Explicación de DMARCbis: qué cambia y cómo prepararse

DMARCbis es la tan esperada actualización de la especificación DMARC original definida en el RFC 7489. Introduce cambios estructurales en el funcionamiento de DMARC, elimina elementos obsoletos y aclara ambigüedades que existían desde hacía tiempo en relación con la alineación de dominios y la gestión de políticas.

Aunque la actualización no supone ninguna interrupción, sí que modifica la forma en que se determinan los límites de los dominios, cómo se aplican las políticas a los subdominios y cómo se interpretan o eliminan determinadas etiquetas.

En esta guía se explica qué cambia, qué se mantiene igual y qué pasos debes seguir a continuación.

¿Qué es DMARCbis?

DMARCbis es la especificación revisada del protocolo DMARC (Domain-based Message Authentication, Reporting, and Conformance), desarrollado por el IETF.

La especificación DMARC original (RFC 7489) se publicó como documento informativo.

DMARCbis se está promoviendo como norma propuesta, lo que indica un mayor consenso y unas directrices de implementación más claras.

La actualización se centra en tres áreas:

• Eliminar la ambigüedad en la forma en que se evalúan los dominios
• Simplificar el protocolo dejando de utilizar las etiquetas que no se usan
• Ofrecer a los propietarios de dominios un mayor control sobre la herencia de políticas

Es importante destacar que DMARCbis mantiene sin cambios el valor «v=DMARC1», por lo que los registros existentes siguen funcionando.

¿A qué sustituye DMARCbis?

DMARCbis consolida y sustituye:

RFC 7489 – la especificación DMARC original

RFC 9091 – La extensión DMARC del dominio de sufijo público (PSD)

Esto es importante porque el manejo de PSD ahora está integrado en la especificación básica a través de la etiqueta «psd». Ya no se requieren dependencias externas como la Lista de Sufijos Públicos. Los límites de dominio se definen directamente en el DNS.

¿Cuáles son los principales cambios de DMARCbis?

1. El recorrido por el árbol DNS sustituye a la lista de sufijos públicos

DMARCbis sustituye la Lista de Sufijos Públicos (PSL) por un método nativo del DNS denominado «DNS Tree Walk». En lugar de basarse en una lista de terceros, determina el dominio de la organización mediante un recorrido directo por el DNS.

Cómo funciona:

Tomemos este dominio: mail.marketing.example.com

El destinatario comprueba si existe un registro DMARC siguiendo este orden:

1. mail.marketing.ejemplo.com
2. marketing.ejemplo.com
3. ejemplo.com
4. com

En cada nivel, busca un registro DMARC con la etiqueta «psd»:

• psd=n → este es el dominio de la organización → parar
• psd=y → esto es un sufijo público → detente
• psd=u o falta → continuar hacia arriba

La búsqueda se detiene tras un máximo de 8 niveles.

Este enfoque elimina la dependencia de listas externas, permite a los propietarios de dominios controlar los límites de los mismos y hace que el comportamiento sea más predecible en todos los sistemas.

2. Etiquetas obsoletas: «pct», «rf», «ri»

DMARCbis elimina las siguientes etiquetas:

• «pct» (la etiqueta de porcentaje para la aplicación basada en porcentajes)
• «rf» (formato de informeforense )
• «ri» (intervalo de informe)

Rara vez se utilizaban de forma sistemática y aumentaban la complejidad sin aportar ningún beneficio claro.

Nota sobre la etiqueta «pct»: Algunas organizaciones utilizaban «pct» para aplicar las políticas DMARC de forma gradual. Su eliminación simplifica el protocolo, pero también suprime el mecanismo de implementación gradual.

Opinión de PowerDMARC: la aplicación gradual sigue siendo importante, pero debería gestionarse a nivel operativo y no a través de un soporte inconsistente por parte de los destinatarios.

3. Nuevas etiquetas introducidas: «psd», «np», «t»

«psd» (dominio de sufijo público)

La etiqueta «psd» define explícitamente el tipo de dominio y controla dónde se detiene el recorrido por el árbol DNS:

• psd=y → dominio de sufijo público (por ejemplo, operadores de TLD)
• psd=n → dominio de la organización
• psd=u → desconocido (comportamiento predeterminado si se omite)

«np» (Política de dominios inexistentes)

La etiqueta «np» define la política para los subdominios inexistentes y evita el uso indebido de subdominios no utilizados o no registrados.
Ejemplo: np=reject
«t» (modo de prueba)

La etiqueta «t» indica que el dominio se encuentra en modo de prueba.

• No anula la política («p», «sp», «np»)
• Es solo a título informativo
• Los destinatarios pueden decidir si lo aceptan

Modificaciones en el informe agregado (RUA)

DMARCbis separa los informes agregados en una especificación específica. Aunque esto no afecta a los informes actuales, sí que apunta a cambios futuros.

Principales implicaciones:

• El formato de informe se está perfeccionando en un borrador independiente del IETF
• La estructura XML podría modificarse para mejorar la coherencia
• Con el tiempo, la forma de informar sobre las conductas se irá normalizando

Listas de correo y directrices sobre el uso de «p=reject»

DMARCbis incluye orientaciones más claras sobre las listas de correo.

