DMARC, lo que provoca un rechazo.

¿Cómo funciona DMARC? how

SPF y DKIM se utilizan para asociar un correo electrónico con un dominio y trabajar juntos para autenticar el correo electrónico. DMARC va más allá y ayuda a evitar la suplantación haciendo coincidir el dominio comprobado por DKIM y SPF. Para pasar DMARC, un mensaje debe pasar SPF o DKIM. Si ambas no se autentican correctamente, DMARC fallará y el correo electrónico se enviará según la directiva de DMARC seleccionada.

NOTE
DMARC requiere la alineación entre las direcciones "De" y "Return-Path".

¿Por qué debería implementarse DMARC? why

DMARC es opcional y, aunque no es obligatoria, es gratuita y permite a los receptores de correo electrónico identificar fácilmente la autenticación de correos electrónicos, lo que podría mejorar la entrega. Una de las ventajas clave de DMARC es que ofrece informes sobre los mensajes que fallan en SPF o DKIM. También proporciona a los remitentes un grado de control sobre lo que sucede con el correo que no pasa ninguno de estos métodos de autenticación. A través de los informes de DMARC, los remitentes obtienen visibilidad sobre los mensajes que fallan en DMARC, lo que permite realizar pasos para mitigar más errores.

NOTE
Si desea implementar BIMI, se requiere una directiva p=quarantine o p=reject de DMARC.

Prácticas recomendadas para implementar DMARC best-practice

Como DMARC es opcional, no se configura de forma predeterminada en ninguna plataforma de ESP. Debe crearse un registro DMARC en DNS para que su dominio funcione. Además, se requiere una dirección de correo electrónico de su elección para indicar a dónde deben ir los informes de DMARC dentro de su organización. Como práctica recomendada, lo es
se recomienda desplegar lentamente la implementación de DMARC escalando la política de DMARC de p=none, p=quarantine, a p=reject a medida que obtiene la comprensión de DMARC del impacto potencial de DMARC.

  1. Analice los comentarios que recibe y utiliza (p=ninguno), lo que indica al destinatario que no realice ninguna acción contra los mensajes que no se autentican correctamente, pero que envíe informes de correo electrónico al remitente. Además, revise y corrija los problemas con SPF/DKIM si los mensajes legítimos fallan en la autenticación.

  2. Determine si SPF y DKIM están alineados y pasa la autenticación para todo el correo electrónico legítimo y, a continuación, mueva la directiva a (p=quarantine), que indica al servidor de correo electrónico receptor que ponga en cuarentena el correo electrónico que falla en la autenticación (esto generalmente significa colocar esos mensajes en la carpeta de correo no deseado).

  3. Ajustar directiva a (p=reject). La directiva p= rechazar indica al destinatario que deniegue (rechace) completamente cualquier correo electrónico del dominio que falle en la autenticación. Con esta directiva habilitada, solo el correo electrónico verificado como 100 % autenticado por el dominio tendrá la oportunidad de ser ubicado en la bandeja de entrada.

    note
    NOTE
    Utilice esta directiva con precaución y determine si es apropiada para su organización.

Informes de DMARC reporting

DMARC ofrece la capacidad de recibir informes sobre los correos electrónicos que fallan en SPF/DKIM. Los proveedores de servicios de ISP generan dos informes diferentes como parte del proceso de autenticación que los remitentes pueden recibir a través de las etiquetas RUA/RUF en su directiva de DMARC:

  • Informes agregados (RUA): No contiene ninguna PII (información de identificación personal) que pueda ser confidencial con respecto al RGPD.
  • Informes forenses (RUF): Contiene direcciones de correo electrónico que distinguen entre RGPD. Antes de utilizar, es mejor comprobar internamente cómo tratar la información que necesita cumplir con el RGPD.

