¿Qué es DMARC?
Correo electrónico
1 min read
¿Qué es DMARC?
Correo electrónico
1 min read
Guía Takeaways
Entender qué es DMARC y por qué es importante
Aprender cómo funciona DMARC junto a SPF y DKIM
Ver cómo los servidores de correo entrante validan mensajes usando DMARC
Entender cómo es un registro DMARC y cómo está estructurado
Aprender qué significa “alineación de dominio” y por qué es importante
Entender las tres opciones de política de DMARC (none, quarantine, reject)
Aprender la diferencia entre los informes de DMARC agregados y forenses
Ver cómo DMARC se une a tu estrategia de autenticación para mejorar la entregabilidad
Destacados de Q&A
¿Qué hace realmente DMARC?
Informa a los servidores de correo receptores cómo manejar los correos electrónicos que afirman ser de su dominio y proporciona informes para que pueda monitorear los problemas de autenticación.
¿Es DMARC un protocolo de autenticación?
No. DMARC se basa en SPF y DKIM para la autenticación. Proporciona reglas de aplicación e informes sobre ellos.
¿Cómo verifica un servidor DMARC?
Busca su registro DMARC en DNS, verifica SPF, DKIM y la alineación de dominio, luego aplica su política publicada.
¿Qué es domain alignment?
Es el requisito de que el dominio "From" coincida con el dominio utilizado en SPF y/o DKIM.
¿Con qué política DMARC debería empezar?
La mayoría de los remitentes empiezan con p=none para recopilar datos, luego pasan a cuarentena o rechazar una vez que los problemas están resueltos.
¿Qué hay dentro de un registro DMARC?
Incluye la versión DMARC, la política de aplicación y las direcciones para informes agregados y forenses.
¿Qué son los informes agregados de DMARC?
Resúmenes XML legibles por máquina que muestran los resultados de autenticación y la disposición de mensajes para su dominio.
¿Las empresas necesitan DMARC?
Sí. Es uno de los pasos más importantes para proteger tu dominio y mejorar la entregabilidad del correo electrónico.
Comprender DMARC
Domain-based Message Authentication, Reporting, and Conformance, o DMARC, es un estándar técnico que ayuda a proteger a los remitentes y destinatarios de correos electrónicos del spam, la suplantación de identidad y el phishing. DMARC permite a una organización publicar una política que define sus prácticas de autenticación de correo electrónico y proporciona instrucciones a los servidores de correo receptores sobre cómo hacerlas cumplir. En esta edición de “DMARC Explained” aprenderás qué es DMARC y cómo funciona.
Específicamente, DMARC establece un método para que un propietario de dominio pueda:
Publicar sus prácticas de autenticación de correo electrónico
Especificar qué acciones deben tomarse sobre los correos que no pasen las verificaciones de autenticación
Habilitar la generación de informes de estas acciones tomadas sobre correos que afirman ser de su dominio
DMARC en sí mismo no es un protocolo de autenticación de correo electrónico, pero se basa en los estándares clave de autenticación SPF y DKIM. Con ellos, complementa SMTP, el protocolo básico utilizado para enviar correos electrónicos, porque SMTP no incluye en sí mismo ningún mecanismo para implementar o definir políticas de autenticación de correo electrónico.
Domain-based Message Authentication, Reporting, and Conformance, o DMARC, es un estándar técnico que ayuda a proteger a los remitentes y destinatarios de correos electrónicos del spam, la suplantación de identidad y el phishing. DMARC permite a una organización publicar una política que define sus prácticas de autenticación de correo electrónico y proporciona instrucciones a los servidores de correo receptores sobre cómo hacerlas cumplir. En esta edición de “DMARC Explained” aprenderás qué es DMARC y cómo funciona.
Específicamente, DMARC establece un método para que un propietario de dominio pueda:
Publicar sus prácticas de autenticación de correo electrónico
Especificar qué acciones deben tomarse sobre los correos que no pasen las verificaciones de autenticación
Habilitar la generación de informes de estas acciones tomadas sobre correos que afirman ser de su dominio
DMARC en sí mismo no es un protocolo de autenticación de correo electrónico, pero se basa en los estándares clave de autenticación SPF y DKIM. Con ellos, complementa SMTP, el protocolo básico utilizado para enviar correos electrónicos, porque SMTP no incluye en sí mismo ningún mecanismo para implementar o definir políticas de autenticación de correo electrónico.
