¿Qué es la "verificación de destino externo" de DMARC? | Recepción de informes DMARC fuera de su dominio
por
Tiempo de lectura: 5 min
Si los dominios externos de su DMARC no dan permiso para que se les envíen sus informes, esta guía es para usted. ¿Sabía que puede recibir informes DMARC fuera de su propio dominio? Es posible enviar tus informes DMARC a una dirección de correo electrónico que no pertenezca al ámbito de tu propio dominio a través de la Verificación de Destino Externo DMARC. Si es propietario del dominio empresa.espuede enviar sus informes a una dirección (por ejemplo) [email protected]donde empresa.com no tiene autoridad sobre mailreports.net y son dos dominios completamente separados.
Sin embargo, para conseguirlo, el dominio receptor del informe (mailreports.net) tiene que dar su aprobación para recibir informes que contengan los datos DMARC de su dominio (empresa.com).
El método que lo hace posible se denomina "Verificación de dominio externo" y hoy hablaremos de lo que es y de cómo le ayuda en su viaje de autenticación.
Puntos clave
- Puede recibir informes DMARC en una dirección de correo electrónico externa no asociada a su propio dominio mediante la Verificación de dominio externa.
- La verificación de dominio externo requiere el consentimiento explícito del dominio receptor del informe para evitar el acceso no autorizado a los informes DMARC.
- Sin la verificación de dominio externa, los actores maliciosos podrían secuestrar los registros DMARC para enviar informes confidenciales a destinatarios no deseados.
- La publicación de registros DMARC específicos en el dominio externo ayuda a facilitar eficazmente el proceso de verificación del destino externo.
- El uso de entradas comodín para la entrega externa puede plantear riesgos, ya que permiten que cualquier dominio envíe informes, lo que puede saturar de spam el dominio receptor.
Verificación de dominios externos DMARC - Explicación
Digamos que usted es dueño del dominio empresa.es y tiene DMARC habilitado para su dominio. Ahora quieres recibir información sobre tus fuentes de envío de correo electrónico a través de los informes agregados de DMARC, pero para evitar el spam en la bandeja de entrada de tus dominios y subdominios internos, quieres redirigir esos informes a un destino externo, digamos por ejemplo mailreports.net.
Esta es una táctica común ejercida por las empresas que tienen múltiples dominios registrados, terceros y un flujo masivo de información hacia y desde sus dominios.
Para ello, su registro DMARC posterior tendría el siguiente aspecto:
v=DMARC1; p=cuarentena; rua=mailto:[email protected]
[Para crear su registro personalizado de forma gratuita, utilice nuestro generador de registros DMARC herramienta]
La etiqueta rua especifica la dirección de correo electrónico en la que recibirá sus informes DMARC. Ahora bien, tenga en cuenta que el hecho de que tenga un registro publicado en sus DNS solicitando que sus datos se envíen a mailreports.net, no significa que vaya a ser así. No es tan sencillo.
El dominio receptor del informe debe dar su consentimiento digital para recibir los informes de empresa.esde lo contrario no se podrán enviar. Esto se conoce como Verificación de Dominio Externo o Verificación de Destino Externo (como se menciona en RFC 7489 7.1).
¡Simplifique la verificación de destinos externos con PowerDMARC!
¿Por qué es necesaria la verificación del destino externo? Posibles amenazas y vulnerabilidades
Las siguientes razones pueden obligarle a optar por la Verificación de Dominio Externa:
- Los dominios externos en su DMARC no están dando permiso para que se les envíen sus informes.
- Es propietario de un dominio que no gestiona ningún servidor de correo
- Sin la verificación del dominio externo, los ciberatacantes pueden crear fácilmente un registro DMARC que mencione un dominio externo (de una víctima) para recibir informes. Los informes de todos los correos electrónicos malos enviados por el atacante inundarán ahora la bandeja de entrada de la víctima
A través de la Verificación de Destino Externo, se puede impedir que los actores de amenazas lleven a cabo sus actos maliciosos, y los propietarios de los dominios pueden dirigir los informes a un dominio externo que opere con servidores de correo.
¿Cómo funciona la verificación de dominios externos?
Verificación de los destinos de los informes externos
Cuando un dominio con un registro DMARC publicado envía un correo electrónico, el servidor de recepción de correo electrónico comprueba si el dominio organizativo en el que se ha publicado el registro coincide exactamente con el dominio organizativo mencionado en la etiqueta rua (o ruf) del registro DMARC.
