554 5.7.5 Error permanente en la evaluación de la política DMARC [SOLVED]

A 554 5.7.5 Permanent Error Evaluating DMARC Policy indica un fallo en la autenticación del correo electrónico, impidiendo la entrega del mismo debido a un registro DMARC mal configurado.

Los propietarios de dominios pueden encontrarse con el "error permanente 554 5.7.5 evaluando política DMARC"debido a las siguientes razones:

1. Sintaxis incorrecta del registro SPF, DKIM o DMARC 
2. Caracteres redundantes o ausentes en los registros DNS 
3. Falta de compatibilidad con correos electrónicos alineados con SPF 
4. Falta de coincidencia de dominio de firma DKIM

El "554 5.7.5 error permanente de evaluación DMARC " es un error común que detiene el SMTP de aceptar correos electrónicos de su dominio. El problema suele producirse debido a una combinación de ajustes en el registro SPF, registro DMARCo el servicio de correo electrónico.

En esta guía, describiremos cómo resolver este problema de forma rápida y sencilla.

Simplificar 554 5.7.5 ¡Error permanente con PowerDMARC!

¿Por qué aparece el error "554 5.7.5 Permanent Error Evaluating DMARC Policy"?

Si se enfrenta a un "error permanente 554 5.7.5 evaluando la política DMARC", aquí hay algunas razones comunes detrás de este error:

1. Configuración de registro DMARC incompleta o incorrecta

Los registros DMARC incompletos pueden provocar errores en la evaluación de la política DMARC. Por ejemplo, si falta la etiqueta p=. Si su registro DMARC tiene este aspecto: 

v=DMARC1; pct=100;

Este es un ejemplo de una configuración incompleta de configuración DMARC falta la etiqueta de política. Se trata de un registro erróneo. Cuando configure DMARCpuede elegir entre utilizar p=none o p=quarantine/reject.

Del mismo modo, los errores de sintaxis en su registro, como caracteres adicionales o espacios, también pueden desencadenar el 554 5.7.5 error permanente que evalúa el error de política DMARC. 

v=DMARC1; p:none; pct=100; rua=mailto:[email protected]; 

En este ejemplo, ":" es un carácter incorrecto, ya que todos los mecanismos van seguidos de un signo igual a (=), seguido del valor. 

La secuencia correcta de los registros DMARC

• Su registro DMARC debe comenzar con el nombre de versión v=DMARC1 
• La etiqueta de política también es obligatoria y debe tener un valor de ninguno/rechazar/cuarentena 
• Todas las etiquetas DMARC deben ir seguidas de "=[valor]" y terminar con punto y coma (;) 
• Debe haber un solo espacio entre los mecanismos o etiquetas individuales 
• No debe haber espacios entre cada mecanismo definido, por ejemplo: p=none; 

2. Alineación DKIM incorrecta

DKIM son las siglas de DomainKeys Identified Mail. Se trata de un método de verificación de la autenticidad del remitente del correo electrónico, que impide que los actores maliciosos se hagan pasar por el nombre de dominio del remitente del correo electrónico.

A veces puede tener problemas con su autenticación DKIM. Una falta de coincidencia entre la etiqueta "d=" de la firma DKIM y el dominio de envío provocará un fallo en la evaluación DMARC.

Por ejemplo, si ha cambiado su nombre de dominio y no lo ha actualizado en los registros DKIM, entonces también fallará la evaluación de la política DMARC.

3. Registro SPF incorrecto

SPF son las siglas de Sender Policy Framework. Es una técnica de autenticación de correo electrónico utilizada para verificar si un mensaje de correo electrónico proviene de un servidor de remitente válido o no.

DMARC funciona comprobando los registros SPF para verificar si son válidos o no. Debe asegurarse de que los registros SPF están configurados correctamente y funcionan con su nombre de dominio para evitar este error. Algunas cosas a evitar con SPF son las siguientes: 

• Su registro SPF debe terminar con un mecanismo de fallo (-all o ~all) 
• Evite utilizar una política neutral para la evaluación del FPS 
• Evite sobrepasar los límites de búsqueda SPF DNS y void 

4. Falta de soporte para correos electrónicos alineados con SPF por parte de su ESP

A veces, si recibe el error "554 5.7.5 Error permanente al evaluar la política DMARC", puede tratarse de un problema de su proveedor de servicios de correo electrónico. No todos los proveedores de servicios de correo electrónico admiten correos electrónicos alineados con SPF. Algunos incluso gestionan las políticas SPF internamente, lo que puede provocar errores si tienes SPF activado para tu dominio. 

Solucionar "554 5.7.5 Error permanente al evaluar la política DMARC" en 5 pasos

Puede seguir los pasos que se indican a continuación para resolver potencialmente el error "554 5.7.5 Error permanente al evaluar la política DMARC". Pero la resolución no está garantizada. Si al seguir estos pasos no se soluciona el error póngase en contacto con nosotros para una evaluación gratuita de la seguridad del dominio.

