Falsos positivos DMARC: Causas, soluciones y guía de prevención

DMARC es un protocolo de autenticación de correo electrónico basado en SPF y DKIM. Ayuda a los propietarios de dominios a especificar cómo deben tratar los servidores de correo receptores los correos electrónicos que no superan la autenticación. Las principales políticas DMARC son ninguna, cuarentena o rechazo. Permiten controlar si los correos no autenticados deben entregarse, enviarse a spam o bloquearse por completo.

Un falso positivo DMARC se produce cuando un correo electrónico legítimo se marca incorrectamente como "fallido". Esto puede deberse a errores de configuración y lagunas en los ajustes de SPF, DKIM o DMARC. Las causas más comunes incluyen dominios mal alineados, firmas DKIM que faltan o políticas demasiado estrictas aplicadas sin la supervisión adecuada. Debido a estas lagunas, los correos electrónicos empresariales pueden perderse o redirigirse a spam. Esto puede tener un impacto significativo en las operaciones de su empresa, la eficacia de la comunicación y la imagen de su marca.

¿Por qué se producen falsos positivos en DMARC?

Los falsos positivos de DMARC pueden deberse a un gran número de factores.

Mala gestión de los registros DNS

Los registros DNS actúan como instrucciones que ayudan a los receptores de correo electrónico a validar la autenticación SPF, DKIM y DMARC. Permiten a DMARC encontrar las direcciones correctas para comprobar la autenticidad y legitimidad de los remitentes de correo electrónico. La gestión adecuada de sus registros DNS SPF, DKIM y DMARC garantiza que los servidores receptores puedan autenticar correctamente sus correos electrónicos. Sin un registro DMARC, los receptores de correo electrónico no aplicarán la política DMARC, dejando su dominio vulnerable a la suplantación de identidad.

Desalineación SPF/DKIM

DMARC exige que el dominio del encabezado "De" coincida con los dominios utilizados en la autenticación SPF y DKIM. Si sus políticas de alineación son demasiado estrictas, esto puede hacer que los correos electrónicos legítimos fallen en caso de que estos dominios difieran. Más concretamente, cuando el dominio autenticado por SPF (normalmente de la ruta de retorno) o el dominio de firma DKIM no coinciden con la dirección "De", puede hacer que DMARC falle. 

Reenvío de correo electrónico

Los correos electrónicos reenviados suelen pasar por servidores intermedios que no figuran en el registro SPF del remitente. Esto puede hacer que SPF falle. El reenvío normalmente rompe SPF, pero las firmas DKIM suelen sobrevivir a menos que el reenviador o la lista de correo modifiquen el mensaje (como añadir pies de página o cabeceras). Las lagunas en SPF o DKIM pueden hacer que DMARC falle. 

Listas de correo

Las listas de correo a veces implican modificar los correos electrónicos añadiendo pies de página o cabeceras. Incluso pueden reescribir completamente la dirección "De". Estos cambios rompen las firmas DKIM y causan desalineación SPF. Esto se debe a que la dirección de rebote de la lista de correo difiere del remitente original, por lo que DMARC falla.

Claves DKIM caducadas o rotadas

Las claves DKIM no caducan automáticamente, pero deben rotarse con regularidad. Algunas firmas DKIM pueden incluir una etiqueta x= que establece un tiempo de caducidad de la firma, aunque es opcional y no se aplica de forma generalizada. Es necesaria una gestión cuidadosa durante la rotación de claves para garantizar que las claves públicas permanezcan publicadas hasta que se hayan entregado todos los correos electrónicos firmados con la clave antigua.

Uso de la dirección IP dinámica 

No es sorprendente que DMARC funcione mejor con direcciones IP estables. Las direcciones IP dinámicas suelen cambiar y dificultan la llegada al destino previsto. Por eso es más probable que una dirección IP dinámica sea bloqueada por los servicios de reputación del correo electrónico. Además, es probable que una dirección IP dinámica tenga registros DNS inversos incoherentes. Esto, a su vez, las hace más problemáticas y da preferencia a las direcciones IP estables. 

Terceros remitentes no autorizados

Es muy probable que los correos electrónicos enviados por terceros que no estén incluidos en los registros SPF o DKIM del dominio fallen la autenticación. Esto puede hacer que DMARC falle y puede potencialmente desencadenar falsos positivos incluso si estos remitentes son legítimos; si no están debidamente autorizados, entonces ser legítimo no es suficiente. 

Cómo detectar falsos positivos de DMARC

He aquí algunas formas de detectar falsos positivos de DMARC. 

Informes agregados DMARC (RUA)

Cuando revise sus DMARC agregados (RUA) informespuede ver y controlar fácilmente las tendencias de aprobación y rechazo de sus comunicaciones por correo electrónico. Estos informes basados en XML se envían todos los días a la dirección que haya mencionado en su registro DMARC. Incluyen un resumen de sus resultados de autenticación tanto para SPF como para DKIM, para que pueda detectar cualquier aumento inusual de fallos. Este aumento inesperado puede ser un buen indicador de falsos positivos.

Informes forenses (RUF)

La activación de los informes forenses DMARC (RUF) le proporcionará diagnósticos detallados en tiempo real de todos los correos electrónicos que no superen las comprobaciones DMARC. Los informes son bastante completos e incluyen información a nivel de mensaje. Pueden incluir datos del remitente, asunto y resultados de autenticación. Debido a la profundidad de los datos encontrados en estos correos electrónicos, se hace mucho más fácil identificar qué correos electrónicos legítimos están siendo enviados a spam o rechazados.

