Definir registros DMARC

Tu política de DMARC se define en una línea de valores de texto, denominada registro DMARC. El registro define cómo de estrictamente debe comprobar DMARC los mensajes y qué hacer cuando los mensajes no superan las comprobaciones de autenticación.

Opciones de la política de DMARC

La política de DMARC recomienda al servidor de correo que recibe los mensajes lo que debe hacer cuando el mensaje de tu dominio no supere la autenticación de DMARC.

Cuando empieces a utilizar DMARC, te recomendamos que apliques una política cuyo valor de adopción de medidas sea none (nada). A medida que aprendas cómo los servidores que reciben los mensajes autentican los mensajes de tu dominio, ve actualizando la política. Con el tiempo, cambia el valor de la política de recepción a quarantine (poner en cuarentena) y, por último, a reject (rechazar). 

Política de adopción de medidas Acción recomendada para el mensaje Más información
none No se realiza ninguna acción en los mensajes que no superan las comprobaciones de DMARC del servidor que recibe el mensaje. Los mensajes se entregan normalmente al destinatario.

Te recomendamos que utilices esta opción cuando configures DMARC por primera vez para que los mensajes de tu dominio se entreguen con normalidad. Durante el periodo en que el valor de tu política sea none, revisa los informes de DMARC periódicamente para saber cómo se autentica y envía tu correo.

Los informes de DMARC que recibes incluyen detalles sobre los mensajes que no se pueden autenticar con SPF ni con DKIM. Si se envía una gran cantidad de mensajes de tu dominio a la carpeta de spam, revisa la configuración de SPF y DKIM. Más información sobre cómo solucionar problemas de DMARC

En la política, no selecciones las opciones de adopción de medidas quarantine o reject hasta que sepas qué cantidad de mensajes no se autentican en los servidores que reciben los mensajes y cuáles son.

quarantine Los mensajes que el servidor de destino no ha autenticado con DMARC se envían a la carpeta de spam del destinatario. Con esta opción sigues recibiendo informes de DMARC.
reject Los mensajes que el servidor de destino no ha autenticado con DMARC se rechazan y nunca llegan a entregarse al destinatario. El servidor de recepción suele enviar un mensaje de rebote al remitente.

Recomendamos reject como opción permanente y definitiva para todas las políticas de DMARC.

Con esta opción sigues recibiendo informes de DMARC.

Elige esta opción para tu política cuando veas en los informes de DMARC que todos los mensajes válidos se autentican y se entregan con normalidad. Si rechazas los mensajes no autenticados, podrás evitar el spam, el spoofing y el phishing.

Opciones de concordancia de DMARC

DMARC comprueba mediante SPF o DKIM los mensajes y los aprueba o no dependiendo de si su encabezado De: coincide con el dominio del remitente. Este proceso se denomina concordancia.

Puedes elegir entre dos modos de concordancia: estricta y flexible. Especifica el modo de concordancia de SPF y DKIM en el registro DMARC. Las etiquetas de registro DMARC aspf y adkim definen el modo de concordancia.

Nota: Normalmente, la concordancia debería ser suficiente protección contra el spoofing. Si se selecciona una concordancia estricta, es posible que más mensajes se rechacen o se envíen a spam.

Te recomendamos que pases a usar la concordancia estricta para aumentar la protección contra el spoofing en estos casos:

  • El correo se ha enviado a tu dominio desde un subdominio ajeno a tu control
  • Hay subdominios gestionados por otra entidad

Para superar DMARC, los mensajes deben superar al menos una de estas comprobaciones:

  • Autenticación SPF y concordancia SPF
  • Autenticación DKIM y concordancia DKIM

Un mensaje no supera una comprobación de DMARC si no cumple estas dos condiciones:

  • SPF o concordancia SPF
  • DKIM o concordancia DKIM
Método de autenticación Concordancia estricta Concordancia flexible
SPF Hay una coincidencia exacta entre el dominio autenticado SPF y el dominio del encabezado De:. El dominio del encabezado De: debe ser el dominio autenticado SPF o uno de sus subdominios.
DKIM Hay una coincidencia exacta entre el dominio DKIM correspondiente y el dominio que aparece en el encabezado De:. El dominio del encabezado De: debe coincidir o ser un subdominio del dominio especificado en la etiqueta d= de la firma DKIM.

Entender al remitente del sobre y las direcciones De:

Los mensajes de correo electrónico tienen dos tipos de direcciones que indican el remitente. Es importante conocer la diferencia entre estas direcciones al configurar SPF, DKIM y DMARC.

La dirección del remitente del sobre y la dirección De: de un mensaje pueden ser diferentes o no.

Dirección del remitente del sobre: la dirección de correo electrónico que indica de dónde procede el mensaje. Las notificaciones de mensajes que no se pueden entregar y los rebotes se envían a esta dirección. La dirección del remitente del sobre también se conoce como la de Return-Path, el correo de la dirección De: o la dirección de devolución. Los destinatarios de los mensajes no ven las direcciones de los remitentes de los sobres.

SPF utiliza esta dirección para llevar a cabo la autenticación.

Dirección De: la dirección de correo electrónico del encabezado del mensaje. Los mensajes tienen dos partes: el encabezado y el cuerpo. El encabezado contiene información sobre el mensaje, como el nombre y la dirección de correo electrónico del remitente, el asunto y la fecha de envío. El encabezado De: incluye la dirección de correo electrónico, que suele ser el nombre de la persona que envió el mensaje.

DKIM usa la dirección De: para llevar a cabo la autenticación.

Ejemplo de concordancia SPF

Con SPF, la concordancia compara el dominio autenticado por SPF (normalmente la dirección del remitente del sobre) con el del encabezado del mensaje De:. A continuación se muestran algunos ejemplos de concordancia con sus resultados de comprobación de SPF.

Dirección del remitente del sobre Dirección del encabezado De: Concordancia estricta Concordancia flexible
jon@solarmora.com jon@solarmora.com Superada Superada
jon@mail.solarmora.com jon@solarmora.com No superada Superada
jon@solarmora.org jon@solarmora.com No superada No superada

Ejemplo de concordancia DKIM

Con DKIM, la concordancia compara el valor del campo de dominio DKIM-signature (d=) del encabezado del mensaje con el del encabezado De:. A continuación se muestran algunos ejemplos de concordancia con sus resultados de comprobación de DKIM.

Encabezado De: DKIM d=domain Concordancia estricta Concordancia flexible
jon@solarmora.com solarmora.com Superada Superada
jon@mail.solarmora.com solarmora.com No superada Superada
jon@solarmora.org solarmora.com No superada No superada

Opciones de los informes de DMARC

Puedes configurar DMARC para que solicite informes periódicos a los servidores de correo electrónico que reciben mensajes de tu dominio.

En los informes de DMARC se muestran los siguientes datos:

  • Qué servidores o remitentes de terceros envían correo a tu dominio.
  • Qué porcentaje de los mensajes de tu dominio superan las comprobaciones de DMARC.
  • Qué servidores o servicios están enviando mensajes que no superan las comprobaciones de DMARC.
  • Qué acciones de DMARC toma el servidor de destino cuando detecta mensajes no autenticados de tu dominio: none, quarantine o reject.

Para empezar a recibir informes de DMARC, coloca una etiqueta de registro DMARC rua en tu registro.

Más información sobre los informes de DMARC

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.