Alineación DMARC: Modos de alineación relajado y estricto
por
Última actualización: Tiempo de lectura: 11 min
Puntos clave
- La autenticación DMARC proporciona un marco sólido para verificar la legitimidad de una fuente de correo electrónico al vincular los resultados de SPF y DKIM al dominio que aparece en el encabezado «De».
- Alineación de identificadores SPF y DKIM es esencial para lograr el cumplimiento de DMARC y proteger contra la suplantación de identidad, evitando intentos de imitación o suplantación que «superan» la autenticación básica en un dominio diferente.
- La elección entre una alineación DMARC relajada o estricta depende de las prácticas de correo electrónico y los objetivos de seguridad de su organización, y debe validarse mediante informes DMARC antes de aplicar una configuración estricta.
- El reenvío de correos electrónicos puede complicar la alineación con DMARC, lo que a menudo provoca fallos de autenticación al romper SPF (cambios de IP) y, en ocasiones, invalida DKIM si los mensajes se modifican durante el tránsito.
- Supervisar y ajustar su configuración DMARC puede mejorar significativamente la capacidad de entrega del correo electrónico y reducir el riesgo de fraude, especialmente al pasar de una alineación flexible a una estricta o al aplicar p=quarantine/p=reject.
La autenticación del correo electrónico ya no se limita a «¿supera SPF o DKIM?». En 2026, a los proveedores de buzones de correo les importa tanto si esos resultados de autenticación coinciden con el dominio que los usuarios ven realmente en la dirección del remitente. Ahí es donde entra en juego la alineación DMARC.
La alineación DMARC (Domain-based Message Authentication Reporting and Conformance) determina si el dominio que se muestra a los destinatarios coincide con los dominios validados por SPF y DKIM. Si no coinciden, un correo electrónico puede fallar en DMARC, incluso si SPF o DKIM técnicamente lo aprueban. Por eso, muchas organizaciones ven cómo los correos electrónicos legítimos terminan en la carpeta de spam o son rechazados tras endurecer la aplicación de DMARC.
La complejidad proviene de los modos de alineación. La alineación relajada permite coincidencias de dominio organizativas, incluidos los subdominios. La alineación estricta requiere una coincidencia exacta del dominio. Elegir el modo incorrecto puede afectar silenciosamente a la capacidad de entrega, especialmente cuando hay varios ESP, subdominios o reenvíos involucrados.
Esta guía explica cómo funciona la alineación DMARC, la diferencia real entre la alineación estricta y la relajada en 2026, los escenarios de fallo más comunes y cómo decidir qué modo se adapta mejor a su infraestructura de correo electrónico sin poner en riesgo la entrega en la bandeja de entrada.
¿Qué es la alineación DMARC?
DMARC La alineación es el proceso de verificar que el dominio en el encabezado «De» de tu correo electrónico coincida con los dominios utilizados en la autenticación SPF y DKIM. DMARC se alinea con su correo electrónico si el mensaje pasa una o ambas alineaciones de identificadores SPF y DKIM.
Esto garantiza que sus correos electrónicos sean legítimos y estén protegidos contra una serie de ataques de fraude por correo electrónico, entre los que se incluyen el phishing, el spoofing, el ransomware y otros.
El protocolo de autenticación DMARC comprueba la alineación del identificador DMARC para establecer si un dominio de correo electrónico es potencialmente falsificado. Cuando se valida su correo electrónico, DMARC comprueba 3 identificadores:
- El encabezado De
- La dirección Return-Path
- El nombre de dominio en la firma DKIM
Punto clave: DMARC supera la alineación si SPF o DKIM se alinean con el dominio «De» (dependiendo de si la configuración es estricta o flexible). Si ninguno de los dos se alinea, DMARC falla, incluso cuando SPF o DKIM muestran un «aprobado» por sí solos.
Esto es lo que impide a los falsificadores enviar correos electrónicos que parecen parecen provenir de su dominio mientras se autentican con un dominio diferente detrás de escenas.
¡Simplifique la seguridad con PowerDMARC!
¿Cómo funciona la alineación DMARC?
