Notificación

Duet AI ahora es Gemini para Google Workspace. Más información

Definir registros DMARC

Protégete contra el spoofing y el phishing, y evita que tus mensajes se marquen como spam

La política de autenticación basada en dominios para mensajes, informes y conformidad (DMARC) se define en una línea de valores de texto, denominada registro DMARC. El registro define:

  • El grado mínimo de coincidencia que debe comprobar DMARC en los mensajes
  • Las acciones recomendadas para el servidor que recibe los mensajes cuando estos no superan las comprobaciones de autenticación.

Opciones de la política de DMARC

La política de DMARC recomienda al servidor de correo que recibe los mensajes lo que debe hacer cuando el mensaje de tu dominio no supere la autenticación de DMARC.

A continuación se muestra un registro de política de DMARC de ejemplo. Al principio del registro tienen que estar las etiquetas v y p, pero las demás pueden aparecer en cualquier orden:

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s

Definiciones y valores de las etiquetas de registro DMARC

Etiqueta Descripción y valores
v

Versión de DMARC. Debe ser DMARC1.

Esta etiqueta es obligatoria.
p Indica a los servidores que reciben correo qué deben hacer con los mensajes que no superen la autenticación.
  • none (nada): no se hace nada con los mensajes, que se entregan a sus destinatarios. Esos mensajes se registran en un informe diario que se envía a la dirección de correo especificada con la opción rua del registro.
  • quarantine— (poner en cuarentena): marca los mensajes como spam y los envía a la carpeta de spam de los destinatarios, que pueden revisarlos para determinar cuáles son legítimos.
  • reject— (rechazar): rechaza los mensajes. Con esta opción, los servidores que reciben los correos suelen enviar un mensaje de rebote al servidor remitente.

Esta etiqueta es obligatoria.

Nota sobre BIMI: Si tu dominio utiliza BIMI, se debe seleccionar el valor quarantine (poner en cuarentena) o reject (rechazar) en la opción p de DMARC. BIMI no admite las políticas de DMARC en las que se ha seleccionado none (nada) en la opción p.
pct

Indica el porcentaje de mensajes sin autenticar que están sujetos a la política de DMARC. Cuando se implementa DMARC gradualmente, se suele empezar a usar con un porcentaje pequeño de los mensajes. A medida que vayan aumentando los mensajes de tu dominio que superan la autenticación con los servidores que los reciben, incrementa este porcentaje hasta que llegue al 100 %.

Debe ser un número entero del 1 al 100. Si no incluyes esta etiqueta en tu registro, tu política de DMARC afectará al 100 % de los mensajes que se envíen desde tu dominio.

Esta etiqueta es opcional.

Nota sobre BIMI: Si tu dominio utiliza BIMI, la política de DMARC debe tener un valor de pct de 100. BIMI no admite las políticas de DMARC cuyo valor de pct es inferior a 100.
rua

Dirección de correo a la que enviar los informes de actividad de DMARC de tu dominio.

La dirección de correo debe incluir la etiqueta mailto:
(por ejemplo, mailto:dmarc-reports@solarmora.com).

Para enviar informes de DMARC a varios correos electrónicos, separa cada dirección con una coma y añade el prefijo mailto: antes de cada dirección. Por ejemplo:
mailto:dmarc-reports@solarmora.com, mailto:dmarc-admin@solarmora.com

Si incluyes esta etiqueta, es posible que las direcciones indicadas acaben recibiendo muchos correos con informes. Por eso, te recomendamos que no uses tu propia dirección de correo, sino que utilices un buzón de correo dedicado, un grupo o un servicio externo especializado en informes de DMARC.

Esta etiqueta es opcional.
ruf

No se sincronizan. Gmail no admite la etiqueta ruf, que se usa para enviar informes de error. Los informes de errores también se denominan informes forenses.
sp Define qué hacer con los mensajes de los subdominios de tu dominio principal. Utiliza esta opción si quieres usar una política de DMARC diferente en tus subdominios.

  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.

  • quarantine (poner en cuarentena): marca los mensajes como spam y los envía a la carpeta de spam de los destinatarios, que pueden revisarlos para determinar cuáles son legítimos.
  • reject (rechazar): rechaza los mensajes. Con esta opción, los servidores que reciben los correos deberían enviar un mensaje de rebote al servidor remitente.