Se recomienda a los dominios cuyos usuarios publican activamente en listas de correo que no utilicen «p=reject», ya que esto provoca que se rechacen correos electrónicos legítimos, dado que:

• Las listas de correo suelen modificar los mensajes
• Esto invalida las firmas DKIM
• La alineación de SPF suele fallar

Si tus usuarios participan en listas de correo públicas, evita aplicar políticas de rechazo estrictas a menos que comprendas plenamente las consecuencias.

¿Qué se mantiene igual en DMARCbis?

DMARCbis es compatible con versiones anteriores, lo que significa, en esencia, que incluso tras su implementación oficial, tu registro DMARC actual, aunque no incluya las actualizaciones más recientes, seguirá funcionando correctamente. Estos son algunos aspectos que no cambiarán:

• Los registros existentes que utilizan v=DMARC1 siguen funcionando
• Los mecanismos de alineación de SPF y DKIM no sufren cambios
• Las etiquetas principales como «p», «sp», «rua» y «ruf» siguen siendo fundamentales

Antes y después: ejemplos de registros DMARC

Antes (registro anterior):

Después (conformidad con DMARCbis):

Descubre cómo publicar un registro DMARC.

¿Quién debe hacer qué?

¿Cómo debo prepararme para DMARCbis?

Es importante señalar que, aunque no es necesario realizar cambios inmediatos, una adaptación temprana reduce los riesgos futuros. Para prepararse para DMARCbis, puede utilizar nuestra breve lista de verificación que figura a continuación:

Descubre DMARCbis con PowerDMARC

PowerDMARC está totalmente preparado para facilitar la transición a DMARCbis. A medida que evoluciona la especificación, nos aseguramos de que su configuración siga cumpliendo con los requisitos sin interrupciones. Así es como podemos ayudarle:

• Generador de registros compatible con DMARCbis: nuestro generador ya admite las nuevas etiquetas np, psd y t, y marca las etiquetas obsoletas, como pct, rf y ri, para su eliminación, sin necesidad de tener que adivinar qué etiquetas conservar y cuáles descartar.
• DMARC alojado con actualizaciones automáticas: si utilizas nuestro servicio DMARC alojado, actualizamos tu registro a medida que se va concretando la especificación. Cuando DMARCbis pase de la fase «Last Call» a la de «Propuesta de norma», tu configuración se adaptará automáticamente.
• Visibilidad centralizada en todos los dominios: descubre en tiempo real qué funciona y qué falla, con avisos sobre etiquetas obsoletas, recomendaciones de expertos e información de ayuda.
• Revisión de la política de subdominios y dominios inexistentes: DMARCbis introduce el valor «np» para los subdominios inexistentes. Nuestra plataforma te ayuda a auditar y gestionar los subdominios de forma eficaz para subsanar las vulnerabilidades que los atacantes podrían aprovechar.
• Asistencia especializada para interpretar y aplicar los nuevos cambios: nuestro equipo de asistencia está disponible las 24 horas del día, los 7 días de la semana, para ayudarte a interpretar los cambios y planificar tu migración. Si necesitas orientación rápida sobre problemas habituales, también puedes utilizar nuestro asistente de IA DMARC integrado.

Reflexiones finales

DMARCbis mejora la claridad, simplifica la implementación y ofrece a los propietarios de dominios un mayor control sobre la forma en que se aplican las políticas. Aunque los cambios no son urgentes, sí son importantes, y las organizaciones deberían tener en cuenta las próximas actualizaciones al revisar su estrategia de autenticación. Prepararse ahora garantiza que la configuración de la autenticación del correo electrónico se mantenga estable, predecible y en consonancia con la próxima versión del estándar.

¡La buena noticia es que no tienes por qué pasar a DMARCbis tú solo! Nuestro equipo de expertos está a tu disposición para ayudarte a adaptarte con facilidad a los cambios del sector y a los requisitos para los remitentes de correo electrónico, sin necesidad de tener conocimientos técnicos. ¡Ponte en contacto con nosotros hoy mismo para empezar!

Preguntas frecuentes

¿Ya se ha publicado DMARCbis?

No. Actualmente se encuentra en la fase de «Last Call» de la IETF y se espera que se convierta en un estándar propuesto.

¿Es DMARCbis compatible con versiones anteriores?

Sí, DMARCbis es compatible con versiones anteriores, lo que significa que los registros DMARC existentes siguen funcionando, por lo que no hay necesidad de apresurarse a actualizarlos ni de entrar en pánico.

¿Tengo que actualizar mi registro DMARC ahora?

Por el momento, no hay necesidad de apresurarse a actualizar el registro DMARC de inmediato. No obstante, se recomienda eliminar las etiquetas obsoletas para garantizar la compatibilidad en el futuro.

¿Afecta DMARCbis a SPF o DKIM?

DMARCbis no afecta a la autenticación SPF ni DKIM, ya que solo modifica la forma en que DMARC evalúa la alineación y las políticas.

• Acerca de
• Últimas publicaciones

Yunes Tarada

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.

Últimos mensajes de Yunes Tarada (ver todos)

• ¿Es suficiente Windows Defender para la seguridad de las pequeñas empresas? - 14 de mayo de 2026
• DMARCbis explicado: qué va a cambiar y cómo prepararse - 16 de abril de 2026
• El formato del número de serie de SOA no es válido: causas y cómo solucionarlo - 13 de abril de 2026