Para comprender claramente la alineación DMARC, es útil saber qué identidad de dominio está diseñada para proteger DMARC. comparando.
Al implementar DMARC, vinculas los resultados de SPF y DKIM para autenticar todos los correos electrónicos procedentes de tu dominio. Para cualquier correo electrónico, DMARC utiliza lo que se conoce como «identidad central», que es el dominio que se encuentra en el encabezado «De». Este es el dominio que ven los destinatarios y el dominio que DMARC intenta proteger.
Cuando un correo electrónico de tu dominio llega al servidor receptor, SPF comprueba su ruta de retorno (Envelope From/dirección de rebote) y DKIM valida la firma cifrada utilizando el dominio de firma DKIM. A continuación, DMARC toma el resultado de cada comprobación y verifica si el dominio utilizado en SPF y/o DKIM coincide con el dominio del encabezado «De».
Sin embargo, hay un pequeño problema. Cualquiera, incluidos los delincuentes, puede comprar un dominio e implementar SPF y DKIM. Por lo tanto, en teoría, alguien podría enviar un correo electrónico con el dominio de su organización en la dirección «De:» (la identidad central) y hacer que la ruta de retorno de su propio dominio supere la autenticación SPF. Los usuarios suelen ver solo la dirección «De:» y no la ruta de retorno, por lo que ni siquiera sabrán que hay una discrepancia entre ambas.
Tipos de alineación DMARC: Alineaciones de identificadores estrictas frente a relajadas
Una vez que se comprende la alineación DMARC a un alto nivel, el siguiente paso es decidir con qué rigor se debe aplicar la coincidencia de dominios. DMARC ofrece dos modos de alineación: relajado y estricto, que controlan con qué precisión los dominios SPF y DKIM autenticados deben coincidir con el dominio que aparece en el encabezado «De».
Comparación lado a lado: alineación estricta frente a alineación flexible
| Aspecto | Alineación relajada | Alineación estricta |
|---|---|---|
| Coincidencia de dominios | Coincidencia de dominio organizativo (se permiten subdominios) | Se requiere coincidencia exacta del dominio |
| Compatibilidad con subdominios | ✓ Los subdominios pasan la alineación | ✗ Los subdominios no se alinean correctamente. |
| Nivel de seguridad | Seguridad moderada, mayor flexibilidad | Alta seguridad, menos flexible |
| Ideal para | Organizaciones que utilizan múltiples subdominios | Organizaciones que requieren la máxima seguridad |
| Etiquetas DMARC | aspf=r; adkim=r | aspf=s; adkim=s |
Estos modos de alineación se aplican de forma independiente a SPF y DKIM, pero juntos determinan si un correo electrónico supera DMARC.
1. Alineación relajada DMARC
Cuando se habilita la alineación relajada para SPF y DKIM, DMARC considera que un correo electrónico está alineado si los dominios autenticados coinciden con el dominio del remitente. Esto significa que los subdominios se tratan como alineados.
En modo relajado, incluso si el dominio del comando Mail From y los dominios del encabezado Return-Path (para SPF) o la firma DKIM (para DKIM) no coinciden exactamente, pero pertenecen al mismo dominio organizativo, la alineación DMARC se considera aprobada.
Ejemplo de alineación relajada DMARC
v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=r; adkim=r
Aquí, las etiquetas de alineación aspf=r y adkim=r especifican una alineación relajada tanto para SPF como para DKIM.
2. Alineación estricta DMARC
La alineación estricta exige un mayor nivel de precisión. En este modo, la alineación DMARC solo se aprueba si el dominio del encabezado «De» coincide exactamente con los dominios utilizados para la autenticación SPF y DKIM.
Si la alineación estricta está habilitada, los subdominios no se consideran alineados. Cualquier discrepancia, incluso dentro del mismo dominio organizativo, provocará que la alineación falle.
Ejemplo de alineación estricta DMARC
v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=s; adkim=s
Aquí, aspf=s y adkim=s requieren una coincidencia exacta tanto para la alineación SPF como para la DKIM.
