¿Puede un dominio tener más de un registro SPF?

No. La RFC 7208 exige exactamente un registro SPF por dominio. Si existen dos registros TXT que comienzan por «v=spf1», ambos devuelven un PermError y el SPF falla por completo. Combina todas las fuentes autorizadas en un único registro.

¿Qué significa que mi dominio tenga demasiadas consultas DNS?

Tu registro SPF supera el límite de 10 consultas DNS establecido por el RFC 7208. Esto provoca un error «SPF PermError», lo que impide la autenticación SPF de todos los correos electrónicos, no solo de los que superan el límite. Reduce el número de inclusiones, sustitúyelas por «ip4:/ip6:», o utiliza el aplanamiento de SPF o macros para mantenerte por debajo del límite.

¿Cuál es la diferencia entre el «softfail» (~all) y el «hardfail» (-all) de SPF?

Softfail (~all) indica a los destinatarios que acepten el correo electrónico, pero que lo marquen como sospechoso. Hardfail (-all) indica a los destinatarios que rechacen el correo electrónico directamente. Utiliza softfail durante la configuración inicial y las pruebas; cambia a hardfail una vez que se hayan confirmado todos los remitentes legítimos y se haya implementado DMARC.

¿Evita el SPF la suplantación de identidad en el correo electrónico?

No por sí solo. El SPF comprueba el remitente del sobre (Return-Path), no el encabezado «De» que ven los destinatarios. Un atacante puede superar el SPF mientras suplantaba la dirección «De» visible. Se necesita DMARC —que comprueba la coherencia entre los resultados de SPF/DKIM y el encabezado «De»— para evitar la suplantación del nombre de visualización.

¿Qué ocurre cuando falla el SPF?

Depende del calificador SPF y de si DMARC está configurado. Con -all y una política de rechazo de DMARC, el correo electrónico se bloquea. Con ~all y sin DMARC, es posible que el correo electrónico se entregue, pero se marque como sospechoso. Si no hay SPF, los destinatarios no tienen ninguna señal SPF que evaluar.

¿Cómo puedo comprobar mi registro SPF?

Utiliza una herramienta gratuita de consulta de SPF. Introduce tu dominio y la herramienta recuperará tu registro SPF del DNS, validará la sintaxis, contará las consultas al DNS y señalará cualquier error, incluidas las infracciones de PermError y de consultas nulas.

¿Necesito SPF si ya tengo DKIM y DMARC?

Sí. DMARC exige que al menos uno de los dos, SPF o DKIM, supere la comprobación y cumpla con los requisitos de alineación. Aunque DKIM por sí solo puede satisfacer los requisitos de DMARC, contar con ambos (SPF y DKIM) proporciona redundancia. Si uno falla (por ejemplo, si SPF deja de funcionar al reenviar el correo), el otro puede seguir cumpliendo con la alineación de DMARC.

¿Qué es la alineación del FPS?

La coincidencia SPF significa que el dominio del campo «Return-Path» (remitente del sobre) coincide con el dominio del encabezado «From». DMARC comprueba esta coincidencia. Sin ella, SPF puede pasar la comprobación, pero DMARC seguirá fallando, que es lo que ocurre con muchos remitentes externos a menos que estén configurados para utilizar tu dominio en el campo «Return-Path».

¿Con qué frecuencia debo actualizar mi registro SPF?

Revisa tu registro SPF cada vez que añadas o elimines un servicio de envío, y audítalo al menos una vez al trimestre. Los registros SPF pierden validez a medida que los proveedores cambian los rangos de IP y que la infraestructura de envío de tu organización evoluciona. Un registro SPF que era válido hace seis meses puede estar dañado o incompleto hoy en día.

¿Qué es el «SPF flattening»?

La resolución de SPF incluye la conversión de todas las direcciones IP a direcciones IP sin formato, lo que reduce el número de consultas DNS. Esto permite mantenerse por debajo del límite de 10 consultas, pero crea un registro estático que debe actualizarse cada vez que un proveedor cambie sus direcciones IP. Las alternativas modernas, como las macros SPF, mantienen el registro dinámico sin superar el límite.

Informe agregado de DMARC (RUA): qué es y cómo interpretarlo

Puntos clave

Los informes RUA (Reporting URI for Aggregate) ofrecen un resumen completo de las últimas 24 horas de todo el tráfico de correo electrónico que utiliza su dominio, revelando quién envía mensajes en su nombre.
A diferencia de los informes forenses, los informes de RUA no contienen el contenido del cuerpo de los correos electrónicos ni información de identificación personal (PII), lo que los hace seguros a la hora de cumplir con la normativa internacional sobre protección de datos.
Estos informes constituyen la herramienta principal que se utiliza para detectar intentos de suplantación de identidad y servicios legítimos mal configurados.
Los informes XML sin procesar son difíciles de leer manualmente; el uso de un analizador automático es la norma en el sector para 2026.
Un análisis sistemático de los datos de RUA es la única forma segura de ajustar tu política para que rechace mensajes sin bloquear el correo «válido».