Domain-based Message Authentication, Reporting, and Conformance, o DMARC, es un estándar técnico que ayuda a proteger a los remitentes y destinatarios de correos electrónicos del spam, la suplantación de identidad y el phishing. DMARC permite a una organización publicar una política que define sus prácticas de autenticación de correo electrónico y proporciona instrucciones a los servidores de correo receptores sobre cómo hacerlas cumplir. En esta edición de “DMARC Explained” aprenderás qué es DMARC y cómo funciona.
Específicamente, DMARC establece un método para que un propietario de dominio pueda:
Publicar sus prácticas de autenticación de correo electrónico
Especificar qué acciones deben tomarse sobre los correos que no pasen las verificaciones de autenticación
Habilitar la generación de informes de estas acciones tomadas sobre correos que afirman ser de su dominio
DMARC en sí mismo no es un protocolo de autenticación de correo electrónico, pero se basa en los estándares clave de autenticación SPF y DKIM. Con ellos, complementa SMTP, el protocolo básico utilizado para enviar correos electrónicos, porque SMTP no incluye en sí mismo ningún mecanismo para implementar o definir políticas de autenticación de correo electrónico.
¿Cómo funciona DMARC?
DMARC se basa en los estándares establecidos SPF y DKIM para la autenticación de correos electrónicos. También se aprovecha del bien establecido Sistema de Nombres de Dominio (DNS). En términos generales, el proceso de validación de DMARC funciona de esta manera:
Un administrador de dominio publica la política que define sus prácticas de autenticación de correo electrónico y cómo los servidores de correo receptores deben manejar el correo que viola esta política. Esta política de DMARC se lista como parte de los registros DNS del dominio en general.
Cuando un servidor de correo entrante recibe un correo electrónico, utiliza DNS para buscar la política de DMARC para el dominio contenido en el encabezado "From" (RFC 5322) del mensaje. El servidor entrante entonces evalúa el mensaje por tres factores clave:
¿Valida la firma DKIM del mensaje?
¿Viene el mensaje de direcciones IP permitidas por los registros SPF del dominio remitente?
¿Muestran los encabezados en el mensaje un "alineamiento de dominio" adecuado?
Con esta información, el servidor está listo para aplicar la política de DMARC del dominio remitente para decidir si aceptar, rechazar o de otra manera marcar el mensaje de correo electrónico.
Después de usar la política de DMARC para determinar la disposición adecuada del mensaje, el servidor de correo receptor informará el resultado al propietario del dominio remitente.
DMARC se basa en los estándares establecidos SPF y DKIM para la autenticación de correos electrónicos. También se aprovecha del bien establecido Sistema de Nombres de Dominio (DNS). En términos generales, el proceso de validación de DMARC funciona de esta manera:
Un administrador de dominio publica la política que define sus prácticas de autenticación de correo electrónico y cómo los servidores de correo receptores deben manejar el correo que viola esta política. Esta política de DMARC se lista como parte de los registros DNS del dominio en general.
Cuando un servidor de correo entrante recibe un correo electrónico, utiliza DNS para buscar la política de DMARC para el dominio contenido en el encabezado "From" (RFC 5322) del mensaje. El servidor entrante entonces evalúa el mensaje por tres factores clave:
¿Valida la firma DKIM del mensaje?
¿Viene el mensaje de direcciones IP permitidas por los registros SPF del dominio remitente?
¿Muestran los encabezados en el mensaje un "alineamiento de dominio" adecuado?
Con esta información, el servidor está listo para aplicar la política de DMARC del dominio remitente para decidir si aceptar, rechazar o de otra manera marcar el mensaje de correo electrónico.
Después de usar la política de DMARC para determinar la disposición adecuada del mensaje, el servidor de correo receptor informará el resultado al propietario del dominio remitente.