El papel de la alineación de identificadores SPF y DKIM
La alineación de identificadores SPF y DKIM existe para evitar la suplantación de dominios, no solo para confirmar que un correo electrónico ha superado las comprobaciones básicas de autenticación. Sin alineación, un correo electrónico puede superar técnicamente SPF o DKIM utilizando un dominio, mientras que muestra un dominio diferente y de confianza en la dirección del remitente, que es la parte que ven realmente los destinatarios.
La alineación del identificador de autenticación ayuda a determinar si el remitente del correo electrónico está realmente autorizado para enviar mensajes en nombre del dominio que se muestra a los destinatarios. Los proveedores de buzones de correo se basan en esta señal de alineación para distinguir las fuentes de correo electrónico legítimas de los mensajes falsificados o engañosos, incluso cuando SPF o DKIM devuelven de forma independiente un «aprobado».
Los correos electrónicos alineados tienen más probabilidades de superar los controles de verificación del remitente y ser considerados fiables por los servidores de correo receptores. Cuando la alineación falla, los proveedores consideran que el mensaje presenta un mayor riesgo y pueden filtrarlo, ponerlo en cuarentena o rechazarlo, especialmente cuando se aplica DMARC en políticas como p=quarantine o p=reject.
¿Qué factores pueden afectar a la alineación de los identificadores SPF y DKIM?
Hay varios casos habituales de envío que pueden provocar fallos de alineación:
- Los servicios de correo electrónico de terceros y los ESP pueden autenticar el correo electrónico utilizando sus propios dominios, a menos que se configure explícitamente para la alineación.
- El reenvío de correos electrónicos puede romper el SPF debido a cambios en la IP y puede invalidar el DKIM si se modifica el contenido del mensaje.
Cómo se aplican los modos de alineación a SPF
La alineación SPF se centra en la relación entre el dominio Return-Path (Envelope From) y el dominio del encabezado From.
La alineación SPF se aprueba cuando estos dominios se alinean según el modo de alineación DMARC seleccionado:
- Alineación SPF flexible: Se permiten coincidencias de dominio organizativo, por lo que los subdominios pasan.
- Alineación SPF estricta: Solo se aceptan coincidencias exactas de dominio.
| Desde el dominio | Dominio de ruta de retorno | Resultado relajado | Resultado estricto |
|---|---|---|---|
| ejemplo.com | ejemplo.com | ✓ Aprobado | ✓ Aprobado |
| ejemplo.com | correo.ejemplo.com | ✓ Aprobado | ✗ Fallar |
| ejemplo.com | diferente.com | ✗ Fallar | ✗ Fallar |
Dado que SPF se basa en la dirección IP de envío, la alineación SPF es especialmente sensible a situaciones como el reenvío de correo electrónico, en las que la IP del servidor de reenvío puede no estar autorizada en el registro SPF original.
Cómo se aplican los modos de alineación a DKIM
La alineación DKIM evalúa si el dominio de firma DKIM (el d= en la firma DKIM) coincide con el dominio remitente.
La alineación DKIM se aprueba cuando el dominio de firma coincide con el dominio «De» según el modo de alineación elegido:
- Alineación DKIM relajada: Se permiten coincidencias de dominios organizativos.
- Alineación DKIM estricta: Se requiere una coincidencia exacta del dominio.
| Desde el dominio | Dominio de firma DKIM | Resultado relajado | Resultado estricto |
|---|---|---|---|
| ejemplo.com | ejemplo.com | ✓ Aprobado | ✓ Aprobado |
| ejemplo.com | marketing.ejemplo.com | ✓ Aprobado | ✗ Fallar |
| ejemplo.com | terceros.com | ✗ Fallar | ✗ Fallar |
A diferencia del SPF, el DKIM no se ve afectado por los cambios de IP durante el reenvío, pero la alineación del DKIM puede fallar si se modifican el contenido o los encabezados del mensaje durante el tránsito.
Cómo abordar los retos de alineación
Para mantener una alineación DMARC coherente, las organizaciones deben asegurarse de que todas las fuentes de envío legítimas estén alineadas intencionadamente con el dominio utilizado en la dirección del remitente y supervisadas periódicamente a medida que cambia la infraestructura del correo electrónico.