Cada 24 horas, los servidores de correo de recepción te envían un conjunto de datos estructurados —un informe agregado DMARC (RUA)— que recoge todas las direcciones IP que han enviado correos electrónicos utilizando tu dominio: cuáles se han entregado, cuáles han fallado y cuáles han sido rechazados. Cuando tu mañana empieza con fallos en la entrega y reclamaciones por spam, aquí es donde encontrarás el origen del problema.

Sin embargo, estos informes se presentan en forma de archivos XML muy densos que no son precisamente fáciles de entender para el usuario. Así que, aunque los datos son muy valiosos, para sacarle partido es necesario contar con la perspectiva adecuada.

En esta guía, analizaremos qué contienen realmente los informes agregados de DMARC, cómo interpretarlos sin volverse loco y cómo convertir esos datos sin procesar en algo mucho más útil.

¿Qué es un informe agregado de DMARC?

Un informe agregado de DMARC es un resumen diario en formato XML que envían los servidores de correo receptores a los propietarios de los dominios, y que recoge todo el tráfico de correo electrónico que afirma utilizar su dominio durante un periodo de 24 horas.

A diferencia de los informes forenses, los informes RUA respetan la privacidad. No contienen el contenido de los correos electrónicos individuales, los asuntos de los mensajes ni información de identificación personal (PII); en su lugar, se centran en las direcciones IP, los volúmenes y los resultados de la autenticación.

XML sin formato (simplificado)

<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <date_range>24h</date_range>
  </report_metadata>

  <policy_published>
    <domain>example.com</domain>
    <p>reject</p>
  </policy_published>

  <record>
    <source_ip>209.85.1.1</source_ip>
    <count>1284</count>
    <dkim>pass</dkim>
    <spf>pass</spf>
  </record>
</feedback>

Analizado por

Organización informante

¿Quién envió el informe (Google, Microsoft, Yahoo)?

N.º de informe • intervalo de fechas • correo electrónico de contacto

Política DMARC publicada

Tu póliza vigente durante el periodo de referencia

Dominio • modo de alineación • p=ninguno/cuarentena/rechazar

Dirección IP de origen

Todos los servidores que han enviado correos electrónicos utilizando tu dominio

Detecta remitentes no autorizados y direcciones IP falsificadas

Resultados de la autenticación

Resultados de SPF, DKIM y DMARC por fuente

aprobado
fallo
por SPF • por DKIM

DMARC agregado frente a forense (RUA frente a RUF)

Los informes RUA (agregados) ofrecen un resumen diario general de toda la actividad de correo electrónico que se realiza a través de su dominio, mientras que los informes RUF (forenses) son alertas en tiempo real por incidente que detallan los fallos de autenticación individuales. En resumen, RUA ofrece una visión general, y RUF se centra en problemas específicos, aunque su uso está menos extendido debido a cuestiones de privacidad.

Estas son las principales diferencias entre los informes RUA y RUF.

Característica	RUA (URI de informe para datos agregados)	RUF (Informe forense)
Frecuencia	Una vez cada 24 horas	En tiempo real, por fallo
Alcance	Resumen diario de todo el tráfico	Incidencias relacionadas con fallos en la autenticación de usuarios
Privacidad	No se incluye información de identificación personal	Puede contener datos o encabezados a nivel de mensaje
Soporte	Universal (Google, Microsoft, etc.)	Limitado (muchos proveedores lo omiten por motivos de privacidad)

RUA

INFORME SINTÉTICO

Frecuencia

Una vez cada 24 horas

Qué cubre

Todo el tráfico de correo electrónico: correcto e incorrecto

Privacidad

Sin datos personales: apto para todas las regiones

Ideal para

Supervisión y control diarios

RUF

INFORME FORENSE

Frecuencia

En tiempo real, por fallo

Qué cubre

Solo los correos electrónicos que no se han podido enviar

Privacidad

Puede contener asuntos

Ideal para

Investigación de ataques de suplantación de identidad específicos

¿Qué datos contiene un informe agregado de DMARC?

Aunque un archivo XML sin procesar pueda parecer intimidante, organiza los datos en bloques de registros específicos que revelan el estado de tu autenticación.

