Guía de configuración de DMARC: Cómo configurar DMARC en 2025 (sin interrumpir el correo electrónico)
por
Tiempo de lectura: 8 min
Solo el 53,8% de las empresas de todo el mundo tienen una configuración DMARC en su dominio, lo que deja al resto vulnerable a las amenazas basadas en correo electrónico.
La autenticación de correo electrónico es su primera línea de defensa. DMARC, SPF y DKIM son protocolos de autenticación que ayudan a prevenir la suplantación de identidad y los ataques de phishing. SPF garantiza que solo las IP autorizadas puedan enviar correos en su nombre, DKIM añade una firma digital para verificar la integridad de los mensajes, y DMARC se basa en ambos para indicar a los servidores receptores cómo gestionar los correos electrónicos que no superan estas comprobaciones. Sin DMARC, incluso los dominios con SPF y DKIM pueden ser suplantados.
Evite las molestias, configure DMARC en unos minutos usando PowerDMARC y proteja su dominio hoy mismo.
Puntos clave
- La configuración DMARC, basada en SPF/DKIM, protege contra la suplantación de identidad y el phishing, y salvaguarda la reputación del dominio.
- Un registro DMARC en DNS define las políticas de tratamiento (`none`, `quarantine`, `reject`) de los correos electrónicos no autorizados.
- Un formato de registro DMARC correcto (por ejemplo, etiquetas obligatorias `v=DMARC1`, `p=policy`) es crucial para un funcionamiento eficaz y para evitar problemas de entrega.
- La activación de los informes DMARC (`rua`, `ruf`) proporciona información valiosa sobre los flujos de correo electrónico y los resultados de autenticación para la supervisión.
- La verificación periódica mediante herramientas garantiza una configuración correcta, mientras que `p=reject` ofrece la máxima protección.
Requisitos previos para la configuración de DMARC
Antes de pasar al proceso de configuración de DMARC, asegúrese de que dispone de lo siguiente:
- Acceso a su consola de administración de DNS : esto es esencial para crear y publicar registros DNS.
- Lista de remitentes de correo electrónico autorizados : identifique todos los servicios y servidores que envían correos electrónicos en su nombre para evitar bloqueos involuntarios.
- Registro SPF y/o DKIM existente en su DNS: Al menos uno de estos registros debería estar configurado en su DNS, ya que DMARC los utiliza para la autenticación del correo electrónico. SPF (Sender Policy Framework) indica al servidor receptor el dominio del que debe esperar que provenga el correo electrónico, mientras que DKIM (DomainKeys Identified Mail) es un método para firmar digitalmente sus correos electrónicos y verificar la autenticidad del remitente.
Advertencia : Si omite SPF/DKIM, DMARC no funcionará. Asegúrese de haber configurado correctamente uno de ellos, o preferiblemente ambos, antes de continuar con los siguientes pasos.
Configuración de DMARC paso a paso
Para poner en marcha la configuración DMARC DNS, siga los pasos que se indican a continuación:
Paso 1: Crear el registro DMARC
Empiece por crear un registro DNS TXT que defina su política y establezca la implementación. Este registro se añade al archivo de zona DNS de su dominio.
Para crear un registro gratuito, utilice nuestra herramienta generadora de DMARC , como se muestra en la captura de pantalla anterior. Al abrir la pantalla, deberá completar algunos criterios obligatorios.
Simplifique la configuración de DMARC con PowerDMARC.
Paso 2: Elija una política DMARC adecuada para sus correos electrónicos
La etiqueta de política p= es una etiqueta obligatoria que debe configurarse en su configuración DMARC. Si la omite, el registro no será válido.
Paso 3: Activar la generación de informes y hacer clic en "Generar"
Para supervisar el flujo de correo y los resultados de autenticación, configure los informes agregados de DMARC (RUA) definiendo una dirección de correo electrónico donde desee recibirlos. Finalmente, haga clic en el botón "Generar".