El uso principal de estos informes es recibir una descripción general de los correos electrónicos que se intentan suplantar. Se trata de informes muy técnicos que se digieren mejor con una herramienta de terceros. Algunas empresas especializadas en la monitorización de DMARC son:

CAUTION
Si las direcciones de correo electrónico que está añadiendo para recibir informes se encuentran fuera del dominio para el que se ha creado el registro DMARC, debe autorizar al dominio externo para especificar al DNS que es propietario de este dominio. Para ello, siga los pasos que se detallan en la sección Documentación de dmarc.org

Ejemplo de registro de DMARC example

v=DMARC1; p=reject; fo=1; rua=mailto:dmarc_rua@emaildefense.proofpoint.com;ruf=mailto:dmarc_ruf@emaildefense.proofpoint.co

Etiquetas de DMARC y lo que hacen tags

Los registros de DMARC tienen varios componentes denominados etiquetas de DMARC. Cada etiqueta tiene un valor que especifica un aspecto determinado de DMARC.

Nombre de etiqueta
Obligatorio/Opcional
Función
Ejemplo
Valor predeterminado
v
Requerido
Esta etiqueta de DMARC especifica la versión. De momento solo hay una versión, por lo que tendrá un valor fijo de v=DMARC1
V=DMARC1 DMARC1
DMARC1
p
Requerido
Muestra la directiva de DMARC seleccionada y dirige al receptor a informar, poner en cuarentena o rechazar el correo que no supera las comprobaciones de autenticación.
p=ninguno, cuarentena o rechazo
-
fo
Opcional
Permite al propietario del dominio especificar las opciones de creación de informes.
0: Generar informe si todo falla
1: Generar informe si algo falla
d: Generar informe si DKIM falla
s: Generar informe si SPF falla
1 (recomendado para informes de DMARC)
pct
Opcional
Indica el porcentaje de mensajes sujetos al filtrado.
pct=20
100
rua
Opcional (recomendado)
Identifica dónde se enviarán los informes agregados.
rua=mailto:aggrep@example.com
-
tugurio
Opcional (recomendado)
Identifica dónde se enviarán los informes forenses.
ruf=mailto:authfail@example.com
-
sp
Opcional
Especifica la directiva de DMARC para los subdominios del dominio principal.
sp=reject
-
adkim
Opcional
Puede ser Estricto (s) o Relajado ®. La alineación relajada significa que el dominio utilizado en la firma de DKIM puede ser un subdominio de la dirección “De”. Alineación estricta significa que el dominio utilizado en la firma de DKIM debe coincidir exactamente con el dominio utilizado en la dirección de origen.
adkim=r
r
aspf
Opcional
Puede ser Estricto (s) o Relajado ®. La alineación relajada significa que el dominio ReturnPath puede ser un subdominio de la dirección remitente. La alineación estricta significa que el dominio Return-Path debe coincidir exactamente con la dirección From.
aspf=r
r

DMARC y ADOBE CAMPAIGN campaign

NOTE
Si la instancia de Campaign está alojada en AWS, puede implementar DMARC para los subdominios con el Panel de control de Campaign. Obtenga información sobre cómo implementar registros de DMARC mediante el Panel de control de Campaign.

Un motivo común de los errores de DMARC es la falta de alineación entre las direcciones “De” y “Errores a” o “Ruta de retorno”. Para evitarlo, al configurar DMARC, se recomienda comprobar la configuración de las direcciones “De” y “Errores a” en las plantillas de envío.

  1. En la plantilla de envío, revise qué dirección está configurada actualmente como dirección de origen.

  2. Desde aquí, seleccione “Propiedades” para poder editar más la plantilla de envíos. En esta ventana, seleccione SMTP y desmarque “Usar la dirección de error predeterminada definida para la plataforma” si está seleccionado. Plantillas de envío en Adobe Campaign: seleccione esta casilla de verificación de forma predeterminada. La dirección de error predeterminada puede no ser la dirección asociada con la dirección de origen en esta plantilla de envío.

  3. Cuando esta casilla está desactivada, aparece un campo de texto que permite introducir una dirección de error única que utiliza el mismo dominio que se ha definido en la dirección de origen.

Una vez guardados estos cambios, podrá avanzar con la implementación de DMARC con la alineación de dominio correcta.

recommendation-more-help
deliverability-learn-help-deliverabilty-main