La política de autenticación basada en dominios para mensajes, informes y conformidad (DMARC) se define en una línea de valores de texto, denominada registro DMARC. El registro define:
- El grado mínimo de coincidencia que debe comprobar DMARC en los mensajes
- Las acciones recomendadas para el servidor que recibe los mensajes cuando estos no superan las comprobaciones de autenticación.
Opciones de la política de DMARC
La política de DMARC recomienda al servidor de correo que recibe los mensajes lo que debe hacer cuando el mensaje de tu dominio no supere la autenticación de DMARC.
A continuación se muestra un registro de política de DMARC de ejemplo. Al principio del registro tienen que estar las etiquetas v y p, pero las demás pueden aparecer en cualquier orden:
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
Definiciones y valores de las etiquetas de registro DMARC
Etiqueta | Descripción y valores |
v |
Versión de DMARC. Debe ser DMARC1. Esta etiqueta es obligatoria. |
p | Indica a los servidores que reciben correo qué deben hacer con los mensajes que no superen la autenticación.
Esta etiqueta es obligatoria. Nota sobre BIMI: Si tu dominio utiliza BIMI, se debe seleccionar el valor quarantine (poner en cuarentena) o reject (rechazar) en la opción p de DMARC. BIMI no admite las políticas de DMARC en las que se ha seleccionado none (nada) en la opción p. |
pct |
Indica el porcentaje de mensajes sin autenticar que están sujetos a la política de DMARC. Cuando se implementa DMARC gradualmente, se suele empezar a usar con un porcentaje pequeño de los mensajes. A medida que vayan aumentando los mensajes de tu dominio que superan la autenticación con los servidores que los reciben, incrementa este porcentaje hasta que llegue al 100 %. Debe ser un número entero del 1 al 100. Si no incluyes esta etiqueta en tu registro, tu política de DMARC afectará al 100 % de los mensajes que se envíen desde tu dominio. Esta etiqueta es opcional. Nota sobre BIMI: Si tu dominio utiliza BIMI, la política de DMARC debe tener un valor de pct de 100. BIMI no admite las políticas de DMARC cuyo valor de pct es inferior a 100. |
rua |
Dirección de correo a la que enviar los informes de actividad de DMARC de tu dominio. La dirección de correo debe incluir la etiqueta mailto: Para enviar informes de DMARC a varios correos electrónicos, separa cada dirección con una coma y añade el prefijo mailto: antes de cada dirección. Por ejemplo: Si incluyes esta etiqueta, es posible que las direcciones indicadas acaben recibiendo muchos correos con informes. Por eso, te recomendamos que no uses tu propia dirección de correo, sino que utilices un buzón de correo dedicado, un grupo o un servicio externo especializado en informes de DMARC. Esta etiqueta es opcional. |
ruf |
No se sincronizan. Gmail no admite la etiqueta ruf, que se usa para enviar informes de error. Los informes de errores también se denominan informes forenses. |
sp | Define qué hacer con los mensajes de los subdominios de tu dominio principal. Utiliza esta opción si quieres usar una política de DMARC diferente en tus subdominios.
Si no incluyes esta opción en el registro, los subdominios heredarán la política de DMARC del dominio superior. Esta etiqueta es opcional. |
adkim | Define la política de concordancia de DKIM, que especifica el grado mínimo de coincidencia que debe haber entre la información del mensaje y las firmas de DKIM. Consulta cómo funciona la concordancia.
Esta etiqueta es opcional. |
aspf | Define la política de concordancia de SPF, que especifica el grado mínimo de coincidencia que debe haber entre la información del mensaje y las firmas de SPF. Consulta cómo funciona la concordancia.
Esta etiqueta es opcional. |
Cuando empieces a utilizar DMARC, te recomendamos que apliques una política cuyo valor de adopción de medidas sea none (nada). A medida que aprendas cómo los servidores que reciben los mensajes autentican los mensajes de tu dominio, ve actualizando la política. Con el tiempo, cambia el valor de la política de recepción a quarantine (poner en cuarentena) y, por último, a reject (rechazar). Para ver un ejemplo de política DMARC que se actualiza durante una implementación de DMARC, consulta el artículo Tutorial: Implementación de DMARC recomendada.