DMARC se basa en los estándares establecidos SPF y DKIM para la autenticación de correos electrónicos. También se aprovecha del bien establecido Sistema de Nombres de Dominio (DNS). En términos generales, el proceso de validación de DMARC funciona de esta manera:
Un administrador de dominio publica la política que define sus prácticas de autenticación de correo electrónico y cómo los servidores de correo receptores deben manejar el correo que viola esta política. Esta política de DMARC se lista como parte de los registros DNS del dominio en general.
Cuando un servidor de correo entrante recibe un correo electrónico, utiliza DNS para buscar la política de DMARC para el dominio contenido en el encabezado "From" (RFC 5322) del mensaje. El servidor entrante entonces evalúa el mensaje por tres factores clave:
¿Valida la firma DKIM del mensaje?
¿Viene el mensaje de direcciones IP permitidas por los registros SPF del dominio remitente?
¿Muestran los encabezados en el mensaje un "alineamiento de dominio" adecuado?
Con esta información, el servidor está listo para aplicar la política de DMARC del dominio remitente para decidir si aceptar, rechazar o de otra manera marcar el mensaje de correo electrónico.
Después de usar la política de DMARC para determinar la disposición adecuada del mensaje, el servidor de correo receptor informará el resultado al propietario del dominio remitente.
¿Qué es un registro DMARC?
A DMARC record is included in an organization’s DNS database. An DMARC record is a specially-formatted version of a standard DNS TXT record with a particular name, namely “_dmarc.mydomain.com” (note the leading underscore). A DMARC record looks something like this: _dmarc.mydomain.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100”
Reading left-to-right in plain English, this record says:
v=DMARC1 specifies the DMARC version
p=none specifies the preferred treatment, or DMARC policy
rua=mailto:dmarc-aggregate@mydomain.com is the mailbox to which aggregate reports should be sent
ruf=mailto:dmarc-afrf@mydomain.com is the mailbox to which forensic reports should be sent
pct=100 is the percentage of mail to which the domain owner would like to have its policy applied
Additional configuration options are available for a domain owner to use in its DMARC policy record as well, but these are the basics.
A DMARC record is included in an organization’s DNS database. An DMARC record is a specially-formatted version of a standard DNS TXT record with a particular name, namely “_dmarc.mydomain.com” (note the leading underscore). A DMARC record looks something like this: _dmarc.mydomain.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100”
Reading left-to-right in plain English, this record says:
v=DMARC1 specifies the DMARC version
p=none specifies the preferred treatment, or DMARC policy
rua=mailto:dmarc-aggregate@mydomain.com is the mailbox to which aggregate reports should be sent
ruf=mailto:dmarc-afrf@mydomain.com is the mailbox to which forensic reports should be sent
pct=100 is the percentage of mail to which the domain owner would like to have its policy applied
Additional configuration options are available for a domain owner to use in its DMARC policy record as well, but these are the basics.
A DMARC record is included in an organization’s DNS database. An DMARC record is a specially-formatted version of a standard DNS TXT record with a particular name, namely “_dmarc.mydomain.com” (note the leading underscore). A DMARC record looks something like this: _dmarc.mydomain.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100”
Reading left-to-right in plain English, this record says:
v=DMARC1 specifies the DMARC version
p=none specifies the preferred treatment, or DMARC policy
rua=mailto:dmarc-aggregate@mydomain.com is the mailbox to which aggregate reports should be sent
ruf=mailto:dmarc-afrf@mydomain.com is the mailbox to which forensic reports should be sent
pct=100 is the percentage of mail to which the domain owner would like to have its policy applied
Additional configuration options are available for a domain owner to use in its DMARC policy record as well, but these are the basics.
¿Qué significa la alineación de dominio DMARC?
"Domain alignment" es un concepto en DMARC que amplía la validación de dominio intrínseca a SPF y DKIM. La alineación de dominios de DMARC coincide con el dominio "from" de un mensaje con información relevante para estos otros estándares:
Para SPF, el dominio From del mensaje y su dominio Return-Path deben coincidir
Para DKIM, el dominio From del mensaje y su dominio DKIM d= deben coincidir
La alineación puede ser relajada (coincidiendo dominios base, pero permitiendo diferentes subdominios) o estricta (coincidiendo exactamente todo el dominio). Esta elección se especifica en la política DMARC publicada del dominio remitente.
