Informe forense DMARC (RUF): qué es, cómo funciona y cómo activarlo
por
Última actualización: Tiempo de lectura: 9 minutos
Puntos clave
- Un informe forense DMARC (RUF) es una notificación inmediata y detallada que se envía cuando un correo electrónico concreto no supera la autenticación SPF, DKIM o DMARC.
- A diferencia de los informes agregados (RUA), que se envían una vez al día, los informes RUF se reciben en tiempo real y ofrecen datos detallados, como los asuntos de los correos y las direcciones IP de los remitentes.
- Debes incluir la etiqueta «ruf=» en tu registro DNS de DMARC (por ejemplo, ruf=mailto:[email protected]).
- Dado que estos informes pueden contener información confidencial (PII), muchos proveedores (como Gmail) no los envían. Utilizar PowerDMARC con cifrado PGP es la mejor forma de gestionar estos datos de forma segura.
- Utiliza RUF para investigar intentos concretos de suplantación de identidad o para resolver problemas de configuración complejos con herramientas de correo electrónico de terceros.
Configurar un registro DMARC supone una gran ventaja para la seguridad de tu correo electrónico, pero lo realmente eficaz es cuando se cierra el ciclo de retroalimentación. Piénsalo de esta manera: cuando publicas ese registro, no solo estás dando instrucciones al resto de Internet sobre cómo gestionar tu correo, sino que estás pidiendo a todos los servidores del mundo que te envíen un informe.
La mayoría de la gente se limita a consultar los resúmenes diarios, que son muy útiles para tener una visión general, pero hay información mucho más detallada disponible si sabes dónde buscar. Ahí es donde entran en juego los informes forenses de DMARC (RUF). En esta guía, vamos a explicar con detalle qué son exactamente los informes RUF, en qué se diferencian de los datos estándar y cómo puedes utilizarlos para encontrar la «prueba irrefutable» cuando tus correos electrónicos desaparecen.
¿Qué es un informe forense DMARC?
Un informe forense DMARC (también denominado «informe de fallo») es una alerta detallada y en tiempo real que envían los servidores de correo electrónico receptores cuando un mensaje no supera la autenticación DMARC. Proporciona un diagnóstico detallado de cada uno de los mensajes rechazados, incluyendo los resultados de la autenticación, el origen del envío y los encabezados del mensaje, de modo que el propietario del dominio pueda investigar posibles intentos de suplantación de identidad y resolver los problemas relacionados con la autenticación del correo electrónico.
Si un informe agregado es un resumen de todas las personas que intentaron entrar en un edificio, el informe forense es el vídeo de seguridad en alta resolución de la única persona que intentó forzar la cerradura. Te ofrece los detalles más concretos sobre por qué se detectó ese mensaje en concreto.
- ¿Quién lo envía? Normalmente, es el servidor de correo receptor (como una pasarela corporativa) el que detecta el correo electrónico sospechoso.
- ¿Dónde se envía? Se envía directamente a la dirección de correo electrónico que hayas indicado en la etiqueta «ruf=» de tu registro DMARC.
- ¿Qué tal? A diferencia de esos pesados archivos XML de datos agregados, estos utilizan el formato AFRF (Authentication Failure Reporting Format). Es mucho más «fácil de leer» y contiene suficiente información para ayudarte a resolver el problema de verdad.
¿Qué incluye un informe forense de DMARC?
Dado que los informes DMARC de RUF están diseñados para un análisis en profundidad de los problemas, contienen metadatos específicos sobre el mensaje rechazado que no se encuentran en los informes agregados.
Un informe típico de RUF incluye:
- Dirección IP del remitente: la dirección IP exacta desde la que se intentó enviar el correo electrónico.
- Direcciones «From» y «Return-Path»: el campo «Header From» y el remitente del sobre.
- Asunto: El asunto real del correo electrónico que no se ha enviado.
- Resultados de la autenticación: detalles específicos sobre por qué han fallado SPF o DKIM y si se ha logrado la alineación con DMARC.
