Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
true

DMARC

Añadir un registro DMARC

Crear el registro

Después de establecer SPF y DKIM, puedes configurar DMARC añadiendo políticas a los registros de DNS de tu dominio en forma de registros TXT (igual que con SPF o ADSP).

Importante: Antes de crear un registro DMARC en tu dominio de G Suite, debes activar la autenticación DKIM. Si no la activas, los correos electrónicos de servicios como Google Calendar no se podrán autenticar, por lo que no se entregarán a los usuarios.

Sigue los pasos para crear un registro TXT con el nombre y el valor adecuados, usando las instrucciones específicas para los hosts de dominio más populares. El nombre del registro TXT debe ser "_dmarc.tu_dominio.com", en el que tienes que sustituir "tu_dominio.com" por el nombre real de tu dominio. También puedes consultar las limitaciones que existen para algunos hosts de dominios.

A continuación te mostramos algunas de las etiquetas más comunes que se utilizan en los registros TXT de DMARC:

Nombre de la etiqueta Obligatoriedad Finalidad Ejemplo

v

Obligatoria Versión del protocolo v=DMARC1

p

Obligatoria Política para el dominio p=quarantine

pct

Opcional Porcentaje de mensajes sujetos a filtros pct=20

rua

Opcional URI de informes globales rua=mailto:inforglob@example.com

sp

Opcional Política de los subdominios del dominio sp=reject

aspf

Opcional Modo de alineamiento de SPF aspf=r

Consulta el registro de etiquetas DMARC para ver la descripción de otras etiquetas.

Google no admite la etiqueta DMARC ruf para distribuir informes forenses.

Solo se necesitan las etiquetas v (versión) y p (política). Hay tres configuraciones posibles de políticas o de tratamiento de los mensajes:

  • none: no realizar ninguna acción; registrar los mensajes afectados solo en el informe diario.
  • quarantine: marcar los mensajes afectados como spam.
  • reject: cancelar el mensaje en la capa SMTP.

El modo de alineamiento se refiere a la precisión con la que los registros del remitente se comparan con las firmas DKIM y SPF y puede tener dos valores: flexible (r) o estricto (s). En pocas palabras, el modo flexible permite obtener concordancias parciales, como los subdominios de un dominio concreto, mientras que el estricto requiere una concordancia exacta.

Para recibir los informes diarios, asegúrate de incluir tu dirección de correo electrónico con la etiqueta rua opcional.

Implementación paulatina

Recomendaciones para aumentar el uso de DMARC

Recomendamos implementar el uso de DMARC de forma paulatina aplicando las siguientes políticas y por este orden. En primer lugar, controla el tráfico y busca anomalías en los informes, como mensajes que aún no se hayan firmado o que experimenten spoofing. A continuación, cuando los resultados te satisfagan, cambia la configuración de la política de registro TXT de "none" ("ninguno") a "quarantine" ("cuarentena"). Una vez más, comprueba los resultados, esta vez en el spam interceptado y en los informes DMARC diarios. Por último, cuando estés totalmente seguro de que todos los mensajes están firmados, cambia la configuración de la política a "reject" ("rechazar") para aprovechar al máximo DMARC. Revisa los informes para asegurarte de que tus resultados son aceptables.

De forma similar, la etiqueta opcional "pct" se puede usar para realizar y probar la implementación de DMARC. Dado que el 100% es el valor predeterminado, superar "pct=20" en el registro TXT de DMARC supone que la quinta parte de los mensajes afectados por la política estará sujeto a filtros en lugar de todos ellos. Esta configuración es especialmente útil cuando decides poner correo electrónico en cuarentena y rechazarlo. Comienza por un porcentaje bajo y auméntalo cada pocos días.

