Explicación de DMARCbis: qué cambia y cómo prepararse

Blog

DMARCbis (DMARC 2.0) ha llegado para sustituir al DMARC original. Descubre qué cambia y cómo prepararte para una transición sin problemas.

por YunesTarada

Tiempo de lectura: 4 min
Explicación de DMARCbis: qué cambia y cómo prepararse
Índice-

La autenticación, notificación y conformidad de mensajes basada en dominios (DMARC) está siendo objeto de una importante actualización desde su publicación inicial. Conocida como DMARCbis, la especificación redefinida, que está todavía en borrador, tiene como objetivo resolver los antiguos problemas de autenticación del correo electrónico. Aquí tienes todo lo que necesitas saber sobre los cambios y cómo prepararte.

Estado actual: Borrador de Internet 

Fase: Última llamada

Fecha de publicación prevista: No especificada 

Obsoletos: RFC 7489 y 9091 (si se aprueba)

Fuente: Borrador DMARCbis

Puntos clave

  • DMARCbis es el sucesor actualizado del protocolo DMARC original, cuyo objetivo es mejorar la claridad y la alineación. 
  • Redefine la Lista Pública de Sufijos (PSL) con un DNS Tree Walk más fiable para identificar el dominio organizativo.
  • Etiquetas como pct, rf y ri han quedado obsoletas para simplificar la implementación y reducir la confusión.
  • Se están introduciendo algunas etiquetas nuevas, como psd, np y t, para definir claramente los dominios de sufijos públicos y ayudar a gestionar la herencia de políticas.
  • La versión del registro DMARC sigue siendo la misma (v=DMARC1) por compatibilidad con versiones anteriores.
  • Las configuraciones DMARC existentes con registros de dominio base válidos seguirán funcionando sin cambios inmediatos.
  • PowerDMARC puede simplificar su transición automatizando la gestión de registros, ofreciendo orientación experta y proporcionando visibilidad en todos sus dominios.

¿Qué es DMARCbis? 

DMARCbis es una versión actualizada de la especificación DMARC original, desarrollada por el IETF (Grupo de Trabajo de Ingeniería de Internet). Se basa en los fundamentos de RFC 7489 y RFC 9091 y, si se aprueba, las deja obsoletas, introduciendo revisiones que aclaran ambigüedades en el protocolo. Mientras que su predecesora era una RFC informativoDMARCbis está en vías de publicarse como Norma propuestalo que indica un mayor consenso y la preparación del sector.

DMARCbis se centrará principalmente en la claridad, la seguridad y una mejor alineación de los dominios. A pesar de su redefinición, la etiqueta v=DMARC1 se mantiene sin cambios para preservar la compatibilidad con versiones anteriores.

Cambios clave en DMARCbis

CaracterísticaDMARC originalDMARCbis (Nuevos cambios)
Método de búsqueda de dominiosUtiliza la lista pública de sufijos (PSL)Redefinido con DNS Tree Walk (recorre la jerarquía de dominios, se detiene en psd=y o psd=n). Máximo 8 niveles.
EtiquetasSoportes pct, rf, riElimina pct , ri y rf (simplifica el protocolo).
Nueva etiquetaNingunoAñade etiquetas psd (marca explícitamente los dominios de sufijo público), np y t.
Claridad políticaNo hay orientaciones sobre la política de sucesiónReglas claras para que los propietarios de dominios controlen la herencia mediante psd.
EspecificaciónComplejo, menos estructuradoDocumentación simplificada, mejores ejemplos y terminología.
Compatibilidadv=DMARC1 registrosNo hay cambios: los registros antiguos siguen funcionando.

1. DNS Tree Walk redefine la lista pública de sufijos

La lista pública de sufijos (PSL) se redefine con un método de recorrido en árbol nativo de DNS para determinar el dominio organizativo.


El algoritmo DNS Tree Walk recorre la jerarquía de dominios para encontrar un registro DMARC válido. Esto permite que los límites de dominio se definan de forma nativa en el DNS y elimina la necesidad de listas de sufijos de terceros. El recorrido se detiene cuando encuentra un registro de directiva DMARC válido que incluye la etiqueta psd=y (dominio de sufijo público) o psd=n (dominio organizativo). Esto indica al sistema dónde se encuentra el dominio organizativo. 

Si no se encuentra ninguna, la búsqueda continúa hasta un máximo de 8 niveles.