- Encabezados del correo: los encabezados completos de respuesta del mensaje.
Configurar un registro DMARC supone una gran ventaja para la seguridad de tu correo electrónico, pero lo realmente eficaz es cuando se cierra el ciclo de retroalimentación. Piénsalo de esta manera: cuando publicas ese registro, no solo estás dando instrucciones al resto de Internet sobre cómo gestionar tu correo, sino que estás pidiendo a todos los servidores del mundo que te envíen un informe.
La mayoría de la gente se limita a consultar los resúmenes diarios, que son muy útiles para tener una visión general, pero hay información mucho más detallada disponible si sabes dónde buscar. Ahí es donde entran en juego los informes forenses de DMARC (RUF) entran en juego. En esta guía, vamos a desglosar exactamente qué son los informes RUF, en qué se diferencian de los datos estándar y cómo puedes utilizarlos para encontrar la «prueba irrefutable» cuando tus correos electrónicos desaparecen.
¿Qué es un informe forense DMARC?
A Informe forense de DMARC (también denominado «informe de fallo») es una alerta detallada y en tiempo real enviada por los servidores de correo electrónico receptores cuando un mensaje no supera la autenticación DMARC. Proporciona un diagnóstico detallado de cada mensaje rechazado, como los resultados de la autenticación, el origen del envío y los encabezados del mensaje, para que el propietario del dominio pueda investigar posibles intentos de suplantación de identidad y resolver problemas de autenticación del correo electrónico.
Si un informe agregado es un resumen de todas las personas que intentaron entrar en un edificio, el informe forense es el vídeo de seguridad en alta resolución de la única persona que intentó forzar la cerradura. Te ofrece los detalles más concretos sobre por qué se detectó ese mensaje en concreto.
- ¿Quién lo envía? Normalmente, es el servidor de correo receptor (como una puerta de enlace corporativa) el que detecta el correo electrónico sospechoso.
- ¿Dónde llega? Se envía directamente al correo electrónico que hayas indicado en el etiqueta ruf= de tu registro DMARC.
- ¿Qué tal el ambiente? A diferencia de esos pesados archivos XML agregados, estos utilizan el AFRF (formato de informe de fallos de autenticación). Es mucho más «legible para los humanos» y contiene suficientes detalles para ayudarte a resolver el problema de verdad.
¿Qué incluye un informe forense de DMARC?
Dado que los informes DMARC de RUF están diseñados para un análisis en profundidad de los problemas, contienen metadatos específicos sobre el mensaje rechazado que no se encuentran en los informes agregados.
Un informe típico de RUF incluye:
- Dirección IP del remitente: La dirección IP exacta desde la que se intentó enviar el correo.
- Direcciones «De» y «Return-Path»: El «cabezal De» y el remitente del sobre.
- Asunto: El asunto real del correo electrónico fallido.
- Resultados de la autenticación: Detalles específicos sobre por qué SPF o DKIM han fallado y si se ha logrado la alineación con DMARC.
- Encabezados del correo: Los encabezados completos de respuesta del mensaje.
- Información de identificación personal (PII): Dado que estos informes pueden incluir asuntos y direcciones de destinatarios, a menudo contienen PII.
Nota sobre la privacidad: Debido a la inclusión de información de identificación personal (PII), muchos de los principales proveedores de correo electrónico han optado por no enviar informes RUF para proteger la privacidad de los usuarios. En PowerDMARC, abordamos esta cuestión mediante el uso de el cifrado PGP para los informes RUF, garantizando que los datos confidenciales permanezcan cifrados y solo sean accesibles para usted.
Algunos receptores que envían enviar informes RUF ocultarán (ocultarán) las partes sensibles del cuerpo del correo electrónico o del asunto antes de enviártelos para cumplir con las leyes de privacidad. Por eso algunos informes forenses parecen «vacíos» o tienen [OCULTADO] .
Ejemplo de informe forense DMARC
Para comprender realmente lo que ocurre entre bastidores, hay que fijarse en los datos sin procesar. Cuando un correo electrónico no se entrega, el destinatario genera un informe en formato AFRF. Parece un poco técnico, pero en realidad es bastante fácil de leer una vez que sabes qué buscar.
