Cómo leer los informes DMARC (agregados frente a forenses)

Puntos clave

Los informes DMARC proporcionan información fundamental sobre la autenticación de su correo electrónico, lo que le ayuda a detectar y prevenir el phishing, la suplantación de identidad y el uso no autorizado de su dominio.
Existen dos tipos principales de informes DMARC: Los informes agregados, que ofrecen un resumen de los resultados de la autenticación del correo electrónico, y los informes forenses, que ofrecen información detallada sobre los correos electrónicos individuales que han fallado.
Leer informes DMARC sin procesar puede resultar complejo debido a su formato XML, pero herramientas como PowerDMARC simplifican esta tarea al convertir los datos en paneles de control fáciles de entender. paneles de control.
Para habilitar los informes DMARC, es necesario publicar un registro DNS TXT con las etiquetas adecuadas (rua/ruf), lo que permite a los propietarios de dominios recibir informes y actuar en consecuencia para reforzar la seguridad de su correo electrónico y proteger su marca.

El phishing está detrás del 90 % de los ciberataques, por lo que es fundamental que usted y su equipo comprendan cómo leer los informes DMARC para proteger sus datos y su reputación.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) proporcionan información detallada sobre cómo se autentican sus mensajes de correo electrónico, ayudándole a mantener una estrecha vigilancia sobre la seguridad de su correo electrónico. Al confirmar que los correos electrónicos proceden realmente de fuentes de confianza, DMARC desempeña un papel clave en el bloqueo de phishing y suplantación de identidad que podrían dañar su marca y poner en peligro a sus clientes.

Este blog le guiará a través de cómo leer los informes DMARC y le explicará cómo el uso de las herramientas adecuadas puede facilitar este proceso, ayudándole a proteger su dominio y reforzar la seguridad de su correo electrónico con confianza.

¿Qué es un informe DMARC?

Los informes DMARC son informes de diagnóstico generados por los servidores de correo receptores que muestran cómo se autentican sus correos electrónicos en Internet. Proporcionan una visibilidad clara del comportamiento del correo electrónico y los flujos de correo, incluidos los resultados de la autenticación SPF y DKIM para los mensajes enviados desde un dominio habilitado para DMARC.

Estos informes se basan en dos tecnologías clave:

SPF (Sender Policy Framework) verifica si un correo electrónico se envía desde un servidor autorizado.
DKIM (DomainKeys Identified Mail) comprueba si el contenido del correo electrónico ha sido alterado en tránsito.

Juntas, estas comprobaciones muestran si sus correos electrónicos son auténticos o potencialmente fraudulentos.

Cómo habilitar los informes DMARC (paso a paso)

Antes de poder leer los informes DMARC, debe configurar un registro DMARC que indique a los proveedores de buzones de correo dónde enviar sus informes.

Paso 1: Publicar un registro DMARC

Cree un registro DNS TXT para: _dmarc.sudominio.com

Comience con el modo de supervisión: v=DMARC1; p=none; rua=mailto:[email protected];

Paso 2: Añadir destinos de informes (primero rua)

rua (informes agregados): Este es el principal canal de informes DMARC y el que utilizan la mayoría de las organizaciones.
ruf (informes forenses): Opcional. La compatibilidad varía según el proveedor y puede plantear problemas de privacidad, por lo que muchas organizaciones lo omiten o lo utilizan con precaución.

Ejemplo con ambos (solo si tiene intención de utilizar informes forenses):

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];

Paso 3: Decida cómo recibirá los informes.

Tienes dos opciones prácticas:

Buzón dedicado: útil para realizar pruebas, pero los informes sin procesar llegan como archivos adjuntos XML y resultan difíciles de gestionar a gran escala.
Herramienta de informes DMARC: Recomendada para la supervisión continua, el filtrado y los paneles de control con información útil.

Paso 4: Confirmar que los informes están llegando

Los informes agregados suelen aparecer en un plazo de 24 a 48 horas, dependiendo de la propagación del DNS y los ciclos de informe del proveedor de correo electrónico. Si no llega nada, comprueba lo siguiente:

el registro DMARC se publica correctamente,
el buzón/servicio de destino puede recibir mensajes,
y tu dominio está enviando correos electrónicos de forma activa.

Una vez que hayas habilitado los informes, podrás leerlos.

Cómo leer los informes DMARC

Los informes DMARC suelen venir en formato XML adjuntos a correos electrónicos con asuntos como «Informe DMARC». Aunque los informes sin procesar no son fáciles de leer directamente, comprender su estructura te ayuda a extraer información valiosa.