Component | What it is | Why it matters |
|---|---|---|
SPF | Valida las IPs de envío autorizadas para el dominio | Previene la suplantación al verificar las fuentes de envío |
DKIM | Firma criptográfica que prueba la integridad del mensaje | Confirma que el mensaje no fue alterado en tránsito |
Domain Alignment | El dominio "From" debe coincidir con el Return-Path (SPF) o el dominio DKIM d= | Asegura que los dominios autenticados coincidan realmente con el remitente visible |
DMARC Policy (p=) | Regla para gestionar la autenticación fallida (ninguna, cuarentena, rechazar) | Indica a los servidores receptores cómo tratar estrictamente el correo no autenticado |
DMARC Record | Registro DNS TXT que define la política + configuraciones de informes | Controla la aplicación, los informes y la estrategia general de autenticación |
Aggregate Reports | Resúmenes XML de los resultados de autenticación | Ayudan a monitorear el abuso o las configuraciones incorrectas del dominio |
Forensic Reports | Copias completas de los mensajes fallidos | Permiten la investigación de ataques o problemas de autenticación |
"Domain alignment" es un concepto en DMARC que amplía la validación de dominio intrínseca a SPF y DKIM. La alineación de dominios de DMARC coincide con el dominio "from" de un mensaje con información relevante para estos otros estándares:
Para SPF, el dominio From del mensaje y su dominio Return-Path deben coincidir
Para DKIM, el dominio From del mensaje y su dominio DKIM d= deben coincidir
La alineación puede ser relajada (coincidiendo dominios base, pero permitiendo diferentes subdominios) o estricta (coincidiendo exactamente todo el dominio). Esta elección se especifica en la política DMARC publicada del dominio remitente.
Component | What it is | Why it matters |
|---|---|---|
SPF | Valida las IPs de envío autorizadas para el dominio | Previene la suplantación al verificar las fuentes de envío |
DKIM | Firma criptográfica que prueba la integridad del mensaje | Confirma que el mensaje no fue alterado en tránsito |
Domain Alignment | El dominio "From" debe coincidir con el Return-Path (SPF) o el dominio DKIM d= | Asegura que los dominios autenticados coincidan realmente con el remitente visible |
DMARC Policy (p=) | Regla para gestionar la autenticación fallida (ninguna, cuarentena, rechazar) | Indica a los servidores receptores cómo tratar estrictamente el correo no autenticado |
DMARC Record | Registro DNS TXT que define la política + configuraciones de informes | Controla la aplicación, los informes y la estrategia general de autenticación |
Aggregate Reports | Resúmenes XML de los resultados de autenticación | Ayudan a monitorear el abuso o las configuraciones incorrectas del dominio |
Forensic Reports | Copias completas de los mensajes fallidos | Permiten la investigación de ataques o problemas de autenticación |
"Domain alignment" es un concepto en DMARC que amplía la validación de dominio intrínseca a SPF y DKIM. La alineación de dominios de DMARC coincide con el dominio "from" de un mensaje con información relevante para estos otros estándares:
Para SPF, el dominio From del mensaje y su dominio Return-Path deben coincidir
Para DKIM, el dominio From del mensaje y su dominio DKIM d= deben coincidir
La alineación puede ser relajada (coincidiendo dominios base, pero permitiendo diferentes subdominios) o estricta (coincidiendo exactamente todo el dominio). Esta elección se especifica en la política DMARC publicada del dominio remitente.
Component | What it is | Why it matters |
|---|---|---|
SPF | Valida las IPs de envío autorizadas para el dominio | Previene la suplantación al verificar las fuentes de envío |
DKIM | Firma criptográfica que prueba la integridad del mensaje | Confirma que el mensaje no fue alterado en tránsito |
Domain Alignment | El dominio "From" debe coincidir con el Return-Path (SPF) o el dominio DKIM d= | Asegura que los dominios autenticados coincidan realmente con el remitente visible |
DMARC Policy (p=) | Regla para gestionar la autenticación fallida (ninguna, cuarentena, rechazar) | Indica a los servidores receptores cómo tratar estrictamente el correo no autenticado |
DMARC Record | Registro DNS TXT que define la política + configuraciones de informes | Controla la aplicación, los informes y la estrategia general de autenticación |
Aggregate Reports | Resúmenes XML de los resultados de autenticación | Ayudan a monitorear el abuso o las configuraciones incorrectas del dominio |
Forensic Reports | Copias completas de los mensajes fallidos | Permiten la investigación de ataques o problemas de autenticación |
¿Cuáles son las políticas p= de DMARC?