Tipo de respuesta: error de autenticación
User-Agent: PowerDMARC-Reporter/1.0
Versión: 1.0
Remitente original: [email protected]
Fecha de llegada: martes, 31 de marzo de 2026, 10:00:00 +0000
Message-ID: <[email protected]>
Resultados de la autenticación: dkim=fallo; spf=fallo
Dirección IP de origen: 192.0.2.1
Dominio notificado: tudominio.com
Lo que esto significa es:
- Tipo de respuesta: Esto confirma que se trata de un error de autenticación.
- Original-Mail-From: La dirección concreta desde la que se intentó enviar el correo.
- Resultados de la autenticación: la «prueba irrefutable». En este caso, tanto el SPF como el DKIM fallaron, por lo que se activó el informe.
- Dirección IP de origen: es la dirección exacta del servidor que envió el correo. Si no reconoces esta dirección IP, es posible que alguien esté suplantando tu identidad.
Cómo se ve el registro en tu DNS
Para recibir estos informes, tu registro DMARC debe tener un aspecto similar al siguiente:
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;
Nota: Si envías informes a un dominio distinto al tuyo, el dominio de destino debe tener un registro DNS que le permita recibir tus informes.
Desglose de las etiquetas:
- v=DMARC1: Es simplemente la etiqueta de versión estándar para que Internet sepa qué protocolo estás utilizando.
- p=none: Este es el «modo de supervisión». Le estás diciendo a los servidores: «Dejad pasar el correo por ahora, pero avisadme si algo sale mal».
- rua=: Este es tu buzón para los resúmenes generales diarios.
- ruf=: Esta es la etiqueta específica «forense» que indica a los servidores dónde deben enviar las alertas detalladas de fallos en tiempo real.
- fo=1: Esto es importante. Indica al servidor que envíe un informe si falla SPF o DKIM. (Si no se incluye esto, es posible que algunos servidores solo envíen un informe si fallan ambos).
Informe forense DMARC frente a informe agregado (RUF frente a RUA)
Aunque ambas están habilitadas en el mismo registro, tienen funciones distintas. La RUA ofrece una visión general; la RUF permite un análisis detallado.
| Característica | Informe forense (RUF) | Informe agregado (RUA) |
|---|---|---|
| A raíz de | Cada error concreto en el envío de un correo electrónico | Resumen diario de todos los correos electrónicos |
| Frecuencia | En tiempo real / Inmediato | Una vez al día |
| Formato | ARF (Formato de notificación de abusos) Tenga en cuenta que el AFRF (definido en el RFC 6591) es la extensión específica del ARF (RFC 5965) que se utiliza para DMARC. | XML |
| Nivel de detalle | Muy detallado (por correo electrónico) | Resumen general del dominio |
| ¿Contiene datos personales? | En teoría, sí | No |
| Soporte | Limitado (por motivos de privacidad) | Con un amplio respaldo |
| Ideal para | Investigación de incidentes, detección de suplantación de identidad | Seguimiento continuo, análisis de tendencias |
Cómo habilitar los informes forenses de DMARC
Habilitar RUF es un proceso sencillo que consiste en una rápida actualización de la configuración del DNS.
1. Acceda al DNS: Inicie sesión en su consola de gestión de DNS.
2. Busque su registro DMARC: Localice el registro TXT en _dmarc.sudominio.com.
3. Añada la etiqueta RUF: Inserte la etiqueta ruf=mailto:[email protected].
4. Configura la etiqueta FO: Define tus desencadenantes de notificación (consulta la siguiente sección).
5. Guarda y propaga: Guarda los cambios. Los cambios en el DNS pueden tardar hasta 48 horas en propagarse a nivel global.
Consejo profesional: Enviar informes RUF a una bandeja de entrada estándar puede resultar abrumador y supone un riesgo para la seguridad. El uso de una plataforma como PowerDMARC te permite visualizar estos datos en un panel de control claro sin saturar tu correo electrónico.
