Explicación de DMARCbis: qué cambia y cómo prepararse
por
Última actualización: 4 4 minutos de lectura
La autenticación, notificación y conformidad de mensajes basada en dominios (DMARC) está siendo objeto de una importante actualización desde su publicación inicial. Conocida como DMARCbis, la especificación redefinida, que está todavía en borrador, tiene como objetivo resolver los antiguos problemas de autenticación del correo electrónico. Aquí tienes todo lo que necesitas saber sobre los cambios y cómo prepararte.
Estado actual: Borrador de Internet
Fase: Última llamada
Fecha de publicación prevista: No especificada
Obsoletos: RFC 7489 y 9091 (si se aprueba)
Fuente: Borrador DMARCbis
Puntos clave
- DMARCbis es el sucesor actualizado del protocolo DMARC original, cuyo objetivo es mejorar la claridad y la alineación.
- Redefine la Lista Pública de Sufijos (PSL) con un DNS Tree Walk más fiable para identificar el dominio organizativo.
- Etiquetas como pct, rf y ri han quedado obsoletas para simplificar la implementación y reducir la confusión.
- Se están introduciendo algunas etiquetas nuevas, como psd, np y t, para definir claramente los dominios de sufijos públicos y ayudar a gestionar la herencia de políticas.
- La versión del registro DMARC sigue siendo la misma (v=DMARC1) por compatibilidad con versiones anteriores.
- Las configuraciones DMARC existentes con registros de dominio base válidos seguirán funcionando sin cambios inmediatos.
- PowerDMARC puede simplificar su transición automatizando la gestión de registros, ofreciendo orientación experta y proporcionando visibilidad en todos sus dominios.
¿Qué es DMARCbis?
DMARCbis es una versión actualizada de la especificación DMARC original, desarrollada por la IETF (Internet Engineering Task Force). Se basa en los fundamentos de RFC 7489 y RFC 9091 y, si se aprueban, las obsoleta, introduciendo revisiones que aclaran las ambigüedades del protocolo. Si bien su predecesor fue un RFC informativoDMARCbis está en vías de publicarse como Norma propuestalo que indica un consenso más amplio y la disposición de la industria.
DMARCbis se centrará principalmente en la claridad, la seguridad y una mejor alineación de los dominios. A pesar de su redefinición, la etiqueta v=DMARC1 se mantiene sin cambios para preservar la compatibilidad con versiones anteriores.
Cambios clave en DMARCbis
| Característica | DMARC original | DMARCbis (Nuevos cambios) |
|---|---|---|
| Método de búsqueda de dominios | Utiliza la lista pública de sufijos (PSL) | Redefinido con DNS Tree Walk (recorre la jerarquía de dominios, se detiene en psd=y o psd=n). Máximo 8 niveles. |
| Etiquetas | Soportes pct, rf, ri | Elimina pct , ri y rf (simplifica el protocolo). |
| Nueva etiqueta | Ninguno | Añade etiquetas psd (marca explícitamente los dominios de sufijo público), np y t. |
| Claridad política | No hay orientaciones sobre la política de sucesión | Reglas claras para que los propietarios de dominios controlen la herencia mediante psd. |
| Especificación | Complejo, menos estructurado | Documentación simplificada, mejores ejemplos y terminología. |
| Compatibilidad | v=DMARC1 registros | No hay cambios: los registros antiguos siguen funcionando. |
1. DNS Tree Walk redefine la lista pública de sufijos
La lista pública de sufijos (PSL) se redefine con un método de recorrido en árbol nativo de DNS para determinar el dominio organizativo.
El algoritmo DNS Tree Walk recorre la jerarquía de dominios para encontrar un registro DMARC válido. Esto permite que los límites de dominio se definan de forma nativa en el DNS y elimina la necesidad de listas de sufijos de terceros. El recorrido se detiene cuando encuentra un registro de directiva DMARC válido que incluye la etiqueta psd=y (dominio de sufijo público) o psd=n (dominio organizativo). Esto indica al sistema dónde se encuentra el dominio organizativo.
Si no se encuentra ninguna, la búsqueda continúa hasta un máximo de 8 niveles.
2. Etiquetas obsoletas
Las siguientes etiquetas se eliminan para racionalizar el protocolo:
- pct (aplicación de la política porcentual)
- rf (formato de informe)
- ri (intervalo del informe)
3. Etiquetas nuevas y actualizadas
- La nueva etiqueta etiqueta psd define los dominios de sufijo público de forma más clara, lo que ayuda a los propietarios de dominios a controlar la herencia de políticas en los Tree Walks.