1. Metadatos del informe

En esta sección se indica quién ha elaborado el informe y el período que abarca:

ID del informe: un identificador único para ese informe concreto.
Intervalo de fechas: el periodo específico de 24 horas durante el cual se supervisaron las actividades.
Nombre de la organización: La entidad que ha generado el informe, normalmente un proveedor de correo electrónico.
Información de contacto: Datos para ponerse en contacto con la organización informante.

2. Política DMARC publicada

Aquí se detalla la política específica (p = ninguna, cuarentena o rechazo) que estuvo activa en tu DNS durante el periodo del informe.

3. Bloques de registro

Cada bloque de registros ofrece información detallada sobre un conjunto específico de correos electrónicos en función de su origen:

Dirección IP de origen: la dirección IP desde la que se enviaron los correos electrónicos evaluados.
Recuento de mensajes: el volumen total de correos electrónicos enviados desde esa dirección IP durante el periodo.
Política evaluada: la medida adoptada (resolución) y si se ajustaba a su política.
Resultadosde SPF y DKIM: los resultados concretos de «aprobado» o «suspendido» para cada método de autenticación.

¿Cómo activo los informes agregados de DMARC?

Para recibir estos informes, debes añadir la etiqueta «rua=» a tu registro TXT de DMARC en el DNS.

Ejemplo de registro:

v=DMARC1; p=ninguno; rua=mailto:[email protected]

Si necesitas enviar informes a un dominio externo, el dominio destinatario debe publicar un registro DNS específico que conceda el permiso.

Cómo leer un informe agregado de DMARC

Reading DMARC aggregate reports manually involves parsing XML tags like <record>, <row>, and <auth_results>.

Identificación de tendencias

Los informes individuales ofrecen una visión resumida, pero su mayor utilidad reside en combinarlos para supervisar el progreso a lo largo del tiempo. Por ejemplo, un número elevado de fallos procedentes de una dirección IP concreta a lo largo del tiempo puede indicar un intento de suplantación de identidad o un servidor legítimo mal configurado.

Fragmento de código XML de ejemplo

<source_ip>192.168.1.1</source_ip> <count>1023</count> <disposition>none</disposition> <dkim>pass</dkim> <spf>fail</spf>

En este fragmento, los correos electrónicos procedentes de la IP 192.168.1.1 superaron la verificación DKIM, pero fallaron en la verificación SPF. Dado que la disposición es «none», no se tomó ninguna medida a pesar del fallo.

¿Por qué son importantes los informes agregados de DMARC para la seguridad del correo electrónico?

No se puede proteger lo que no se ve. Los informes de RUA contienen una gran cantidad de información útil que puede ayudar a su empresa:

Mejora la capacidad de entrega: identifica los casos en los que los correos electrónicos legítimos se marcan como spam y ajusta la configuración para solucionarlos.
Mejora la seguridad y el cumplimiento normativo: identifica a los remitentes no autorizados que intentan suplantar a tu marca o hacer un uso malintencionado de tu dominio.
Aplicación de políticas de forma segura: Ofrece la visibilidad necesaria para pasar de p=none (solo supervisión) a p=quarantine o p=reject sin bloquear el correo legítimo.
Controla la «TI en la sombra» (servicios en la nube no autorizados que utilizan los empleados sin la aprobación del departamento de TI): descubre los servicios en la nube de terceros que podrían estar enviando correos electrónicos en tu nombre sin que tú lo sepas.

¿Cómo utilizar de forma eficaz los informes agregados de DMARC?

Para sacar el máximo partido a tus informes agregados de DMARC, debes pasar de una recopilación pasiva de datos a una gestión activa de los dominios. Dado que el XML sin procesar es muy difícil de analizar manualmente, seguir estas seis prácticas recomendadas estratégicas te ayudará a alcanzar con confianza un estado de aplicación total de DMARC (p=reject).

1. Aprovecha una solución especializada de análisis DMARC

Aunque, en teoría, se pueden abrir archivos XML en un editor de texto, hacerlo con cientos de informes resulta poco práctico a gran escala. Una herramienta especializada, como el analizador de informes DMARC, se encarga del trabajo pesado al:

De XML a representaciones visuales: convertimos miles de líneas de código en mapas geográficos intuitivos, gráficos circulares y paneles de control de inteligencia sobre amenazas.
Identificación automática de la fuente: en lugar de limitarse a mostrar una dirección IP como 209.85.220.41, un analizador profesional identifica el servicio por su nombre (por ejemplo, «Google Workspace» o «Salesforce»).
Resaltado de errores: señala automáticamente los errores de sintaxis en tus registros SPF/DKIM que podrían estar provocando que el correo legítimo no se entregue.