2. Etiquetas obsoletas

Las siguientes etiquetas se eliminan para racionalizar el protocolo:

  • pct (aplicación de la política porcentual)
  • rf (formato de informe)
  • ri (intervalo del informe)

3. Etiquetas nuevas y actualizadas

  • La nueva etiqueta etiqueta psd define los dominios de sufijo público de forma más clara, lo que ayuda a los propietarios de dominios a controlar la herencia de políticas en los Tree Walks.
  • La etiqueta etiqueta t es una señal para el receptor (validador) de que el propietario del dominio se encuentra en una fase de pruebas y puede que no desee la plena aplicación de la política (p, sp, np). No cambia la forma en que se generan los informes DMARC y no afecta a las políticas que ya están configuradas como ninguna.
  • La nueva etiqueta etiqueta np (política de inexistencia) especifica la política DMARC que se aplicará a subdominios que no existen (es decir, dominios que no se resuelven o que no están registrados como zonas activas).

4. "Requisitos de "plena participación

Las nuevas directrices definen lo que significa para los propietarios y receptores de dominios ser plenamente compatibles con DMARC, estableciendo expectativas más claras y mejorando la interoperabilidad.

5. Mejora del formato de las especificaciones

El documento se ha reestructurado con mejores ejemplos, terminología más clara y un diseño más limpio, lo que facilita su aplicación a todas las partes interesadas.

¿Qué permanece igual?

  • Los registros DMARC existentes con v=DMARC1 siguen siendo válidos.
  • Se siguen aplicando los mecanismos básicos de DMARC para SPF, DKIM y alineación.
  • Las etiquetas de política (p, sp, rua, ruf) siguen siendo fundamentales para la funcionalidad DMARC.

Impacto en las implantaciones DMARC existentes

La actualización de DMARCbis es compatible con versiones anteriores y no afecta a las implantaciones existentes compatibles con RFC 7489. Las nuevas etiquetas son opcionales, por lo que las configuraciones actuales no se verán afectadas. Aunque se recomienda auditar los registros para agilizar la autenticación, no es necesaria ninguna acción inmediata si DMARC está correctamente configurado.

Cómo prepararse para DMARCbis

Aunque los cambios no son perturbadoreslas organizaciones deben empezar a prepararse para garantizar la seguridad de su correo electrónico. He aquí cómo:

  1. Revise sus registros DMARC: Revise su registro actual para asegurarse de que se han eliminado las etiquetas que pronto quedarán obsoletas, como pct o rf. Asegúrese de que el dominio base (organizativo) tiene una política DMARC válida.
  2. Comprender el modelo de recorrido en árbol: Asegúrese de que sus subdominios heredarán la política según lo previsto en el nuevo mecanismo basado en jerarquías. Para configuraciones complejas, simule la lógica DNS Tree Walk para verificar el comportamiento.
  3. Tenga en cuenta la etiqueta psd: Familiarícese con psd=n o psd=y para definir explícitamente los límites del dominio si su estructura de dominio lo requiere.
  4. Eduque a su equipo de seguridad: Asegúrese de que sus equipos de correo electrónico y seguridad están al tanto de estos próximos cambios y comprenden sus implicaciones para la autenticación y la entregabilidad.

Cómo puede ayudar PowerDMARC

PowerDMARC puede ayudar a las organizaciones a realizar sin problemas la transición a DMARCbis mediante una combinación de automatización, visibilidad y orientación experta. 

  • Configuración y gestión automatizadas de DMARC, SPF y DKIM a través de un panel centralizado de autenticación del correo electrónico. 
  • Informes simplificados que ofrecen una visibilidad completa de los canales de correo electrónico 
  • Soluciones alojadas para actualizar sin problemas las políticas y optimizar los registros
  • Un equipo de expertos dedicados a ayudarle a resolver problemas y cambios en tiempo real.

¿Preparado para simplificar DMARC? Póngase en contacto con PowerDMARC para obtener una consulta 1:1 gratuita con uno de nuestros expertos internos.

Reflexiones finales 

DMARCbis ofrece más flexibilidad, claridad y control, especialmente si desea gestionar las políticas DMARC para subdominios por separado. Aunque no es necesario tomar medidas urgentes, puede optar por realizar los preparativos necesarios para una mejor gestión de la autenticación de dominios.

CTA

Últimos mensajes de Yunes Tarada (ver todos)
Caso práctico de DMARC MSP: 1-MSP eleva la seguridad del cliente y la identidad de marca con...1msp-powerdmarc-historia-de-éxitoDMARC para correos electrónicos no solicitados: ¿Ninguno, en cuarentena o rechazado? (La mejor política...