También puede encontrar útiles recursos como la base de conocimientos de PowerDMARC para aprender a configurar e interpretar sus informes.

A continuación, se explica cómo leer los informes DMARC:

Comprender el formato DMARC XML

Un informe XML DMARC típico incluye estas secciones clave:

IP de origen: Dirección IP del servidor de envío
Política evaluada: La acción tomada en base a su política DMARC.
Resultados de SPF y DKIM: Si se ha superado o no cada comprobación
Detalles del dominio: Los nombres de dominio implicados en el envío y la autenticación.

Descifrar los elementos clave de un informe bruto

Céntrese en estos campos críticos al revisar un informe:

ip_de_origen: Lugar de origen del correo electrónico
política_evaluada: Lo que decidió su política DMARC (por ejemplo, ninguna, cuarentena, rechazo).
spf y dkim: Resultados que muestran si se ha superado o no la prueba. Superar la prueba significa que el correo electrónico cumple con los estándares de autenticación, mientras que no superarla indica que hay problemas que podrían apuntar a una suplantación de identidad o una configuración incorrecta.

Prepárese para enfrentarse a retos prácticos con informes sin procesar.

Al trabajar directamente con archivos XML, suelen surgir algunos obstáculos:

Los informes pueden llegar comprimidos (.zip o .gz).
Los dominios de gran volumen pueden generar archivos muy grandes.
A menudo recibirá varios informes de diferentes proveedores que cubren el mismo día.

Por eso, la mayoría de los equipos dejan de realizar inspecciones manuales cuando aumenta el volumen de informes.

Identificar problemas a partir de los datos (SPF, DKIM, Alineación)

Esté atento a estos casossimplemente porque SPF o DKIM no se configuraron correctamente. Las herramientas de marketing, los sistemas CRM, las plataformas de boletines informativos y las herramientas de asistencia técnica deben añadirse a su registro SPF o configurarse con sus claves DKIM para pasar DMARC de forma consistente. Estos fallos son especialmente comunes después de la implementación de una nueva herramienta, un cambio de dominio o una actualización de envío por parte del proveedor.

Señales de advertencia:

Fallos en SPF o DKIM .
Problemas de alineación cuando el dominio de envío no coincide con el dominio autenticado.
Direcciones IP de envío sospechosas que no pertenecen a sus fuentes de correo conocidas

Estas señales podrían indicar intentos de suplantar tu dominio.

Lea cómo Jordi Altimira (director de Implementación Técnica y Éxito del Cliente en Pablo Herreros) logró una puntuación de seguridad de dominio del 100 %con PowerDMARC.

Leer caso práctico Iniciar prueba de 15 días

Tipos de informes DMARC

Los informes DMARC se entregan principalmente a través de dos tipos de informes: agregados (RUA) y forenses (RUF). Ambos tienen fines diferentes, y la mayoría de las organizaciones se basan principalmente en los informes agregados para la supervisión continua.

1. Informes agregados DMARC (RUA)

Los informes agregados de DMARC proporcionan una visión general de los análisis y la actividad de DMARC para un dominio. Incluyen:

Información relativa al número de mensajes que han superado o no la autenticación DMARC
Las direcciones IP de los servidores de correo remitentes
Los estados de autenticación de los mecanismos utilizados para verificar el mensaje de correo electrónico

Esta información ayuda a tomar conciencia de los spammers y servicios de terceros no autorizados que utilizan indebidamente su nombre de dominio.

Para facilitar aún más la interpretación de estos informes, las vistas de los informes agregados de PowerDMARC son más legibles y comprensibles, ya que están simplificadas y organizadas en gráficos y tablas con opciones avanzadas de visualización y filtrado. Para habilitar nuestros informes agregados legibles por humanos, ¡póngase en contacto con nosotros hoy mismo.

2. Informes forenses DMARC (RUF)

Los informes forenses DMARC, también conocidos como informes de fallos, proporcionan información detallada sobre mensajes de correo electrónico individuales en los que falló la autenticación DMARC. En algunos casos, los informes DMARC forenses pueden incluir:

El mensaje de correo electrónico completo
Estado de la autenticación
El motivo del fallo del mensaje no autorizado

Los informes de fallos en DMARC son especialmente útiles a la hora de investigar incidentes forenses específicos, como posibles fraude por correo electrónico, abuso de nombres de dominio y suplantación de identidad.