2. Establecer una periodicidad constante en las revisiones

Los ecosistemas de correo electrónico son dinámicos; se añaden nuevas herramientas de marketing y los rangos de direcciones IP de los proveedores externos cambian con frecuencia.

Supervisión diaria: Durante la fase de configuración inicial (cuando p = none), comprueba los informes a diario para asegurarte de que no se está bloqueando ningún tráfico legítimo.
Auditorías semanales: una vez que su política se encuentra en estado «p=quarantine» o «p=reject», suele bastar con una revisión semanal para detectar nuevos intentos de suplantación de identidad o casos de «Shadow IT» (servicios en la nube no autorizados que utilizan distintos departamentos).
Proactivo frente a reactivo: no esperes a que se produzca una crisis de entregabilidad o un ataque de phishing para analizar tus datos de RUA.

3. Analizar en profundidad los detalles de los fallos más frecuentes

No todos los fallos suponen una amenaza para la seguridad, pero los fallos a gran escala casi siempre son graves.

Identifica a los responsables: busca direcciones IP que estén enviando miles de correos electrónicos pero que no superen la verificación DMARC.
Configuración frente a malicia: si la dirección IP pertenece a un proveedor conocido (como HubSpot o Mailchimp), el fallo indica un error de configuración en tu configuración de SPF o DKIM. Si la dirección IP no se reconoce y procede de una región de alto riesgo, es probable que se trate de un intento de suplantación de identidad.
Comprueba los códigos de resultado: presta atención al motivo del error; ¿se trató de un problema de coincidencia (el dominio del encabezado «De» no coincidía con el dominio autenticado) o de un fallo total de la autenticación?

4. Analizar las tendencias a largo plazo y la estacionalidad

Los informes agregados de DMARC ofrecen una «instantánea» de las últimas 24 horas, pero la información realmente valiosa reside en las tendencias.

Tráfico habitual: Conoce tu volumen «normal» para poder detectar de inmediato cualquier anomalía, como un aumento repentino del tráfico que podría indicar un ataque de botnet.
Repercusión de la política: haz un seguimiento de cómo mejora tu tasa de superación de la autenticación a medida que perfeccionas tus registros. Una tendencia al alza constante en los porcentajes de «DMARC Pass» es la señal que necesitas para pasar a una política más estricta.
Comparación histórica: Mantenga al menos entre 6 y 12 meses de datos históricos para cumplir con las auditorías de seguridad e identificar las fluctuaciones estacionales en el volumen de correo electrónico.

5. Crear un ciclo de retroalimentación que permita actuar

Los datos solo son útiles si permiten mejorar los procesos. Aprovecha la información de tus informes para:

Optimizar los registros SPF: Elimina las direcciones IP o los proveedores antiguos y en desuso para mantenerte por debajo del límite de 10 consultas DNS.
Actualizar las claves DKIM: Si los informes indican fallos de DKIM en una oficina concreta, tal vez sea el momento de rotar las claves o corregir un selector defectuoso.
Soluciona los problemas de alineación de direcciones: muchos proveedores superan las verificaciones de SPF y DKIM, pero no superan la de DMARC porque el campo «Return-Path» no coincide con el dominio de tu marca. Los informes te indican exactamente dónde debes configurar las opciones «Custom Return-Path» o «Custom DKIM».

6. Documentar los resultados y las medidas correctoras

El historial de informes DMARC sirve como prueba de auditoría para los marcos de cumplimiento, entre los que se incluyen SOC 2, HIPAA y PCI-DSS.

Registra los eventos relevantes: documenta cuándo se ha añadido un nuevo proveedor, cuándo se ha cambiado la política de «ninguna» a «cuarentena» y los motivos que lo justifican.
Pruebas reglamentarias: si un auditor te pregunta cómo proteges los datos de los clientes frente a la suplantación de identidad en el correo electrónico, tus informes DMARC y tu registro de medidas correctivas sirven como prueba fehaciente de tu nivel de seguridad.
Transferencia de conocimientos: La documentación garantiza que, si el administrador principal del correo electrónico abandona la empresa, el nuevo miembro del equipo comprenda la arquitectura de correo electrónico existente y los remitentes autorizados.

¿Cómo simplifica PowerDMARC la generación de informes DMARC?

Procesar cientos de archivos XML manualmente resulta poco práctico a gran escala. PowerDMARC automatiza todo el ciclo de vida de tus informes, yendo más allá del simple análisis sintáctico para ofrecer una experiencia completa de operaciones de seguridad (SecOps).