The DMARC specification provides three choices for domain owners to use to specify their preferred treatment of mail that fails DMARC validation checks. These “p= policies” are:
none: treat the mail the same as it would be without any DMARC validation
quarantine: accept the mail but place it somewhere other than the recipient’s inbox (typically the spam folder)
reject: reject the message outright
Remember that the domain owner can only request, not force, enforcement of its DMARC record; it’s up to the inbound mail server to decide whether or not to honor the requested policy.
The DMARC specification provides three choices for domain owners to use to specify their preferred treatment of mail that fails DMARC validation checks. These “p= policies” are:
none: treat the mail the same as it would be without any DMARC validation
quarantine: accept the mail but place it somewhere other than the recipient’s inbox (typically the spam folder)
reject: reject the message outright
Remember that the domain owner can only request, not force, enforcement of its DMARC record; it’s up to the inbound mail server to decide whether or not to honor the requested policy.
The DMARC specification provides three choices for domain owners to use to specify their preferred treatment of mail that fails DMARC validation checks. These “p= policies” are:
none: treat the mail the same as it would be without any DMARC validation
quarantine: accept the mail but place it somewhere other than the recipient’s inbox (typically the spam folder)
reject: reject the message outright
Remember that the domain owner can only request, not force, enforcement of its DMARC record; it’s up to the inbound mail server to decide whether or not to honor the requested policy.
¿Qué es un informe de DMARC?
DMARC reports are generated by inbound mail servers as part of the DMARC validation process. There are two formats of DMARC reports:
Aggregate reports, which are XML documents showing statistical data about the messages received that claimed to be from a particular domain. Date reported includes authentication results and message disposition. Aggregate reports are designed to be machine-readable.
Forensic reports, which are individual copies of messages which failed authentication, each enclosed in a full email message using a special format called AFRF. Forensic report can be useful both for troubleshooting a domain’s own authentication issues and for identifying malicious domains and web sites.
DMARC reports are generated by inbound mail servers as part of the DMARC validation process. There are two formats of DMARC reports:
Aggregate reports, which are XML documents showing statistical data about the messages received that claimed to be from a particular domain. Date reported includes authentication results and message disposition. Aggregate reports are designed to be machine-readable.
Forensic reports, which are individual copies of messages which failed authentication, each enclosed in a full email message using a special format called AFRF. Forensic report can be useful both for troubleshooting a domain’s own authentication issues and for identifying malicious domains and web sites.
DMARC reports are generated by inbound mail servers as part of the DMARC validation process. There are two formats of DMARC reports:
Aggregate reports, which are XML documents showing statistical data about the messages received that claimed to be from a particular domain. Date reported includes authentication results and message disposition. Aggregate reports are designed to be machine-readable.
Forensic reports, which are individual copies of messages which failed authentication, each enclosed in a full email message using a special format called AFRF. Forensic report can be useful both for troubleshooting a domain’s own authentication issues and for identifying malicious domains and web sites.
¿Cómo se relaciona DMARC con SPF, DKIM u otros estándares?
DKIM, SPF, y DMARC son estándares que permiten diferentes aspectos de la autenticación de correo electrónico. Abordan problemas complementarios.
SPF permite a los remitentes definir qué direcciones IP tienen permitido enviar correo para un dominio en particular.
DKIM proporciona una clave de cifrado y una firma digital que verifica que un mensaje de correo electrónico no ha sido falsificado o alterado.
DMARC unifica los mecanismos de autenticación SPF y DKIM en un marco común y permite a los propietarios del dominio declarar cómo les gustaría que se manejara el correo de ese dominio si falla una prueba de autorización.
DKIM, SPF, y DMARC son estándares que permiten diferentes aspectos de la autenticación de correo electrónico. Abordan problemas complementarios.