Paso 4: Publicar y validar la configuración del registro
Una vez que haya terminado de crear el registro TXT, use el botón “copiar” para copiar directamente la sintaxis y luego diríjase a su consola de administración de DNS.
- Crear un nuevo registro TXT.
- En el campo Host/Nombre, ingrese `_dmarc` (o `_dmarc.yourdomain.com`, dependiendo de su proveedor de DNS).
- En el campo Valor/Datos, pegue la sintaxis del registro DMARC que generó.
- Guarde el registro para publicarlo en su DNS y finalizar su configuración de DMARC.
Para obtener más información , consulta nuestra guía detallada sobre cómo publicar un registro DMARC en tu DNS. Los cambios de DNS pueden tardar hasta 48 horas en propagarse, según tu proveedor.
Verificación de la configuración DMARC
Después de haber configurado DMARC, debe verificar sus configuraciones para asegurarse de no encontrarse con el error muy común “No se encontró ningún registro DMARC” .
Para verificar su configuración, puede usar la herramienta gratuita de verificación DMARC de PowerDMARC. Para usarla:
- Ingrese su nombre de dominio en el cuadro de destino (es decir, si la URL de su sitio web es https://company.com, su nombre de dominio será company.com )
- Pulse el botón "Búsqueda
- Ver los resultados en la pantalla
Recomendamos este método de verificación como alternativa a la verificación manual para una experiencia más rápida, precisa y sin complicaciones.
Consejos avanzados de configuración de DAMRC
Una vez que haya completado la configuración básica, aquí hay algunos consejos avanzados para mejorar su implementación:
Explicación de las políticas DMARC (¿cuál elegir?)
Para evitar la falsificación de sus correos electrónicos, debe configurar una política DMARC . Puede elegir entre tres políticas principales:
- Ninguno (p=ninguno): No se realiza ninguna acción en los correos electrónicos que no superan la autenticación DMARC. Esto es ideal para supervisar el tráfico de correo electrónico durante la configuración inicial.
- Cuarentena (p=cuarentena): los correos electrónicos fallidos se marcan como sospechosos y se envían a las carpetas de correo no deseado o spam.
- Rechazar (p=rechazar): los correos electrónicos fallidos se bloquean y no se entregan.
Nota : Elija una política “ninguna” para monitorear sus correos electrónicos antes de comprometerse con la aplicación total (p=cuarentena o p=rechazar).
Modos de alineación (estricto vs. relajado)
- Alineación relajada
Alineación relajada de SPF: se aprueba si el dominio en la ruta de retorno (dominio autenticado por SPF) comparte el mismo dominio organizacional que el dominio en la dirección de origen.
Por ejemplo:
aspf=r;
Ruta de retorno: [email protected]
Pasa la alineación SPF relajada porque ambos comparten el dominio organizacional example.com.
Alineación relajada de DKIM: se aprueba si el dominio d= en la firma DKIM comparte el mismo dominio organizacional que el dominio en la dirección De.
Por ejemplo:
adkim=r;
Firma DKIM: d=alerts.example.com
Pasa la alineación DKIM relajada (mismo dominio organizacional: example.com ).
- Alineación estricta
Alineación relajada de SPF: se aprueba si el dominio en la ruta de retorno (dominio autenticado por SPF) es una coincidencia exacta con el dominio en la dirección de origen (no solo una coincidencia organizacional).
Por ejemplo:
aspf=s;
Ruta de retorno: [email protected]
Supera la alineación SPF estricta porque ambos comparten el dominio ejemplo.com. Si Return-Path fuese bounce.mail.ejemplo.com, la alineación estricta fallaría.
Alineación relajada de DKIM: se aprueba si el dominio d= en la firma DKIM coincide exactamente con el dominio en la dirección De.
Por ejemplo:
adkim=s;
Firma DKIM: d=alerts.example.com
Supera la alineación DKIM estricta (mismo dominio: ejemplo.com ). Si `d=dominio` fuera `bounce.mail.ejemplo.com`, la alineación estricta fallaría.