Automatización avanzada y visualización

Análisis automático de XML: PowerDMARC convierte datos XML complejos en paneles de control, mapas geográficos y gráficos fáciles de interpretar, sin necesidad de leerlos manualmente.
Identificación del remitente: Nuestra solución identifica sus servicios por su nombre (por ejemplo, Salesforce, Zoom) en lugar de limitarse a direcciones IP ambiguas, lo que permite distinguir rápidamente entre proveedores legítimos y actores malintencionados.
Gestión de datos no estándar: PowerDMARC está diseñado para gestionar informes que incumplen las normas RFC procedentes de proveedores como Microsoft, lo que garantiza que tus datos nunca estén incompletos.
SPF y DKIM alojados: ¿Cansado del límite de 10 consultas DNS? Nuestras herramientas alojadas te permiten gestionar los registros directamente desde el panel de control sin tener que modificar tu DNS, lo que resuelve al instante el error «Demasiadas consultas».
BIMI (Brand Indicator for Message Identification) con compatibilidad con VMC (Verified Mark Certificates): Ve más allá de la seguridad mostrando el logotipo verificado de tu marca en las bandejas de entrada de los destinatarios, lo que ayuda a aumentar las tasas de apertura y la confianza.
DMARC para proveedores de servicios gestionados (MSP) y entornos multitenencia: actualizada con una visibilidad global mejorada, nuestra plataforma permite a los proveedores de servicios gestionados supervisar cientos de dominios desde un único panel de control.
Inteligencia sobre amenazas basada en IA: Utiliza nuestras actualizaciones para identificar patrones de suplantación de identidad y recibir alertas automáticas cuando se detecte un nuevo remitente no autorizado que utilice tu dominio.
Informes personalizados en PDF: genera informes listos para la alta dirección con un solo clic, lo que te ayuda a documentar tu proceso desde «p=none» hasta «p=reject» para las auditorías de cumplimiento.

Resumen

En el cambiante panorama de amenazas de 2026, confiar en el envío «ciego» de correos electrónicos ya no es una opción. Los informes agregados de DMARC son la herramienta más potente de la que dispone un administrador para obtener visibilidad y control sobre el uso del dominio. Al transformar los datos XML sin procesar en información útil con PowerDMARC, las organizaciones pueden detener de forma proactiva el phishing, mejorar la capacidad de entrega del correo electrónico y garantizar el cumplimiento de las normativas internacionales para remitentes masivos.

Preguntas frecuentes

¿Qué es un informe agregado de DMARC?

Un resumen diario en formato XML de la actividad de autenticación del correo electrónico y de los resultados de SPF, DKIM y DMARC, que los servidores de correo receptores envían a los propietarios de los dominios.

¿Con qué frecuencia se envían estos informes?

Por lo general, una vez cada 24 horas por cada entidad informante (por ejemplo, Google y Microsoft envían informes por separado).

¿Contienen estos informes datos personales?

No. Incluyen direcciones IP y volúmenes, pero no el contenido del cuerpo de los correos electrónicos ni información de identificación personal, por lo que son seguros para todas las regiones.

¿Puedo enviar informes a un dominio externo?

Sí, pero el dominio externo debe publicar un registro DNS que autorice la recepción de esos informes.

¿Cómo activo los informes agregados de DMARC?

Para habilitar los informes agregados de DMARC, añade un registro TXT a tu configuración de DNS:

Anfitrión: _dmarc
Valor: v=DMARC1; p=none;rua=mailto:[email protected];

Cuando estés listo, cambia a p=quarantine o p=reject. Esto te proporciona la visibilidad necesaria para proteger tu dominio, punto de origen del 91 % de los ciberataques.

Acerca de
Últimas publicaciones

Milena Baghdasaryan

Especialista en contenidos de PowerDMARC

Milena es una hábil escritora y creadora de contenidos con más de 7 años de experiencia en la elaboración de contenidos atractivos sobre TI, ciberseguridad, eventos virtuales y mucho más. Tiene un historial probado de entrega de trabajos de alta calidad para revistas internacionales y se ha graduado en prestigiosas instituciones como la New York University Abu Dhabi, UWC China y el College of Europe.

Últimos mensajes de Milena Baghdasaryan (ver todos)

Explicación de los informes agregados de DMARC: qué son, qué contienen y cómo utilizarlos - 6 de mayo de 2026
Reseña de Sendmarc: características, opiniones de los usuarios, ventajas y desventajas (2026) - 22 de abril de 2026
Cumplimiento de la norma FIPS: cómo reforzar su infraestructura antes de la fecha límite de 2026 - 20 de abril de 2026

Explicación de los informes agregados de DMARC: qué son, qué contienen y cómo utilizarlos