1. Eliminar los caracteres extra del registro

El 5.7.5 error permanente que evalúa la política DMARC puede deberse a varios factores, aunque las causas predominantes suelen ser:

• Comillas mal utilizadas
• Caracteres o símbolos sobrantes en el registro
• Falta un punto y coma para concluir el acta.

Aquí hay un ejemplo de un registro que dio este error:

Este registro puede parecerte correcto al principio, pero al probarlo, recibimos el mensaje "5.7.5 error permanente evaluando la política DMARC".

Cuando volvimos a comprobarlo, nos dimos cuenta de que había un punto de más al final del registro: si se observa con atención el mismo registro de arriba, se puede ver que hay un punto (.) al final. 

Una vez que hemos eliminado ese punto y hemos vuelto a realizar la prueba, ha funcionado perfectamente.

Este es el aspecto del mismo registro sin errores:

2. Cambie su registro SPF de neutro

Si recibe un mensaje de error que dice "5.7.5 error permanente de evaluación de la política DMARC" cuando intenta enviar un correo electrónico, probablemente sea porque su registro SPF está configurado como Neutral.

SPF son las siglas de Sender Policy Framework (Marco de Políticas de Remitentes), y ayuda a asegurar que el servidor de correo desde el que se envía un correo electrónico es legítimo. No basta con tener un servidor que envíe correos electrónicos; es necesario verificar que el servidor es legítimo. Eso es lo que hace el SPF: verifica que su servidor de correo tiene las credenciales correctas.

¿Por qué su registro SPF no puede ser neutral? 

Si se permite que los mensajes se envíen a través de un servidor neutral, los estafadores podrían enviar correos electrónicos falsos utilizando su nombre de dominio, lo que significa que la gente podría pensar que son reales cuando no lo son, y acabar haciendo clic en enlaces o descargando archivos que no deberían.

Por eso, al menos debería cambiar su registro SPF a softfail ~all o hardfail -all cuando implemente DMARC, para que la gente sepa que un mensaje de su nombre de dominio es probablemente seguro.

3. Compruebe si su proveedor de servicios de correo electrónico admite correos electrónicos con alineación SPF

Una de las razones más comunes para recibir este error es que su proveedor de servicios de correo electrónico no admite correos electrónicos alineados con SPF.

Los proveedores de correo electrónico como MailChimp y ProtonMail tienen sus propios registros SPF, y cuando envías correos electrónicos a través de ellos, no están enviando correos electrónicos alineados con SPF. Por ello, es importante que compruebes el tipo de disposición SPF de tu proveedor de servicios de correo electrónico para ver si admite correos electrónicos alineados con SPF.

Si es así, tu firma DKIM se modificará durante el proceso de envío para que la dirección From (De) se alinee con tu propio dominio (en lugar de con el dominio de MailChimp) y garantiza que pases la evaluación de la política DMARC.

Si no es así, tendrá que utilizar un proveedor de servicios de correo electrónico diferente (o cambiar la configuración de su proveedor actual) para poder enviar correos electrónicos alineados con el SPF.

4. Cambio a la política p=none para DMARC

Si estás recibiendo un error "554 5.7.5 error permanente evaluando la política DMARC", significa que la política DMARC de tu dominio está impidiendo el envío de tus correos electrónicos. Para solucionarlo, sólo tienes que cambiar tu registro DMARC con tu proveedor de DNS para que tenga una política p=none.

La política DMARC indica a los proveedores de correo electrónico qué hacer con los mensajes que no superan las comprobaciones SPF y DKIM: rechazarlos o ponerlos en cuarentena. Si quieres enviar correos aunque no pasen esas comprobaciones, puedes relajar temporalmente la política estableciéndola como p=none en la configuración DNS.

DMARC none se denomina una "política relajada, de no acción o sólo supervisión", por lo que no se recomienda para la prevención de la suplantación de identidad en el correo electrónico.. Pero cambiar su política DMARC a p=none le permitirá entregar sus correos electrónicos a las bandejas de entrada sin verse afectado por errores DMARC.

Por ejemplo, podría cambiar este registro:

a esto:

¿Qué significa esto para usted? Puede enviar su correo electrónico aunque no pase DMARC. Sin embargo, en última instancia querrás volver a una política p=reject o p=quarantine para evitar la suplantación de identidad de correo electrónico en tu dominio.

5. Configurar la autenticación del correo identificado con claves de dominio (DKIM)

Si encuentra el código de error "554 5.7.5 error permanente evaluando la política DMARC", indica que la autenticación de correo electrónico DomainKeys Identified Mail (DKIM) no se ha activado para su dominio; por lo tanto, para pasar DMARC, debe tener configurado un registro de autenticación de correo electrónico DKIM (si aún no tiene SPF).

Aquí tienes los pasos para hacerlo:

• Regístrese en PowerDMARC y seleccione el generador de registros DKIM de nuestra Power Toolbox. 
• Introduzca su nombre de dominio, defina un selector (por ejemplo, selector1) para su registro y pulse el botón Generar. 
• Nuestra herramienta generará automáticamente sus pares de claves pública y privada DKIM. 
• Copie el nombre del registro TXT generado y el valor del registro TXT (valor de la clave pública) y publíquelos en su DNS accediendo a su consola de gestión de DNS. 