Si no incluyes esta opción en el registro, los subdominios heredarán la política de DMARC del dominio superior.

Esta etiqueta es opcional.
adkim Define la política de concordancia de DKIM, que especifica el grado mínimo de coincidencia que debe haber entre la información del mensaje y las firmas de DKIM. Consulta cómo funciona la concordancia.
  • s: concordancia estricta. El nombre de dominio del remitente debe ser igual al valor d=nombrededominio correspondiente de los encabezados de correo de DKIM.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.

Esta etiqueta es opcional.
aspf Define la política de concordancia de SPF, que especifica el grado mínimo de coincidencia que debe haber entre la información del mensaje y las firmas de SPF. Consulta cómo funciona la concordancia.
  • s: concordancia estricta. En el encabezado De: tiene que figurar el mismo nombre de dominio que hay en el comando SMTP MAIL FROM.
  • r: concordancia parcial (opción predeterminada). Se permiten las coincidencias parciales y se acepta cualquier subdominio válido del nombre de dominio indicado.

Esta etiqueta es opcional.

Cuando empieces a utilizar DMARC, te recomendamos que apliques una política cuyo valor de adopción de medidas sea none (nada). A medida que aprendas cómo los servidores que reciben los mensajes autentican los mensajes de tu dominio, ve actualizando la política. Con el tiempo, cambia el valor de la política de recepción a quarantine (poner en cuarentena) y, por último, a reject (rechazar). Para ver un ejemplo de política DMARC que se actualiza durante una implementación de DMARC, consulta el artículo Tutorial: Implementación de DMARC recomendada.

Política de implementación obligatoria Acción recomendada Más información
none No se realiza ninguna acción en los mensajes que no superan las comprobaciones de DMARC del servidor que recibe el mensaje. Los mensajes se entregan normalmente al destinatario.

Te recomendamos que utilices esta opción cuando configures DMARC por primera vez. Con la opción none (nada), los mensajes de tu dominio se entregan con normalidad. Durante el periodo en que el valor de tu política sea none (nada), revisa los informes de DMARC periódicamente para saber cómo se autentica y envía tu correo.

Los informes de DMARC que te envían los servidores de destino incluyen detalles sobre los mensajes que ni SPF ni DKIM pueden autenticar. Si determinas que una gran cantidad de mensajes de tu dominio se envían a la carpeta de spam, revisa la configuración de SPF y DKIM. Más información sobre cómo solucionar problemas de DMARC

En la política, no selecciones las opciones de implementación obligatoria quarantine (poner en cuarentena) o reject (rechazar) hasta que sepas qué mensajes no se autentican en los servidores que reciben los mensajes.

Nota sobre BIMI: Si tu dominio utiliza BIMI, se deberá seleccionar el valor quarantine (poner en cuarentena) o reject (rechazar) en la opción p de la política de implementación obligatoria de DMARC. BIMI no admite las políticas de DMARC en las que se ha seleccionado none (nada) en la opción p.
quarantine Los mensajes que el servidor de destino no ha autenticado con DMARC se envían a la carpeta de spam del destinatario. Si el servidor de correo de destino tiene la cuarentena configurada, los mensajes se pueden poner en cuarentena y no enviarse directamente a la carpeta de spam del destinatario. Con esta opción sigues recibiendo informes de DMARC.
reject Los mensajes que el servidor de destino no ha autenticado con DMARC se rechazan y nunca llegan a entregarse al destinatario. El servidor de destino suele enviar un mensaje de rebote al remitente.

Recomendamos el uso de reject (rechazar) como opción permanente y definitiva para todas las políticas de DMARC.

Con esta opción sigues recibiendo informes de DMARC.

Elige esta opción para tu política cuando veas en los informes de DMARC que todos los mensajes válidos se autentican y se entregan con normalidad. Si rechazas los mensajes no autenticados, podrás evitar el spam, el spoofing y el phishing.

Opciones de concordancia de DMARC

DMARC comprueba mediante SPF o DKIM los mensajes y los aprueba o no dependiendo de si su encabezado De: coincide con el dominio del remitente. Este proceso se denomina concordancia.

Puedes elegir entre dos modos de concordancia: estricta y flexible. Especifica el modo de concordancia de SPF y DKIM en el registro DMARC. Las etiquetas de registro DMARC aspf y adkim definen el modo de concordancia.