Si no coincide, y se ha especificado un dominio externo para recibir informes, se inicia el proceso de verificación.
Para ello, se consulta el DNS del host receptor del informe para verificar si ha dado su consentimiento para recibir los informes. Si se encuentra un registro DMARC que lo atestigua en sus DNS, la comprobación se supera y los informes se envían al dominio externo. Si falla, los informes no se envían.
A veces, debido al tiempo de espera del DNS y otros problemas menores, puede producirse un error temporal que impida a los servidores de recepción completar el proceso de verificación del destino externo temporalmente. Sin embargo, se vuelve a intentar más tarde.
Configuraciones de verificación de destino externo para dominios (y subdominios) específicos
Tomemos nuestro ejemplo anterior para determinar cómo garantizar que su proceso de verificación de destino externo no devuelva un resultado de error para sus dominios y subdominios específicos.
Ejemplo de nombre de dominio: company.com
Ejemplo de dominio receptor de informes externos: mailreports.net
Es necesario publicar un registro DNS DMARC con la siguiente información en el dominio mailreports.net:
| Campo | Descripción | Valor |
| Anfitrión | Aquí es donde se publica el registro en | empresa.com._informe._dmarc.informesdecorreo.net |
| Valor | El valor de su registro TXT | v=DMARC1; |
Nota: Sustituya los nombres de dominio por su propio dominio y por cualquier dominio externo en el que quiera recibir sus informes. Este registro NO debe publicarse en su dominio, sino en el dominio externo al que desea enviar sus informes.
Y ya está. Durante la verificación del destino externo, esto informará a los servidores de recepción de correo electrónico de que su dominio externo preferido, mencionado en la etiqueta rua o ruf, consiente de hecho en recibir informes DMARC en nombre de su dominio.
Configuraciones opcionales para la verificación del destino externo
En lugar de publicar el mencionado registro para dar permiso a dominios específicos para el envío de informes a su dirección, los dominios externos suelen utilizar un registro registro comodín (que comienza con un asterisco "*").
Esto es simplemente un atajo para evitar el esfuerzo adicional, ya que un registro comodín denota esencialmente que el dominio externo está consintiendo recibir informes DMARC de CUALQUIER dominio (y no sólo de su dominio específico).
A continuación se muestra la sintaxis (ejemplo) de un registro comodín utilizado para la verificación de dominios externos:
| Campo | Descripción | Valor del registro comodín |
| Anfitrión | Aquí es donde se publica el registro en | *._informe._dmarc.dominio.com |
| Valor | El valor de su registro TXT | v=DMARC1; |
Riesgos potenciales asociados a la utilización de comodines
El uso de entradas comodín para la verificación de dominios externos no es una práctica recomendada y conlleva riesgos potenciales. Esto se debe a que cuando un dominio consiente en recibir informes de cualquier dominio, los malos actores pueden usar esto para enviar spam a las cuentas de correo electrónico con informes masivos de dominios maliciosos sin ningún mecanismo para regular o filtrar los informes. Esto puede ser potencialmente dañino para el dominio que recibe los informes, y también causar problemas para ti que estás usando ese dominio para recibir tus propios informes.
¿Cómo gestionamos la verificación del dominio externo en PowerDMARC?
Para los clientes que han creado una cuenta PowerDMARC y reciben informes en el analizador de informes DMARC no tienen que preocuparse por la verificación del dominio externo, ya que nosotros nos encargamos de ello. Todos los informes enviados por los receptores se enrutan automáticamente y se envían a nuestra plataforma, perfectamente analizados y organizados para que los pueda ver sin que tenga que publicar registros para agilizar el proceso de verificación del destino externo. Todo lo que tiene que hacer es especificar nuestra dirección rua (o ruf) personalizada en su registro DMARC.
Regístrese ahora para que la validación de destinos externos y el proceso de implantación de DMARC se realicen sin esfuerzo con una prueba gratuita de prueba DMARC.
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.
Últimas publicaciones de Ahona Rudra (ver todas)
- Configuración de DKIM: Guía paso a paso para configurar DKIM para la seguridad del correo electrónico (2025) - 31 de marzo de 2025
- PowerDMARC reconocido como líder de red para DMARC en G2 Spring Reports 2025 - 26 de marzo de 2025
- Cómo identificar correos electrónicos falsos de confirmación de pedido y protegerse - 25 de marzo de 2025