Registros de rebotes de correo electrónico

Comprobar los registros de rebotes o rechazos de su servidor de correo es otro buen método para detectar falsos positivos. Si los rebotes se repiten, o si experimenta rechazos frecuentes de correos electrónicos internos o de socios, es posible que su ecosistema de correo electrónico esté sufriendo falsos positivos de DMARC.

Síntomas comunes

¿Sus correos electrónicos legítimos internos o de socios desaparecen o son rechazados sin motivo? Si sigue experimentando fallos de entrega incluso cuando ha configurado correctamente los registros SPF, DKIM y DMARC, se trata de otro signo de falsos positivos.

Cómo solucionar y prevenir los falsos positivos de DMARC

Existen varios métodos eficaces para prevenir y/o corregir los falsos positivos. 

Garantizar la alineación SPF/DKIM

Para SPF, asegúrese de que el dominio Return-Path (MAIL FROM) coincide con la dirección visible del remitente. Para DKIM, asegúrese de que el dominio d= coincide con la dirección visible del remitente. Como alternativa, considere cambiar de alineación estricta a relajada si necesita una solución sencilla al problema de los falsos positivos.

Autorizar servicios de terceros

Otro buen método es actualizar sus registros SPF para incluir a todos los remitentes legítimos de terceros. Puede hacerlo utilizando el mecanismo de inclusión o enumerando sus IP de envío. Asegúrese de que estos proveedores generan claves DKIM para su dominio o subdominio y publican las claves públicas en su DNS. 

Asegúrese de que sus registros DNS están bien gestionados 

Para gestionar correctamente sus registros DNS, siempre puede utilizar una herramienta de búsqueda DNS para comprobar la disponibilidad de un registro DMARC. Debe ser un registro TXT con su nombre de dominio real.

También sería útil comprobar la sintaxis de su registro DMARC, para que todas las directivas tengan el formato correcto y utilicen la puntuación adecuada (es decir, punto y coma). 

Reenvío de correo electrónico

Ya hemos aprendido que reenviar puede romper SPF y DKIM. Para evitar este problema, debería implementar ARC(Authenticated Received Chain). Esto puede ayudar a preservar los resultados de autenticación a través de los saltos de reenvío. También puede configurar los servicios de reenvío para que añadir firmas DKIMlo que puede ayudar a evitar falsos positivos durante el reenvío.

Aproveche la gestión adecuada de subdominios 

Un buen despliegue DMARC abarca no sólo el dominio, sino también la gestión de subdominios. Esto significa que debe configurar registros SPF, DKIM y DMARC para cada uno de los subdominios y especificar claramente las políticas DMARC correspondientes. 

Supervisar y ajustar las políticas

Por último, es importante saber qué política DMARC está utilizando en cada fase de la implementación de DMARC. Por ejemplo, mientras que una política DMARC estricta (por ejemplo, p=reject) puede ser necesaria en las etapas posteriores, se recomienda empezar con una política DMARC relajada como p=none. Empezar con la política relajada puede ayudarle a recopilar datos e identificar falsos positivos.

Una vez que disponga de la información necesaria, puede pasar gradualmente a la cuarentena y, finalmente, al rechazo. Pero solo hazlo cuando estés seguro de que todas las fuentes legítimas están debidamente autenticadas.

Buenas prácticas para reducir los falsos positivos

He aquí una rápida lista de comprobación que puede utilizar para reducir o incluso eliminar los falsos positivos:

1. No pase directamente a p=reject cuando aún no haya realizado suficientes controles y pruebas. La aplicación paciente y gradual de DMARC puede ayudarle a evitar los dolores de cabeza asociados a los correos legítimos que acaban en spam. 
2. Compruebe y actualice regularmente sus registros DNS para SPF, DKIM y DMARC. Esto garantizará que todos los remitentes legítimos estén cubiertos. 
3. Pruebe siempre su configuración con comprobadores DMARC antes de aplicar políticas estrictas como p=reject. Además de utilizar comprobadores en línea, asegúrese también de examinar detenidamente los informes para identificar cualquier error o laguna.
4. Evite las direcciones IP dinámicas (¡ya sabe por qué!). 
5. Colaborar con proveedores externos (como CRM y ESP) para garantizar que sus prácticas de envío cumplen con DMARC y están autorizadas para su dominio.

Resumen 

Los falsos positivos pueden ser realmente molestos, pero en realidad son más fáciles de solucionar de lo que pueda imaginar. Una alineación adecuada, una supervisión cuidadosa y la aplicación gradual de las políticas DMARC pueden ayudarle a detectarlos y prevenirlos a tiempo. Además, recuerde auditar sus informes DMARC y ajustar las configuraciones para una implementación DMARC y una entrega o entregabilidad del correo electrónico sin complicaciones. 

Empiece a utilizar PowerDMARC Analizador DMARC gratuito para supervisar todos sus protocolos de autenticación de correo electrónico bajo un mismo techo y deshacerse de los falsos positivos.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• Vendor Email Compromise (VEC): Cómo detener los ataques de proveedores de confianza - 3 de julio de 2025
• Los correos electrónicos de marketing no llegan a las bandejas de entrada de los clientes - 2 de julio de 2025
• Caso práctico de DMARC MSP: Cómo S-IT automatizó la gestión de la autenticación del correo electrónico con PowerDMARC - 29 de junio de 2025