Explicación de la etiqueta DMARC «fo» (opciones forenses)
La etiqueta «fo» es un subcomponente del registro DMARC que indica al destinatario cuándo se desea que se genere un informe forense.
| Valor fo | Significado |
|---|---|
| fo=0 (predeterminado) | Genera un informe solo si fallan tanto SPF como DKIM. |
| fo=1 | Genera un informe si falla SPF o DKIM. (Recomendado) |
| fo=d | Generar un informe solo si falla DKIM. |
| de los | Generar un informe solo si falla la verificación SPF. |
La mayoría de los profesionales de la seguridad utilizan fo=1 porque ofrece el mayor nivel de visibilidad ante cualquier problema de autenticación. Sin embargo, hay que tener en cuenta que, aunque fo=1 es la mejor opción en cuanto a visibilidad, casi siempre debe enviarse a una herramienta de procesamiento específica (como PowerDMARC) en lugar de a una bandeja de entrada humana, ya que, de lo contrario, el «ruido» se volverá inmanejable.
Por qué es posible que no estés recibiendo los informes forenses de DMARC
Si has activado RUF pero tu bandeja de entrada está vacía, no te preocupes. Esto no significa necesariamente que tu registro esté dañado.
1. Restricciones de privacidad: los principales proveedores, como Gmail y Microsoft 365, no suelen enviar informes RUF para proteger la privacidad de sus usuarios.
2. El éxito pasa desapercibido: si todos tus correos electrónicos superan la autenticación DMARC, ¡no hay fallos que notificar!
3. Compatibilidad del servidor receptor: no todos los servidores de correo receptores están configurados para generar informes forenses.
Por eso los informes RUA agregados se consideran la «fuente de referencia» para evaluar el estado general del dominio, mientras que el RUF es una herramienta complementaria para investigaciones específicas.
Cuestiones relacionadas con la privacidad y la seguridad
Dado que los informes de RUF pueden contener el asunto y el cuerpo de un correo electrónico, están sujetos a estrictas normativas de protección de datos, como el RGPD y la CCPA. Si un atacante suplantara tu dominio para enviar un correo electrónico de phishing a un particular, el informe forense que recibieras podría contener datos personales de esa persona.
Buenas prácticas:
- Utiliza una plataforma de notificación específica y segura.
- Habilitar el cifrado PGP: PowerDMARC ofrece cifrado PGP para que solo tú, como titular de la clave privada, puedas ver el contenido de los informes RUF.
- Limita el acceso a los datos a tu equipo de seguridad principal.
Cómo utilizar los informes RUF para detectar suplantaciones de identidad y solucionar fallos
Una vez que empieces a recibir datos forenses, esto es lo que debes hacer:
1. Detección de suplantación de dominios
Si ves un informe forense procedente de una dirección IP que no reconoces y la dirección del remitente es tu dominio, es probable que hayas detectado un intento de suplantación de identidad en curso. Puedes utilizar esta IP para actualizar las listas de bloqueo o informar a tu centro de operaciones de seguridad.
2. Solucionar los fallos legítimos
A veces, el correo legítimo que envías no llega a su destino. Si un informe indica un error en una herramienta que utilizas (como Salesforce o Mailchimp), revisa el informe para comprobar si ha fallado la autenticación DKIM o si simplemente la dirección IP no se ha añadido a tu registro SPF.
3. Flujo de trabajo de la investigación
1. Identifica la dirección IP de origen en el informe RUF.
2. Verifica: ¿Es esta una herramienta que utiliza tu empresa?
3. Soluciona el problema: si está autorizada pero falla, corrige la alineación de SPF/DKIM. Si no está autorizada, deja que tu política DMARC, ya sea p=quarantine o p=reject, haga su trabajo.
Lo esencial
Míralo de esta manera: si los informes RUA agregados de DMARC son tu extracto bancario mensual, los informes RUF forenses son los recibos individuales de cada transacción sospechosa. No son perfectos, sobre todo porque los grandes proveedores como Gmail dan prioridad a la privacidad de los usuarios frente al envío de estos informes, pero cuando los recibes, son una mina de oro para la resolución de problemas.