Un proceso de implementación conservador sería parecido a este:

  1. Supervisar todo
  2. 1% en cuarentena
  3. Poner el 5% en cuarentena
  4. 10% en cuarentena
  5. 25% en cuarentena
  6. 50% en cuarentena
  7. Todo en cuarentena
  8. Rechazar el 1%
  9. Rechazar el 5%
  10. Rechazar el 10%
  11. Rechazar el 25%
  12. Rechazar el 50%
  13. Rechazar todo

Para completar la implementación, intenta eliminar los porcentajes lo más rápido posible.

Como siempre, revisa tus informes diarios.

Registros de ejemplo

Más adelante te mostramos algunos registros TXT de DMARC de ejemplo (_dmarc.tu_dominio.com en TXT) que puedes modificar para usarlos según te convenga. Debes sustituir "tu_dominio.com" y "postmaster@tu_dominio.com" por tu dominio y tu dirección de correo electrónico reales.

No se ha realizado ninguna acción

En este registro TXT, si un mensaje que aparentemente procede de "tu_dominio.com" no supera las comprobaciones DMARC, no se realiza ninguna acción; en su lugar, aparece en el informe global diario que se envía a "postmaster@tu_dominio.com".

"v=DMARC1; p=none; rua=mailto:postmaster@tu_dominio.com"

Poner un mensaje en cuarentena

En este registro TXT, si un mensaje que aparentemente procede de "tu_dominio.com" no supera las comprobaciones DMARC, se deja en cuarentena el 5% de las veces. A continuación, se envían informes globales diarios por correo electrónico a "postmaster@tu_dominio.com".

"v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@tu_dominio.com"

Rechazar un mensaje

En este registro TXT, si un mensaje que aparentemente procede de "tu_dominio.com" no supera las comprobaciones DMARC, se rechaza siempre. A continuación, se envían informes globales diarios por correo electrónico a "postmaster@tu_dominio.com" y a "dmarc@tu_dominio.com".

"v=DMARC1; p=reject; rua=mailto:postmaster@tu_dominio.com, mailto:dmarc@tu_dominio.com"

Informes diarios

Los informes diarios se generan en formato XML. Para conocer mejor el flujo de tu correo electrónico, te recomendamos leer estos informes, que también te ayudan a asegurarte de que tus fuentes de correo electrónico de salida se están autenticando correctamente. Comprueba que las diferentes IP que envían correo electrónico y que parecen proceder de tu dominio son realmente legítimas y configúralas adecuadamente con DKIM o añádelas al intervalo SPF. Si tienes una política de bloqueo, los informes también te permiten actuar rápidamente si aparece una nueva fuente de correo electrónico online o si falla la configuración de una fuente de correo electrónico existente.

Informe de ejemplo

A continuación, te mostramos el fragmento de un informe que incluye los resultados de dos mensajes enviados desde direcciones IP distintas. El primero se ha enviado directamente y el segundo se ha reenviado; en ambos casos, han conseguido pasar:


<record>
 <row>
 <source_ip>207.126.144.129</source_ip>
 <count>1</count>
 <policy_evaluated>
 <disposition>none</disposition>
 </policy_evaluated>
 </row>
 <identities>
 <header_from>stefanomail.com</header_from>
 </identities>
 <auth_results>
 <dkim>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 <human_result></human_result>
 </dkim>
 <spf>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 </spf>
 </auth_results>
 </record>
 <record>
 <row>
 <source_ip>207.126.144.131</source_ip>
 <count>1</count>
 <policy_evaluated>
 <disposition>none</disposition>
 <reason>
 <type>forwarded</type>
 <comment></comment>
 </reason>
 </policy_evaluated>
 </row>
 <identities>
 <header_from>stefanomail.com</header_from>
 </identities>
 <auth_results>
 <dkim>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 <human_result></human_result>
 </dkim>
 <spf>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 </spf>
 </auth_results>
 </record> 
¿Te ha sido útil este artículo?
¿Cómo podemos mejorar esta página?
Iniciar sesión en tu cuenta

Para obtener ayuda específica para tu cuenta, inicia sesión con la dirección de correo electrónico de tu cuenta de G Suite. También puedes consultar cómo empezar a usar G Suite.