- La etiqueta etiqueta t es una señal para el receptor (validador) de que el propietario del dominio se encuentra en una fase de pruebas y puede que no desee la plena aplicación de la política (p, sp, np). No cambia la forma en que se generan los informes DMARC y no afecta a las políticas que ya están configuradas como ninguna.
- La nueva etiqueta etiqueta np (política de inexistencia) especifica la política DMARC que se aplicará a subdominios que no existen (es decir, dominios que no se resuelven o que no están registrados como zonas activas).
4. "Requisitos de "plena participación
Las nuevas directrices definen lo que significa para los propietarios y receptores de dominios ser plenamente compatibles con DMARC, estableciendo expectativas más claras y mejorando la interoperabilidad.
5. Mejora del formato de las especificaciones
El documento se ha reestructurado con mejores ejemplos, terminología más clara y un diseño más limpio, lo que facilita su aplicación a todas las partes interesadas.
¿Qué permanece igual?
- Los registros DMARC existentes con v=DMARC1 siguen siendo válidos.
- Se siguen aplicando los mecanismos básicos de DMARC para SPF, DKIM y alineación.
- Las etiquetas de política (p, sp, rua, ruf) siguen siendo fundamentales para la funcionalidad DMARC.
Impacto en las implantaciones DMARC existentes
La actualización de DMARCbis es compatible con versiones anteriores y no afecta a las implantaciones existentes compatibles con RFC 7489. Las nuevas etiquetas son opcionales, por lo que las configuraciones actuales no se verán afectadas. Aunque se recomienda auditar los registros para agilizar la autenticación, no es necesaria ninguna acción inmediata si DMARC está correctamente configurado.
Cómo prepararse para DMARCbis
Aunque los cambios no son perturbadoreslas organizaciones deben empezar a prepararse para garantizar la seguridad de su correo electrónico. He aquí cómo:
- Revise sus registros DMARC: Revise su registro actual para asegurarse de que se han eliminado las etiquetas que pronto quedarán obsoletas, como pct o rf. Asegúrese de que el dominio base (organizativo) tiene una política DMARC válida.
- Comprender el modelo de recorrido en árbol: Asegúrese de que sus subdominios heredarán la política según lo previsto en el nuevo mecanismo basado en jerarquías. Para configuraciones complejas, simule la lógica DNS Tree Walk para verificar el comportamiento.
- Tenga en cuenta la etiqueta psd: Familiarícese con psd=n o psd=y para definir explícitamente los límites del dominio si su estructura de dominio lo requiere.
- Eduque a su equipo de seguridad: Asegúrese de que sus equipos de correo electrónico y seguridad están al tanto de estos próximos cambios y comprenden sus implicaciones para la autenticación y la entregabilidad.
Cómo puede ayudar PowerDMARC
PowerDMARC puede ayudar a las organizaciones a realizar sin problemas la transición a DMARCbis mediante una combinación de automatización, visibilidad y orientación experta.
- Configuración y gestión automatizadas de DMARC, SPF y DKIM a través de un panel centralizado de autenticación del correo electrónico.
- Informes simplificados que ofrecen una visibilidad completa de los canales de correo electrónico
- Soluciones alojadas para actualizar sin problemas las políticas y optimizar los registros
- Un equipo de expertos dedicados a ayudarle a resolver problemas y cambios en tiempo real.
¿Preparado para simplificar DMARC? Póngase en contacto con PowerDMARC para obtener una consulta 1:1 gratuita con uno de nuestros expertos internos.
Reflexiones finales
DMARCbis ofrece más flexibilidad, claridad y control, especialmente si desea gestionar las políticas DMARC para subdominios por separado. Aunque no es necesario tomar medidas urgentes, puede optar por realizar los preparativos necesarios para una mejor gestión de la autenticación de dominios.
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.
Últimos mensajes de Yunes Tarada (ver todos)
- Compresión SPF: reduce las consultas DNS de SPF y optimiza tu registro SPF - 25 de marzo de 2026
- Certificado de marca verificada frente a certificado de marca común: elegir el más adecuado - 10 de marzo de 2026
- Nivel de confianza de spam (SCL) -1 Bypass: qué significa y cómo gestionarlo - 4 de marzo de 2026