Los informes de fallos pueden contener en ocasiones información confidencial, lo que plantea problemas de privacidad si un atacante consigue acceder a ellos. Esto ha llevado a PowerDMARC a facilitar el cifrado PGP en estos informes, garantizando que solo usted tenga acceso al contenido confidencial.

Explicación de los campos del informe DMARC

Los informes agregados DMARC (RUA) suelen llegar en formato XML y contienen múltiples «registros». Cada registro representa la actividad de correo electrónico de una fuente de envío específica (normalmente una dirección IP) y muestra cómo se ha comportado esa fuente con respecto a su política DMARC. Una vez que se conoce el significado de los campos clave, resulta mucho más fácil identificar a los remitentes legítimos, detectar usos no autorizados y solucionar problemas de alineación SPF/DKIM.

Campos clave de DMARC que verás en los informes agregados (RUA)

Campo	Lo que te dice	Por qué es importante
nombre_de_la_organización	La organización que genera el informe	Le ayuda a confirmar qué proveedor/receptor de correo electrónico observó el tráfico.
correo electrónico	Dirección de contacto de la organización informante	Útil para la verificación o la resolución de problemas.
id_informe	Identificador único del informe	Le ayuda a consultar y realizar un seguimiento de informes específicos a lo largo del tiempo.
rango_de_fechas	Periodo cubierto por el informe	Confirma el plazo para los resultados.
ip_de_origen	Dirección IP desde la que se envió el correo electrónico	Campo principal para identificar fuentes de envío conocidas frente a desconocidas.
cuente	Número de correos electrónicos procedentes de esa fuente	Le ayuda a priorizar las investigaciones por volumen.
encabezado_de	Dominio en el encabezado «From» visible	Este es el dominio que DMARC protege y evalúa la alineación con respecto a
disposición	Medidas tomadas en virtud del DMARC (ninguna/cuarentena/rechazo)	Muestra cómo los receptores gestionaron los mensajes según su política.
spf	Resultado de la autenticación SPF (aprobado/rechazado)	Le indica si SPF ha tenido éxito para esa fuente.
dkim	Resultado de la autenticación DKIM (aprobado/rechazado)	Le indica si DKIM se ha ejecutado correctamente para esa fuente.
envelope_from (identidad SPF)	Dominio utilizado para la evaluación SPF (Return-Path/Mail From)	Necesario para diagnosticar fallos en la alineación del SPF.
dkim_domain (identidad DKIM)	Dominio utilizado para firmar DKIM (valor d=)	Necesario para diagnosticar fallos de alineación DKIM.
selector (DKIM)	Selector DKIM utilizado	Ayuda a identificar qué clave DKIM falla o está mal configurada.

Cómo funcionan estos campos juntos

Un error común es tratar DMARC como una simple comprobación de «SPF aprobado/DKIM aprobado». DMARC también verifica si SPF o DKIM se alinean con el dominio en header_from. Por eso es posible que SPF o DKIM muestren «aprobado», pero DMARC siga fallando para ese registro.

Utilice estas combinaciones para interpretar rápidamente los registros:

DMARC aprobado: SPF o DKIM pasa y se alinea con header_from
Fallo de DMARC: Ni SPF ni DKIM logran la alineación con header_from
SPF aprobado pero DMARC fallido: SPF puede pasar, pero el envelope_from dominio no se alinea con header_from
DKIM aprobado, pero DMARC rechazado: DKIM puede pasar, pero el dkim_domain no coincide con header_from
Gran volumen procedente de una source_ip: A menudo indica un remitente no autorizado, un sistema pasado por alto o un servicio de terceros mal configurado.

Una vez que comprenda estos campos, leer los informes DMARC resultará mucho más práctico. El siguiente paso es revisar los registros por orden de prioridad, comenzando por las fuentes que generan el mayor volumen o las tasas de fallo más altas.

Problemas comunes encontrados en los informes DMARC

Los informes agregados de DMARC suelen revelar problemas que afectan a la autenticación, la seguridad del dominio y la capacidad de entrega del correo electrónico. Estos son los problemas que es más probable que encuentre y lo que significan.