Si estás tratando de averiguar por qué una herramienta de marketing concreta está fallando, o si estás sufriendo un ataque de suplantación de identidad dirigido, estos informes te proporcionan el «quién, qué y dónde» en tiempo real. Solo asegúrate de gestionar esos datos de forma responsable, a ser posible con una plataforma que mantenga la información cifrada para no tener que lidiar con una gran cantidad de datos personales sensibles.
¿Quieres consultar tus datos forenses sin complicaciones? PowerDMARC te lo pone fácil al convertir los datos RUF sin procesar en un panel de control fácil de leer, con cifrado PGP para garantizar la seguridad y el cumplimiento normativo de tus datos. Empieza hoy mismo tu prueba gratuita de 15 días y obtén una visibilidad completa de tu ecosistema de correo electrónico.
Preguntas frecuentes
¿Qué es exactamente un informe forense DMARC?
Básicamente, se trata de una alerta en tiempo real. En lugar de esperar a un resumen diario, se genera un informe forense en el momento en que un correo electrónico concreto no supera la comprobación DMARC. Es muy detallado y está pensado para una investigación exhaustiva.
¿En qué se diferencia el RUF del RUA?
RUA es tu resumen diario con una visión general; te informa de las tendencias y los volúmenes en formato XML. RUF ofrece una visión detallada; se envía de inmediato, utiliza el formato ARF y contiene detalles específicos sobre un único mensaje fallido.
¿Cómo se activan estos informes?
Tendrás que modificar tu registro DMARC en la configuración del DNS. Solo tienes que añadir la etiqueta «ruf=mailto:[email protected]». Si quieres ser aún más minucioso, añade la etiqueta «fo=1» para recibir un informe si falla SPF o DKIM, en lugar de esperar a que fallen ambos.
He instalado RUF, pero no me sale nada. ¿Se ha estropeado?
Probablemente no. Lo más probable es que tus correos electrónicos superen la autenticación sin problemas (¡lo cual es bueno!). Además, ten en cuenta que muchos grandes proveedores no envían informes RUF en absoluto para proteger la privacidad de sus usuarios. Si recibes los informes RUA, es probable que tu registro funcione correctamente.
¿Hay datos personales ocultos en estos informes?
Sí, y ahí está el quid de la cuestión. Los informes forenses pueden incluir el asunto del correo electrónico, la dirección del destinatario y, en ocasiones, incluso un fragmento del cuerpo del mensaje. Por eso es recomendable utilizar una plataforma segura para gestionarlos, de modo que se cumplan las leyes de privacidad, como el RGPD.
¿Para qué sirve la etiqueta «fo»?
Son las siglas de «Forensic Options» (Opciones forenses). Básicamente, se trata de un conjunto de instrucciones que indican al receptor cuándo debe generar un informe: si solo se desea uno cuando todo falla (fo=0) o si se desea un informe en el momento en que se produzca un fallo en cualquier parte del proceso de autenticación (fo=1).
Especialista en contenidos de PowerDMARC
Milena es una hábil escritora y creadora de contenidos con más de 7 años de experiencia en la elaboración de contenidos atractivos sobre TI, ciberseguridad, eventos virtuales y mucho más. Tiene un historial probado de entrega de trabajos de alta calidad para revistas internacionales y se ha graduado en prestigiosas instituciones como la New York University Abu Dhabi, UWC China y el College of Europe.
Últimos mensajes de Milena Baghdasaryan (ver todos)
- La obsolescencia de NTLM: qué implica la retirada gradual de Microsoft para los MSP y los equipos de TI - 8 de mayo de 2026
- Explicación de los informes agregados de DMARC: qué son, qué contienen y cómo utilizarlos - 6 de mayo de 2026
- Reseña de Sendmarc: características, opiniones de los usuarios, ventajas y desventajas (2026) - 22 de abril de 2026