En PowerDMARC, vamos un paso más allá ayudándole a configurar y mantener SPF, DKIM, ARCy DMARC de forma centralizada. Esto facilita la alineación de los remitentes externos, la resolución de los problemas relacionados con el reenvío y la actualización de los registros de autenticación a medida que evoluciona su configuración, de modo que sus correos electrónicos legítimos tengan la mayor probabilidad de llegar a la bandeja de entrada.
Ejemplos de alineación DMARC
Los siguientes ejemplos muestran cómo se comportan la alineación estricta y la alineación relajada en situaciones reales de envío de correos electrónicos.
Ejemplo 1: Empresa SaaS que utiliza varios subdominios
- Del encabezado: [email protected]
- SPF Return-Path: marketing.company.com
- Firma DKIM: support.company.com
Resultado de la alineación relajada: ✓ Aprobado (los dominios organizativos coinciden)
Resultado de alineación estricta: ✗ No aprobado (se requiere coincidencia exacta)
Esto es habitual en las empresas SaaS que envían correos electrónicos desde varios subdominios. La alineación relajada permite que estos mensajes superen el DMARC sin necesidad de configuración adicional.
Ejemplo 2: Entidad financiera con coincidencia exacta de dominio
- Del encabezado: [email protected]
- SPF Return-Path: bank.com
- Firma DKIM: bank.com
Resultado de la alineación relajada: ✓ Aprobado
Resultado de alineación estricta: ✓ Aprobado
Como todos los dominios coinciden exactamente, ambos modos de alineación tienen éxito. Esta configuración es típica de organizaciones con infraestructura centralizada y requisitos de seguridad estrictos.
Ejemplo 3: Servicio de correo electrónico de terceros sin alineación
- Del encabezado: [email protected]
- SPF Return-Path: mailservice.com
- Firma DKIM: mailservice.com
Resultado de la alineación relajada: ✗ Fallido
Resultado de la alineación estricta: ✗ Fallo
En este escenario, ni SPF ni DKIM coinciden con el dominio remitente. Aunque SPF o DKIM superen la comprobación individualmente, DMARC falla debido a la falta de coincidencia, lo que pone de relieve la necesidad de una configuración adecuada del remitente externo.
¿Cómo elegir el modo de alineación DMARC adecuado?
La elección entre una alineación DMARC relajada o estricta depende de su infraestructura de correo electrónico, su tolerancia a los falsos positivos y la agresividad con la que planee aplicar las políticas DMARC, como p=quarantine o p=reject. El objetivo es mejorar la protección contra la suplantación de identidad sin interrumpir el flujo de correo legítimo.
¿Qué modo de alineación DMARC es mejor?
No existe una opción universal «mejor». La alineación flexible suele ser el punto de partida más seguro para la mayoría de las organizaciones, ya que admite configuraciones comunes del mundo real (múltiples subdominios y remitentes externos). La alineación estricta ofrece una protección más sólida, pero requiere una arquitectura de envío más limpia y coherente, así como una supervisión más estrecha para evitar el bloqueo de correos electrónicos legítimos.
Elige una alineación relajada cuando
La alineación relajada suele ser la mejor opción cuando tu organización tiene un ecosistema de envío más complejo, como por ejemplo:
- Envías correos electrónicos desde varios subdominios (por ejemplo, marketing.ejemplo.com, soporte.ejemplo.com).
- Utilizas varias plataformas de correo electrónico o remitentes externos que pueden autenticarse mediante subdominios.
- Está implementando DMARC por primera vez y desea reducir el riesgo de interrupciones.
- Necesitas flexibilidad mientras identificas y corriges las fuentes de envío desalineadas.
Elija la alineación estricta cuando
La alineación estricta es más eficaz cuando la configuración de envío está estrictamente controlada y se desea obtener la máxima protección contra la suplantación de identidad, como por ejemplo:
- Envías correo desde un dominio principal con variaciones mínimas.
- Tiene requisitos de seguridad estrictos (por ejemplo, servicios financieros, administración pública, entornos regulados).
