DMARC: el guardián de la autenticación de correo
DMARC (Domain-based Message Authentication, Reporting & Conformance) es el protocolo que completa el trío de la autenticación de correo electrónico. Mientras SPF y DKIM son mecanismos de autenticación, DMARC es una política: indica a los servidores receptores qué hacer cuando un correo no supera la autenticación. Sin DMARC, un correo que falla en SPF o DKIM podría entregarse de todos modos — la decisión queda enteramente en manos del servidor destinatario. Con DMARC, el propietario del dominio retoma el control.
DMARC también verifica la alineación del dominio: comprueba que el dominio en la cabecera From (el que el usuario ve) coincida con el dominio autenticado por SPF o DKIM. Esto es fundamental porque un atacante podría configurar SPF y DKIM para su propio dominio, pero enviar correos con tu dominio en el campo From. La alineación DMARC impide este escenario, cerrando la brecha entre la autenticación técnica y la identidad visible.
Las tres políticas DMARC
La implementación de DMARC debe ser siempre gradual. Comenzar directamente con p=reject es arriesgado: podrías bloquear correos legítimos enviados por servicios que aún no has autenticado con SPF/DKIM. La estrategia recomendada es: comenzar con p=none para recopilar datos (normalmente 2-4 semanas), analizar los informes para identificar todas las fuentes de correo legítimas, configurar SPF y DKIM para cada una, luego pasar a p=quarantine con un pct bajo (25-50%), aumentar gradualmente y finalmente activar p=reject.
Informes DMARC: la visibilidad que te faltaba
Una de las ventajas más subestimadas de DMARC son los informes agregados (rua). Cada servidor que recibe correo de tu dominio envía informes diarios en formato XML que muestran: cuántos correos se recibieron, desde qué IPs, si pasaron o fallaron SPF/DKIM, y qué acción se aplicó. Estos informes son una mina de información: revelan servicios que envían correo en tu nombre que podrías haber olvidado, intentos de spoofing de tu dominio y problemas de configuración.
Para analizar los informes DMARC (que están en XML sin procesar y son difíciles de leer), existen servicios dedicados que los agregan en paneles legibles. Alternativamente, puedes comenzar con una revisión manual de los informes más significativos. La métrica clave a monitorear es la proporción entre correos autenticados y no autenticados: si ves muchos correos legítimos que fallan, debes actualizar SPF o DKIM antes de endurecer la política.
Verificar y generar tu registro DMARC
Nuestro DMARC Lookup analiza el registro DMARC de tu dominio, mostrando la política, los parámetros de alineación, las direcciones para los informes y cualquier error de sintaxis. Si aún no tienes un registro DMARC, usa el DMARC Generator para crear uno personalizado con las opciones correctas. La herramienta genera el registro TXT listo para insertarlo en el DNS.
Recuerda que el registro DMARC debe insertarse como TXT en _dmarc.tudominio.com. Un error común es insertarlo en la raíz del dominio o con un nombre de host incorrecto. Verifica también que SPF y DKIM estén correctamente configurados antes de activar DMARC: sin al menos uno de los dos protocolos de autenticación, DMARC no tiene base sobre la cual operar. Usa SPF Lookup y DKIM Lookup para una verificación completa.
Por último, presta atención a la política para subdominios (sp=). Si no se especifica, los subdominios heredan la política del dominio padre. Pero si tus subdominios no envían correo, es buena práctica establecer sp=reject para impedir que se utilicen para spoofing, incluso si la política del dominio principal aún está en fase de monitoreo con p=none.