Política de implementación obligatoria | Acción recomendada | Más información |
none | No se realiza ninguna acción en los mensajes que no superan las comprobaciones de DMARC del servidor que recibe el mensaje. Los mensajes se entregan normalmente al destinatario. |
Te recomendamos que utilices esta opción cuando configures DMARC por primera vez. Con la opción none (nada), los mensajes de tu dominio se entregan con normalidad. Durante el periodo en que el valor de tu política sea none (nada), revisa los informes de DMARC periódicamente para saber cómo se autentica y envía tu correo. Los informes de DMARC que te envían los servidores de destino incluyen detalles sobre los mensajes que ni SPF ni DKIM pueden autenticar. Si determinas que una gran cantidad de mensajes de tu dominio se envían a la carpeta de spam, revisa la configuración de SPF y DKIM. Más información sobre cómo solucionar problemas de DMARC En la política, no selecciones las opciones de implementación obligatoria quarantine (poner en cuarentena) o reject (rechazar) hasta que sepas qué mensajes no se autentican en los servidores que reciben los mensajes. Nota sobre BIMI: Si tu dominio utiliza BIMI, se deberá seleccionar el valor quarantine (poner en cuarentena) o reject (rechazar) en la opción p de la política de implementación obligatoria de DMARC. BIMI no admite las políticas de DMARC en las que se ha seleccionado none (nada) en la opción p. |
quarantine | Los mensajes que el servidor de destino no ha autenticado con DMARC se envían a la carpeta de spam del destinatario. Si el servidor de correo de destino tiene la cuarentena configurada, los mensajes se pueden poner en cuarentena y no enviarse directamente a la carpeta de spam del destinatario. | Con esta opción sigues recibiendo informes de DMARC. |
reject | Los mensajes que el servidor de destino no ha autenticado con DMARC se rechazan y nunca llegan a entregarse al destinatario. El servidor de destino suele enviar un mensaje de rebote al remitente. |
Recomendamos el uso de reject (rechazar) como opción permanente y definitiva para todas las políticas de DMARC. Con esta opción sigues recibiendo informes de DMARC. Elige esta opción para tu política cuando veas en los informes de DMARC que todos los mensajes válidos se autentican y se entregan con normalidad. Si rechazas los mensajes no autenticados, podrás evitar el spam, el spoofing y el phishing. |
Opciones de concordancia de DMARC
DMARC comprueba mediante SPF o DKIM los mensajes y los aprueba o no dependiendo de si su encabezado De: coincide con el dominio del remitente. Este proceso se denomina concordancia.
Puedes elegir entre dos modos de concordancia: estricta y flexible. Especifica el modo de concordancia de SPF y DKIM en el registro DMARC. Las etiquetas de registro DMARC aspf y adkim definen el modo de concordancia.
Te recomendamos que pases a usar la concordancia estricta para aumentar la protección contra el spoofing en estos casos:
- El correo se ha enviado a tu dominio desde un subdominio ajeno a tu control
- Hay subdominios gestionados por otra entidad
Para superar DMARC, los mensajes deben superar al menos una de estas comprobaciones:
- Autenticación SPF y concordancia SPF
- Autenticación DKIM y concordancia DKIM
Un mensaje no supera una comprobación de DMARC si no cumple estas dos condiciones:
- SPF (o concordancia SPF)
- DKIM (o concordancia DKIM)
Entender al remitente del sobre y las direcciones De:
Los mensajes de correo electrónico tienen dos tipos de direcciones que indican el remitente. Es importante conocer la diferencia entre estas direcciones al configurar SPF, DKIM y DMARC.
La dirección del remitente del sobre y la dirección De: de un mensaje pueden ser diferentes o no.
Dirección del remitente del sobre: la dirección de correo que indica de dónde procede el mensaje. Las notificaciones de mensajes que no se pueden entregar y los rebotes se envían a esta dirección. La dirección del remitente del sobre también se conoce como la dirección de Return-Path o de devolución. Los destinatarios de los mensajes no ven las direcciones de los remitentes de los sobres.
SPF utiliza esta dirección para llevar a cabo la autenticación.
La dirección De: es la dirección de correo electrónico del encabezado del mensaje. Los mensajes tienen dos partes: el encabezado y el cuerpo. El encabezado contiene información sobre el mensaje, como el nombre y la dirección de correo electrónico del remitente, el asunto y la fecha de envío. El encabezado De: incluye la dirección de correo electrónico, que suele ser el nombre de la persona que envió el mensaje.
DKIM usa la dirección De: para llevar a cabo la autenticación.
Ejemplo de concordancia SPF
Con SPF, la concordancia compara el dominio autenticado por SPF (normalmente la dirección del remitente del sobre) con el del encabezado del mensaje De:. A continuación se muestran algunos ejemplos de concordancia con sus resultados de comprobación de SPF.
Dirección del remitente del sobre | Dirección del encabezado De: | Concordancia estricta | Concordancia flexible |
jon@solarmora.com |
jon@solarmora.com |
Superada | Superada |
jon@mail.solarmora.com |
jon@solarmora.com |
No superada | Superada |
jon@solarmora.org |
jon@solarmora.com |
No superada | No superada |
Ejemplo de concordancia DKIM
Con DKIM, la concordancia compara el valor del campo de dominio DKIM-signature (d=) del encabezado del mensaje con el del encabezado De:.
A continuación se muestran algunos ejemplos de concordancia con sus resultados de comprobación de DKIM:
Encabezado De: | DKIM d=domain | Concordancia estricta | Concordancia flexible |
jon@solarmora.com |
solarmora.com |
Superada | Superada |
jon@mail.solarmora.com |
solarmora.com |
No superada | Superada |
jon@solarmora.org |
solarmora.com |
No superada | No superada |
Opciones de los informes de DMARC
Puedes configurar DMARC para que solicite informes periódicos a los servidores de correo electrónico que reciben mensajes de tu dominio.
En los informes de DMARC se muestran los siguientes datos:
- Qué servidores o remitentes de terceros envían correo a tu dominio.
- Qué porcentaje de los mensajes de tu dominio superan las comprobaciones de DMARC.
- Qué servidores o servicios están enviando mensajes que no superan las comprobaciones de DMARC.
- Qué acciones de DMARC toma el servidor de destino cuando detecta mensajes no autenticados de tu dominio: none, quarantine o reject.
Para empezar a recibir informes de DMARC, coloca una etiqueta de registro DMARC rua en tu registro.