Te recomendamos que pases a usar la concordancia estricta para aumentar la protección contra el spoofing en estos casos:

  • El correo se ha enviado a tu dominio desde un subdominio ajeno a tu control
  • Hay subdominios gestionados por otra entidad

Para superar DMARC, los mensajes deben superar al menos una de estas comprobaciones:

  • Autenticación SPF y concordancia SPF
  • Autenticación DKIM y concordancia DKIM

Un mensaje no supera una comprobación de DMARC si no cumple estas dos condiciones:

  • SPF (o concordancia SPF)
  • DKIM (o concordancia DKIM)
Importante: La concordancia parcial proporciona por lo general suficiente protección contra spoofing. Con la concordancia estricta, es posible que los mensajes de subdominios asociados se rechacen o se envíen a spam.
Método de autenticación Concordancia estricta Concordancia flexible
SPF Hay una coincidencia exacta entre el dominio autenticado SPF y el dominio del encabezado De:. El dominio del encabezado De: debe ser el dominio autenticado SPF o uno de sus subdominios.
DKIM Hay una coincidencia exacta entre el dominio DKIM correspondiente y el dominio que aparece en el encabezado De:. El dominio del encabezado De: debe coincidir o ser un subdominio del dominio especificado en la etiqueta d= de la firma DKIM.

Entender al remitente del sobre y las direcciones De:

Los mensajes de correo electrónico tienen dos tipos de direcciones que indican el remitente. Es importante conocer la diferencia entre estas direcciones al configurar SPF, DKIM y DMARC.

La dirección del remitente del sobre y la dirección De: de un mensaje pueden ser diferentes o no.

Dirección del remitente del sobre: la dirección de correo que indica de dónde procede el mensaje. Las notificaciones de mensajes que no se pueden entregar y los rebotes se envían a esta dirección. La dirección del remitente del sobre también se conoce como la dirección de Return-Path o de devolución. Los destinatarios de los mensajes no ven las direcciones de los remitentes de los sobres.

SPF utiliza esta dirección para llevar a cabo la autenticación.

La dirección De: es la dirección de correo electrónico del encabezado del mensaje. Los mensajes tienen dos partes: el encabezado y el cuerpo. El encabezado contiene información sobre el mensaje, como el nombre y la dirección de correo electrónico del remitente, el asunto y la fecha de envío. El encabezado De: incluye la dirección de correo electrónico, que suele ser el nombre de la persona que envió el mensaje.

DKIM usa la dirección De: para llevar a cabo la autenticación.

Ejemplo de concordancia SPF

Con SPF, la concordancia compara el dominio autenticado por SPF (normalmente la dirección del remitente del sobre) con el del encabezado del mensaje De:. A continuación se muestran algunos ejemplos de concordancia con sus resultados de comprobación de SPF.

Dirección del remitente del sobre Dirección del encabezado De: Concordancia estricta Concordancia flexible
jon@solarmora.com jon@solarmora.com Superada Superada
jon@mail.solarmora.com jon@solarmora.com No superada Superada
jon@solarmora.org jon@solarmora.com No superada No superada

Ejemplo de concordancia DKIM

Con DKIM, la concordancia compara el valor del campo de dominio DKIM-signature (d=) del encabezado del mensaje con el del encabezado De:.

A continuación se muestran algunos ejemplos de concordancia con sus resultados de comprobación de DKIM:

Encabezado De: DKIM d=domain Concordancia estricta Concordancia flexible
jon@solarmora.com solarmora.com Superada Superada
jon@mail.solarmora.com solarmora.com No superada Superada
jon@solarmora.org solarmora.com No superada No superada

Opciones de los informes de DMARC

Puedes configurar DMARC para que solicite informes periódicos a los servidores de correo electrónico que reciben mensajes de tu dominio.

En los informes de DMARC se muestran los siguientes datos:

  • Qué servidores o remitentes de terceros envían correo a tu dominio.
  • Qué porcentaje de los mensajes de tu dominio superan las comprobaciones de DMARC.
  • Qué servidores o servicios están enviando mensajes que no superan las comprobaciones de DMARC.
  • Qué acciones de DMARC toma el servidor de destino cuando detecta mensajes no autenticados de tu dominio: none, quarantine o reject.

Para empezar a recibir informes de DMARC, coloca una etiqueta de registro DMARC rua en tu registro.

Más información sobre los informes de DMARC

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
5334430823821629599
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false