Requisitos de formato de la política DMARC

DMARC es un protocolo de autenticación de correo electrónico que permite a los destinatarios verificar que los correos electrónicos que supuestamente proceden de su dominio proceden realmente de él. En esta guía se describen algunos de los requisitos de formato más importantes a la hora de configurar DMARC por primera vez.

•  En primer lugar, su registro DMARC debe comenzar con "v=DMARC1". Esto permite a los proveedores de correo electrónico saber que el registro está formateado de acuerdo con la versión de DMARC que se está utilizando actualmente (que es la 1). 
•  A continuación, especifique su política. La política debe ser p=ninguna, p=cuarentena o p=rechazar. Esto indica a los proveedores de correo electrónico qué hacer cuando un mensaje no supera las comprobaciones de autenticación. 
• El campo de política en su registro DMARC es un campo obligatorio después del campo de versión v=. La política puede ser una de estas tres cosas: p=ninguna, p=cuarentena o p=rechazar. "Ninguna" significa que quieres que el proveedor de correo electrónico no haga nada cuando vea un correo electrónico sospechoso procedente de tu dominio: simplemente lo dejará pasar e incluso podría entregarlo. "Cuarentena" significa que quieres que los correos sospechosos de tu dominio se entreguen como spam o correo basura en lugar de entregarse como correo normal. Por último, "rechazar" significa que quieres que los correos sospechosos de tu dominio se rechacen y no se entreguen nunca.
•  Utilice dos puntos como separadores entre valores: es una buena idea utilizar dos puntos y no punto y coma. El punto y coma puede causar problemas, especialmente cuando se especifican varios valores en una sola línea.
•  No utilices caracteres de más ni comillas incorrectas. El exceso de espacios en blanco al final de las líneas será tratado como parte del registro, lo que puede causar problemas.

Este es un ejemplo de un buen registro DMARC:

Cómo encontrar errores en la política de registro DMARC

Tener un registro DMARC es un buen paso para asegurar su comunicación por correo electrónico. Sin embargo, si hay algún error en él, todo el sistema será ineficaz. Por eso es importante encontrar cualquier error y resolverlo lo antes posible.

La mejor manera de hacerlo es utilizando la función búsqueda DMARC de PowerDMARC. La herramienta comprueba si su registro es válido o no y le muestra los posibles errores. Puede utilizar la herramienta de forma gratuita siguiendo estos pasos:

1. Regístrese en PowerDMARC y vaya a DMARC Lookup Tool en Power Toolbox.

2. Introduzca su nombre de dominio en el campo vacío.

3. Una vez comprobado su registro, la herramienta le mostrará un resumen de la sintaxis publicada al tiempo que resalta los errores de su registro.

4. Si hay algún error, aparecerá resaltado en la página. 

5. Una vez que sepas de dónde proceden los errores, podrás resolverlos fácilmente siguiendo las instrucciones que aparecen con cada mensaje de error.

¿Le preocupa la seguridad de los correos electrónicos de su empresa?

Es una preocupación real. De hecho, muchos ciberataques comienzan con un correo electrónico. El DBIR de 2019 de Verizon informó que El 94% de las violaciones de datos comienzan con ataques dirigidos a personas a través del correo electrónico.

Pero eso no significa que tenga que renunciar a llegar a sus clientes a través del correo electrónico.

En su lugar, proteja todos sus correos electrónicos empresariales con los servicios de autenticación de correo electrónico de PowerDMARC. Esto le ayudará a ganarse la confianza de sus clientes y a proteger su marca de los intentos de suplantación de identidad por parte de piratas informáticos y otros malos actores.

Con PowerDMARC, puede asegurarse de que todos los mensajes de correo electrónico procedentes de su empresa no sólo sean seguros para que los abran sus clientes, sino que también les resulten fáciles de identificar como comunicaciones legítimas de su marca al colocar en ellos el sello de su empresa.

Sabemos que proteger la integridad del nombre y la imagen de su empresa es importante para usted, y queremos que pueda hacerlo de una forma que tenga sentido para ambas partes implicadas, por eso ofrecemos este servicio a un precio asequible sin dejar de ofrecer a nuestros clientes acceso a toda nuestra experiencia en técnicas de autenticación de correo electrónico.

¿Está protegido su dominio contra la suplantación de identidad? Obtenga su prueba DMARC gratis hoy mismo.

• Acerca de
• Últimas publicaciones

Yunes Tarada

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.

Últimos mensajes de Yunes Tarada (ver todos)

• ¿Qué es BIMI? Guía completa sobre los requisitos y la configuración del logotipo BIMI - 21 de abril de 2025
• Reglas de envío de correo masivo para Google, Yahoo, Microsoft y Apple iCloud Mail - 14 de abril de 2025
• Email Salting Attacks: Cómo el texto oculto burla la seguridad - 26 de febrero de 2025