Alineación SPF o DKIM fallida: esto ocurre cuando los correos electrónicos pasan SPF o DKIM, pero los dominios utilizados no coinciden con el dominio que ven los destinatarios en el encabezado «De». La falta de alineación hace que DMARC falle incluso si las comprobaciones de autenticación subyacentes tienen éxito. En la mayoría de los casos, la solución consiste en configurar los servicios de envío para que la ruta de retorno (identidad SPF) y/o el dominio de firma DKIM coincidan con el dominio «De», y luego confirmar el cambio a través de la siguiente ronda de informes agregados.
Fuentes de envío no autorizadas: Los informes DMARC pueden mostrar servidores que envían correos electrónicos en su nombre sin permiso. Estos podrían ser sistemas antiguos, servicios de terceros mal configurados o actores maliciosos. Identificar y eliminar a los remitentes no autorizados es crucial para proteger su dominio contra la suplantación de identidad.
Servicios de correo electrónico mal configurados (plataformas de marketing, CRM, herramientas de gestión de tickets, etc.): A menudo, los servicios legítimos fallan en la autenticación simplemente porque SPF o DKIM no se han configurado correctamente. Las herramientas de marketing, los sistemas CRM, las plataformas de boletines informativos y las herramientas de asistencia técnica deben añadirse a su registro SPF o configurarse con sus claves DKIM para superar DMARC de forma consistente.
Altas tasas de fracaso y lo que indican: Un gran porcentaje de correos electrónicos fallidos en sus informes DMARC indica problemas significativos; esto podría indicar intentos de suplantación de identidad, desalineación o remitentes importantes que no están autenticados. Las altas tasas de fallo requieren una atención inmediata para evitar la pérdida de capacidad de entrega y el posible abuso de su dominio.

He aquí por qué más de 10 000 clientes confían en PowerDMARC.

Enorme reducción de los intentos de suplantación de identidad y los correos electrónicos no autorizados.
Incorporación más rápida + gestión automatizada de la autenticación
Inteligencia y notificación de amenazas en tiempo real en todos los dominios
Mejores tasas de entrega de correo electrónico gracias a la estricta aplicación de DMARC.

Los primeros 15 días corren por nuestra cuenta.

Regístrese para obtener una prueba gratuita.

Buenas prácticas para la gestión de informes DMARC

El consejo profesional es automatizar el análisis de los informes DMARC para ahorrar tiempo y evitar errores manuales. Por lo demás, siga estas prácticas recomendadas:

Automatice el análisis sintáctico con herramientas

Los informes agregados de DMARC se reciben en formato XML, que puede resultar difícil de leer manualmente. El uso de una herramienta de análisis DMARC automatiza el análisis sintáctico y convierte los informes en paneles de control o resúmenes, y ayuda a a detectar fallos de alineación, remitentes no autorizados o patrones que podrían haber pasado desapercibidos.

Revisar los informes semanal o mensualmente

Una revisión constante garantiza detectar nuevos problemas de forma temprana. Las revisiones semanales funcionan bien para dominios de gran volumen, mientras que las comprobaciones mensuales son suficientes para entornos más pequeños. La supervisión regular garantiza que sus fuentes de envío permanezcan autenticadas y alineadas a medida que evoluciona su configuración.

Seguimiento de fuentes IP y remitentes de terceros

Los informes DMARC revelan todos los servidores que envían correo en tu nombre, incluso aquellos que quizás hayas olvidado que estaban conectados. El seguimiento de estas direcciones IP le ayuda a determinar qué remitentes son legítimos y cuáles deben eliminarse, autenticarse o investigarse más a fondo. Esto cobra especial importancia cuando utiliza varias herramientas a la vez, como plataformas de marketing, CRM o sistemas de tickets, que envían correos electrónicos desde su dominio.

Mantener la coherencia en todos los servicios de envío

Todos los servicios que utilices debe pasar SPF o DKIM y estar alineado con tu dominio; de lo contrario, DMARC fallará incluso cuando todo lo demás parezca estar bien. Es fácil pasar por alto una o dos plataformas (especialmente las integraciones más antiguas), por lo que vale la pena comprobar dos veces que cada una esté configurada con las declaraciones SPF o las claves DKIM correctas. Cuando todos los remitentes se alinean correctamente, toda la cadena de autenticación se vuelve mucho más estable. Esto mantiene bajas las tasas de fallo y protege su dominio contra el abuso.

Lista de verificación para la gestión de DMARC

Configurar el análisis y la interpretación automatizados de informes.
Revisar informes semanalmente (alto volumen) o mensualmente (bajo volumen)
Mantener un inventario de todas las fuentes de envío autorizadas.
Supervise las tasas de fallo e investigue los picos inmediatamente.
Asegúrese de que todos los servicios mantengan una alineación SPF/DKIM adecuada.
Documentar los cambios y mantener un registro de auditoría.