- Quieres evitar intentos de suplantación de subdominios.
- Ya está listo para aplicar DMARC con p=quarantine o p=reject, con supervisión implementada.
Un marco práctico para la toma de decisiones
Para seleccionar el modo de alineación DMARC adecuado sin poner en riesgo la capacidad de entrega:
- Audite su infraestructura de envío
Enumere todos los sistemas que envían correos electrónicos para su dominio (herramientas de marketing, CRM, sistemas de gestión de tickets, nóminas, facturación, retransmisiones internas), incluidos los subdominios. - Comprueba cómo se autentica cada fuente hoy
Identifique si SPF y/o DKIM están pasando y si los dominios autenticados coinciden con el dominio del encabezado «De». - Si no estás seguro, empieza con una alineación relajada
La alineación relajada es más tolerante mientras descubre configuraciones erróneas y discrepancias entre los dominios de los proveedores. - Pase al modo estricto solo después de que la alineación sea estable
El modo estricto se adopta mejor una vez que sus fuentes legítimas se autentican y alinean de forma consistente, y usted puede verificar los resultados a través de los informes DMARC. - Supervise continuamente después de cambiar de modo
Los problemas de alineación suelen reaparecer cuando los equipos añaden nuevas herramientas, cambian las configuraciones ESP o introducen nuevos subdominios.
En la mayoría de los casos, el enfoque más eficaz es comenzar con una alineación flexible, solucionar los problemas de alineación en todas las fuentes legítimas y, a continuación, pasar a una alineación estricta solo cuando la infraestructura pueda soportarlo.
Cómo supervisar, probar y validar la alineación DMARC
Una vez que habilite la alineación DMARC estricta (o planee pasar de relajada a estricta), la supervisión se vuelve esencial para evitar falsos positivos y evitar que los correos electrónicos legítimos sean filtrados o rechazados. La forma más fiable de validar la alineación DMARC es a través de los informes agregados DMARC, que muestran si SPF y DKIM se alinean correctamente con su dominio remitente en todas las fuentes de envío.
A continuación, se describe un proceso paso a paso para verificar la alineación DMARC de sus mensajes de correo electrónico:
- Ir a Informes en el menú principal
- Haga clic en «Informes agregados de DMARC» y despliegue el menú desplegable.
- Seleccionar Por resultado
- Supervise las fuentes de envío por resultado para ver los resultados de cumplimiento y alineación con DMARC para cada resultado.
Cuando se supera la alineación DMARC
La alineación DMARC se aprueba cuando se aprueba la alineación del identificador SPF o DKIM (o ambos), según el modo de alineación seleccionado (estricto o flexible).
Por qué falla la alineación DMARC
El fallo de alineación DMARC suele producirse cuando ni SPF ni DKIM se alinean con el dominio del encabezado «De». Las razones más comunes son:
- El dominio del encabezado «De» no coincide con el dominio de la ruta de retorno (error de alineación SPF).
- El dominio del encabezado «De» no coincide con el dominio de firma DKIM (error de alineación DKIM).
- Los servicios de correo electrónico de terceros están mal configurados y se autentican utilizando sus propios dominios.
- El reenvío de correos electrónicos interrumpe el SPF (cambios de IP) y puede invalidar el DKIM si los mensajes se modifican durante el tránsito.
Supervise los resultados de la alineación con PowerDMARC
PowerDMARC le ayuda a supervisar sus correos electrónicos mientras sigue una estricta política de alineación DMARC con la ayuda de nuestro herramienta de análisis DMARC . Le ayudamos a rastrear sus fuentes de envío de correo electrónico, comprobar si hay fallos de alineación y optimizar su configuración de autenticación directamente desde nuestro panel de control.
Póngase en contacto hoy mismo para empezar.
Preguntas frecuentes
¿Qué es la alineación DMARC?
La alineación DMARC es el proceso de verificar que el dominio que aparece en el encabezado «De» de un correo electrónico coincida con los dominios autenticados por SPF y/o DKIM. Esto garantiza que el dominio que ven los destinatarios sea el mismo que se valida durante la autenticación, lo que ayuda a prevenir ataques de suplantación de identidad y falsificación.