SPF permite a los remitentes definir qué direcciones IP tienen permitido enviar correo para un dominio en particular.
DKIM proporciona una clave de cifrado y una firma digital que verifica que un mensaje de correo electrónico no ha sido falsificado o alterado.
DMARC unifica los mecanismos de autenticación SPF y DKIM en un marco común y permite a los propietarios del dominio declarar cómo les gustaría que se manejara el correo de ese dominio si falla una prueba de autorización.
DKIM, SPF, y DMARC son estándares que permiten diferentes aspectos de la autenticación de correo electrónico. Abordan problemas complementarios.
SPF permite a los remitentes definir qué direcciones IP tienen permitido enviar correo para un dominio en particular.
DKIM proporciona una clave de cifrado y una firma digital que verifica que un mensaje de correo electrónico no ha sido falsificado o alterado.
DMARC unifica los mecanismos de autenticación SPF y DKIM en un marco común y permite a los propietarios del dominio declarar cómo les gustaría que se manejara el correo de ese dominio si falla una prueba de autorización.
¿Necesito DMARC?
Si eres un negocio que envía correos electrónicos comerciales o transaccionales, definitivamente necesitas implementar una o más formas de autenticación de correo electrónico para verificar que un correo electrónico es realmente de ti o de tu negocio. Configurar correctamente DMARC ayuda a los servidores de correo receptores a determinar cómo evaluar los mensajes que afirman ser de tu dominio, y es uno de los pasos más importantes que puedes tomar para mejorar tu capacidad de entrega.
Sin embargo, estándares como DMARC sólo llegan hasta cierto punto; MessageBird y otros expertos en correo electrónico recomiendan implementar una política de autenticación de correo electrónico DMARC en el contexto de una estrategia de mensajería completa.
Si eres un negocio que envía correos electrónicos comerciales o transaccionales, definitivamente necesitas implementar una o más formas de autenticación de correo electrónico para verificar que un correo electrónico es realmente de ti o de tu negocio. Configurar correctamente DMARC ayuda a los servidores de correo receptores a determinar cómo evaluar los mensajes que afirman ser de tu dominio, y es uno de los pasos más importantes que puedes tomar para mejorar tu capacidad de entrega.
Sin embargo, estándares como DMARC sólo llegan hasta cierto punto; MessageBird y otros expertos en correo electrónico recomiendan implementar una política de autenticación de correo electrónico DMARC en el contexto de una estrategia de mensajería completa.
Si eres un negocio que envía correos electrónicos comerciales o transaccionales, definitivamente necesitas implementar una o más formas de autenticación de correo electrónico para verificar que un correo electrónico es realmente de ti o de tu negocio. Configurar correctamente DMARC ayuda a los servidores de correo receptores a determinar cómo evaluar los mensajes que afirman ser de tu dominio, y es uno de los pasos más importantes que puedes tomar para mejorar tu capacidad de entrega.
Sin embargo, estándares como DMARC sólo llegan hasta cierto punto; MessageBird y otros expertos en correo electrónico recomiendan implementar una política de autenticación de correo electrónico DMARC en el contexto de una estrategia de mensajería completa.
Únete a nuestro Newsletter.
Mantente al día con Bird a través de actualizaciones semanales en tu buzón.
Al enviar, aceptas que Bird pueda contactarte sobre nuestros productos y servicios.
Puedes darte de baja en cualquier momento. Consulta el Aviso de Privacidad de Bird para obtener detalles sobre el procesamiento de datos.
Únete a nuestro Newsletter.
Mantente al día con Bird a través de actualizaciones semanales en tu buzón.
Al enviar, aceptas que Bird pueda contactarte sobre nuestros productos y servicios.
Puedes darte de baja en cualquier momento. Consulta el Aviso de Privacidad de Bird para obtener detalles sobre el procesamiento de datos.
Únete a nuestro Newsletter.
Mantente al día con Bird a través de actualizaciones semanales en tu buzón.
Al enviar, aceptas que Bird pueda contactarte sobre nuestros productos y servicios.
Puedes darte de baja en cualquier momento. Consulta el Aviso de Privacidad de Bird para obtener detalles sobre el procesamiento de datos.
