Tutorial: Implementación de DMARC recomendada

DMARC es un protocolo diseñado para implementarse de forma gradual. Para empezar, recomendamos utilizar una política con el valor none (nada) que solo monitorice el flujo de correo y luego ir cambiándola hasta que rechace todos los mensajes que no estén autenticados.

Si defines una política con el valor none (nada), puedes comenzar a recibir informes sin el riesgo de que los servidores que reciben tus mensajes los rechacen o los marquen como spam. También puedes configurar tu política de DMARC de modo que solo afecte a un determinado porcentaje de los mensajes enviados desde tu organización. Estas dos funciones te permiten implementar DMARC gradualmente y controlar tu flujo de correo al mismo tiempo.

Importante: Configura DKIM y SPF antes que DMARC. DKIM y SPF deberían llevar al menos 48 horas autenticando mensajes cuando actives DMARC. Puedes consultar instrucciones detalladas sobre cómo configurar SPF y DKIM en la sección Evitar el spoofing, el phishing y el spam.

1. Empieza con una política DMARC flexible

Empieza usando un registro DMARC cuyo valor de adopción de medidas sea none (nada) y que tenga configurada una dirección de correo electrónico a la que enviar informes diarios de DMARC. De esta forma, puedes empezar a recibir informes sin el riesgo de que los servidores que reciben tus mensajes los rechacen o los marquen como spam. Te recomendamos que utilices este registro durante por lo menos una semana, que suele ser un periodo suficiente para que los informes diarios recopilen una muestra de datos representativa de todos tus flujos de correo.

Revisa los informes DMARC diarios para asegurarte de que los mensajes de tu dominio se envían desde servidores autorizados que conoces y superan las comprobaciones de autenticación.

Te recomendamos que empieces usando una política de DMARC que no sea demasiado restrictiva o que solo afecte a un pequeño porcentaje del tráfico de correo. Por ejemplo:

  1. Inicia sesión en el host de tu dominio para modificar el registro TXT de DNS de DMARC en el proveedor de tu dominio.
  2. Introduce una política que afecte a todos los mensajes, pero cuyo valor sea none:

    v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com

Esta política afecta a todos los mensajes que reciben los servidores de correo. No obstante, como su valor es none (nada), los mensajes se entregan con normalidad aunque no superen la autenticación DMARC. Cada servidor de correo que recibe mensajes de tu dominio envía informes diarios a dmarc@solarmora.com.

2. Revisa los informes de DMARC

Revisa a diario todos los informes que recibes para averiguar lo siguiente:

  • Qué servidores o remitentes de terceros envían correo en nombre de tu dominio.
  • Qué porcentaje de los mensajes de tu dominio superan las comprobaciones de DMARC.
  • Qué servidores o servicios envían mensajes que no superan las comprobaciones de DMARC. 

Busca si hay problemas como estos:

  • Los destinatarios reciben mensajes válidos que acaban en la carpeta de spam.
  • Recibes mensajes de error o de rebote de destinatarios.

Si algunos mensajes de tu dominio se rechazan o se envían a la carpeta de spam, consulta cómo solucionar problemas de DMARC.

Para seguir recibiendo informes diarios, cuando modifiques tu registro, asegúrate de que siga incluyendo la etiqueta rua con tu dirección de correo electrónico o la dirección de un buzón de correo. Te recomendamos que te quedes en esta fase durante como mínimo 7 días antes de pasar a la siguiente. La duración de esta fase dependerá del tamaño y del flujo de correo de la organización. 

Consulta más información sobre cómo interpretar informes de DMARC

3. Pon en cuarentena un pequeño porcentaje de mensajes

Después de monitorizar los informes de DMARC durante al menos una semana sin ver resultados negativos, cambia tu política a quarantine (poner en cuarentena) y añade la etiqueta pct para usar la política con un pequeño porcentaje de los mensajes de tu dominio. Por ejemplo:

  1. Inicia sesión en el host de tu dominio para modificar el registro TXT de DNS de DMARC en el proveedor de tu dominio.
  2. La siguiente política afecta al 5 % de los mensajes y tiene el valor quarantine (poner en cuarentena). Así, los mensajes de ese 5 % que no superen las comprobaciones de DMARC se enviarán a la carpeta de spam de los destinatarios:

    v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com

Esta política afecta solo al 5 % de los mensajes que reciben los servidores de correo. Los mensajes de 5 % que no superan las comprobaciones de DMARC se envían a la carpeta de spam de los destinatarios. Solo se ven afectados un pequeño porcentaje de los mensajes, y los destinatarios pueden ver los correos que se envían a spam. Cada servidor de correo que recibe mensajes de tu dominio envía informes diarios a dmarc@solarmora.com.

Es posible que las organizaciones pequeñas conozcan mejor los flujos de correo que tienen, por lo que pueden aplicar la política a un porcentaje de mensajes mayor que el de las organizaciones de gran tamaño. Por su parte, las grandes suelen tener varios flujos de correo en los que pueden estar involucrados servidores antiguos y remitentes externos.

 Recomendamos que las organizaciones de gran tamaño aumenten gradualmente el porcentaje de mensajes afectados para reducir el riesgo de que se rechacen o se marquen como spam muchos mensajes. Por ejemplo, una organización pequeña puede comenzar poniendo en cuarentena el 10 % de los mensajes, mientras que a una empresa muy grande quizá le interese empezar con solo un 1 %.

4. Rechaza todos los mensajes sin autenticar

Este es el último paso para implementar DMARC. Cuando tengas la certeza de que todos o la mayoría de los mensajes que se envían desde tu dominio son legítimos y superan la autenticación (SPF y DKIM), puedes utilizar una política de DMARC más estricta.

Si DMARC funciona como esperabas, edita tu registro DMARC para poner el valor reject (rechazar) en la etiqueta de política y hacer que afecte a todos los mensajes enviados desde tu organización. Por ejemplo:

  1. Inicia sesión en el host de tu dominio para modificar el registro TXT de DNS de DMARC en el proveedor de tu dominio.
  2. Actualiza el registro para que sea más estricto. Por ejemplo:

    v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com

Esta política afecta a todos los mensajes que reciben los servidores de correo. Si el registro no incluye la etiqueta pct, la política afectará a todos los mensajes enviados desde tu dominio. Se rechazan todos los mensajes que no superan la autenticación de DMARC. Es posible que los remitentes reciban un mensaje de rebote por cada mensaje rechazado. Todos los servidores de correo que reciben correos de tu dominio envían informes diarios a las direcciones postmaster@solarmora.com y dmarc@solarmora.com.
¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.