¿Cuál es la configuración de alineación predeterminada para DMARC?
La configuración predeterminada de alineación DMARC es flexible tanto para SPF como para DKIM. Esto permite coincidencias de dominio organizativas, lo que significa que los subdominios pueden pasar las comprobaciones de alineación a menos que se configure explícitamente una configuración más estricta.
¿Qué es un dominio de ruta de retorno y por qué es importante para DMARC?
Un dominio de ruta de retorno (también conocido como remitente del sobre o dirección de rebote) es el dominio que recibe los correos electrónicos no entregados o rebotados. Durante una comprobación DMARC, la alineación SPF se evalúa utilizando el dominio Return-Path, no la dirección visible del remitente. Si el dominio Return-Path no se alinea con el dominio del remitente, la alineación SPF fallará.
¿Qué es un dominio de firma DKIM?
Un dominio de firma DKIM es el dominio utilizado para firmar criptográficamente un correo electrónico (el d= en la firma DKIM). Durante la evaluación DMARC, la alineación DKIM comprueba si este dominio de firma coincide con el dominio del remitente. La alineación relajada permite coincidencias organizativas, mientras que la alineación estricta requiere una coincidencia exacta del dominio.
¿Cómo afecta el reenvío de correos electrónicos a la alineación DMARC?
El reenvío de correos electrónicos puede provocar errores de alineación DMARC al romper SPF y, en algunos casos, DKIM. SPF puede fallar cuando los correos electrónicos reenviados se envían desde direcciones IP no autorizadas en el registro SPF del remitente original. DKIM puede fallar si el contenido o los encabezados del correo electrónico se modifican durante el reenvío. Si ni SPF ni DKIM permanecen alineados, DMARC fallará.
¿Cómo puedo supervisar los fallos de alineación DMARC?
Puede supervisar los fallos de alineación habilitando los informes agregados DMARC y los informes forenses (de fallos). Estos informes muestran qué fuentes de envío están alineadas, cuáles fallan y por qué, lo que le ayuda a solucionar los problemas y mejorar la capacidad de entrega antes de aplicar políticas DMARC más estrictas.
¿Cómo configuro correctamente la alineación DMARC?
Para configurar correctamente la alineación DMARC:
- Configure SPF y DKIM para todas las fuentes de envío legítimas.
- Publique un registro DMARC con el aspf y adkim .
- Supervise los informes DMARC para identificar dominios desalineados.
- Solucionar problemas de alineación de terceros y subdominios.
- Pase gradualmente de una alineación relajada a una estricta una vez que se haya confirmado la estabilidad.
¿Qué es la alineación relajada en DMARC?
La alineación relajada permite coincidencias de dominio organizativas. Por ejemplo, si su dominio «De» es example.com y su dominio de firma SPF Return-Path o DKIM es mail.example.com, la alineación relajada seguirá siendo válida.
¿Cuándo debo utilizar la alineación estricta de DMARC?
La alineación estricta es más adecuada para organizaciones con una configuración de envío estrictamente controlada, un uso mínimo de subdominios y requisitos de seguridad o normativos elevados. Por lo general, solo debe implementarse después de que todas las fuentes de envío legítimas estén alineadas y supervisadas de forma coherente.
Experto en ciberseguridad, CEO de PowerDMARC
Maitham es un emprendedor tecnológico, experto en ciberseguridad, CEO y fundador de PowerDMARC con más de 15 años de experiencia en el sector. Maitham posee un MBA Global por la Universidad de Manchester y varias certificaciones profesionales, entre ellas CISSP, CISM, CRISC e ISC2 CCSP.
Últimos comentarios de Maitham Al Lawati (ver todos)
- Estadísticas sobre phishing y DMARC: Tendencias en seguridad del correo electrónico para 2026 - 6 de enero de 2026
- Cómo solucionar el error «No se ha encontrado ningún registro SPF» en 2026 - 3 de enero de 2026
- SPF Permerror: qué significa y cómo solucionarlo - 24 de diciembre de 2025