Siguiente paso

Comprender los informes DMARC es fundamental para proteger su dominio de correo electrónico contra ataques de suplantación de identidad y phishing. Siguiendo los pasos de esta guía, podrá supervisar eficazmente la autenticación de su correo electrónico y tomar medidas contra las amenazas.

Medidas clave que se deben tomar ahora:

Habilite los informes DMARC configurando sus registros DNS con etiquetas rua/ruf.
Utilice herramientas automatizadas para simplificar el análisis y la interpretación de informes.
Establecer un calendario de revisión periódico (semanal o mensual).
Mantener un inventario de todas las fuentes autorizadas para el envío de correos electrónicos.
Aplique gradualmente políticas DMARC más estrictas a medida que mejore su autenticación.

¿Listo para simplificar la seguridad de tu correo electrónico? Herramientas como el lector de informes DMARC de PowerDMARC convierten datos XML complejos en información clara y útil que te ayuda a proteger tu dominio contra el phishing y el spoofing.

Preguntas más frecuentes (FAQ)

1. ¿Cómo ayudan los informes DMARC a mejorar la seguridad del correo electrónico?

Le muestran qué correos electrónicos superan o no la autenticación, lo que le ayuda a detectar y detener los intentos de suplantación de identidad o phishing dirigidos a su dominio.

2. ¿Con qué frecuencia se generan los informes DMARC?

En la plataforma PowerDMARC, los informes DMARC se generan y organizan diariamente, semanalmente o mensualmente, según sus preferencias.

3. ¿Cómo puedo mejorar mi puntuación DMARC?

Puede mejorar su puntuación DMARC solucionando los problemas de autenticación, alineando su SPF y DKIM, y aplicando gradualmente políticas DMARC más estrictas.

4. ¿Qué medidas puedo tomar basándome en los informes DMARC?

Puede identificar remitentes no autorizados, ajustar la configuración de su correo electrónico y bloquear correos fraudulentos.

5. ¿Qué significa cuando recibo un informe DMARC?

Significa que un destinatario está compartiendo detalles sobre cómo se autentican sus correos electrónicos y si se ha producido algún error en la verificación.

6. ¿Por qué recibo informes agregados de DMARC?

Recibes informes agregados DMARC porque tienes un registro DMARC publicado con una etiqueta rua. Estos informes son enviados por los proveedores de correo electrónico para ayudarte a supervisar cómo se utiliza tu dominio para la autenticación del correo electrónico.

7. ¿Cómo puedo consultar mi informe DMARC?

Puede consultar sus informes DMARC accediendo a la dirección de correo electrónico especificada en su etiqueta rua, o utilizando una herramienta de análisis DMARC que procesa y visualiza automáticamente los datos XML para facilitar su interpretación.

8. ¿Quién genera los informes DMARC?

Los informes DMARC son generados y enviados por los servidores de correo electrónico receptores y los principales proveedores de buzones de correo, como Gmail, Yahoo, Outlook y otros servicios de correo electrónico que procesan los correos electrónicos de su dominio.

9. ¿Dónde enviar los informes DMARC?

Los informes DMARC se pueden enviar a la dirección de correo electrónico especificada en la etiqueta rua de su registro DMARC.

Para ello tiene dos opciones:

Un buzón dedicado que creas (por ejemplo, [email protected]).
Un servicio de análisis DMARC de terceros. Esta es la opción recomendada, ya que procesan los complejos informes XML en cuadros de mando fáciles de usar.

10. ¿Quién envía los informes DMARC?

Los informes DMARC son enviados por los servidores de correo y proveedores de buzones receptores.

Acerca de
Últimas publicaciones

Maitham Al Lawati

Experto en ciberseguridad, CEO de PowerDMARC

Maitham es un emprendedor tecnológico, experto en ciberseguridad, CEO y fundador de PowerDMARC con más de 15 años de experiencia en el sector. Maitham posee un MBA Global por la Universidad de Manchester y varias certificaciones profesionales, entre ellas CISSP, CISM, CRISC e ISC2 CCSP.

Últimos comentarios de Maitham Al Lawati (ver todos)

Estadísticas sobre phishing y DMARC: Tendencias en seguridad del correo electrónico para 2026 - 6 de enero de 2026
Cómo solucionar el error «No se ha encontrado ningún registro SPF» en 2026 - 3 de enero de 2026
SPF Permerror: Cómo solucionar un exceso de búsquedas DNS - 24 de diciembre de 2025

Cómo leer los informes DMARC: Tipos, herramientas y consejos