Ejemplo de configuración DMARC
A continuación se muestra un ejemplo de una configuración DMARC simple:
v=DMARC1; p=rechazar; rua=mailto:[email protected];
Nota : Al comenzar su proceso de autenticación de correo electrónico, puede mantener su política DMARC (p) en ninguna en lugar de rechazar, para monitorear su flujo de correo electrónico y resolver problemas antes de cambiar a una política estricta.
Sintaxis de registros DMARC y etiquetas opcionales
La sintaxis de su configuración de DMARC determina cómo se autenticarán sus correos electrónicos y las acciones que se tomarán tras la verificación. Exploremos algunos mecanismos principales:
- v (obligatorio): Especifica la versión de DMARC. Debe ser DMARC1 y aparecer primero en el registro.
- p (obligatorio): define la política para fallas de DMARC (ninguna, cuarentena o rechazar).
- rua (opcional): especifica direcciones de correo electrónico para recibir informes agregados utilizando el formato mailto:.
- ruf (opcional): especifica direcciones de correo electrónico para recibir informes de fallas forenses utilizando el formato mailto:.
- adkim (opcional): Establece el modo de alineación de DKIM en r (relajado) o s (estricto). El modo predeterminado es relajado, si no se define.
- aspf (opcional): Establece el modo de alineación SPF en r (relajado) o s (estricto). El modo predeterminado es relajado, si no se define.
- pct (opcional): define el porcentaje de correos electrónicos fallidos sujetos a la política DMARC (el valor predeterminado es 100).
- fo (opcional): Controla cuándo se envían los informes forenses. Las opciones incluyen 0, 1, d y s.
Puede explorar más en nuestro blog detallado sobre etiquetas DMARC . Asegúrese de que las etiquetas estén separadas por punto y coma y que no haya espacios sobrantes para mantener un formato correcto.
Después de la configuración de DMARC: ¿qué hacer a continuación?
Luego de una configuración exitosa de DMARC, es importante monitorear continuamente sus informes, realizar una transición gradual hacia la aplicación y solucionar errores en el proceso.
¿Cómo leer informes DMARC?
Arriba se muestra un pequeño fragmento de un informe de DMARC RUA. Para analizarlo manualmente:
- Examine the <domain> and <source_ip> fields to verify your sending sources
- Check the <adkim> and <aspf> fields to confirm the alignment mode configured for your domain.
- Check your DMARC policy in the <p> field
- Check your email authentication results (pass/fail) by checking the <policy_evaluated> sections of the report.
Utilice un analizador de informes DMARC
Para ver y analizar sus informes DMARC fácilmente sin la molestia de leer archivos XML complejos, regístrese en PowerDMARC. Nuestro analizador de informes DMARC le ayuda a visualizarlos en un formato legible para una visibilidad granular.
Transición a p=reject de forma segura
Al configurar DMARC , es importante realizar una transición segura a la política ap=reject para evitar problemas de entrega. Para ello:
- Comience con p=none y habilite los informes DMARC para monitorear el tráfico de correo electrónico.
- Después de algunas semanas, pase a p=cuarentena y aplíquelo al 50 % de su volumen de correo electrónico (usando la etiqueta pct=50).
- Aplique esto lentamente al 100% de su volumen de correo configurando pct=100 (o deje el valor predeterminado).
- Solo cuando esté seguro de su configuración, pase a p=reject para el 50% de su volumen de correo (pct=50).
- Una vez que esté satisfecho con su configuración, aplique p=reject para el 100% de su volumen de correo (pct=100).
Consejo profesional : utilice nuestra solución DMARC alojada para pasar de forma segura a políticas aplicadas junto con soporte de expertos.
Solución de problemas comunes en las configuraciones de DMARC
| Problemas | Causas | Correcciones |
|---|---|---|
| Correos electrónicos que no cumplen con DMARC | - Desalineación de SPF/DKIM - Reenvío de correo electrónico - Intentos de suplantación de identidad - Errores de sintaxis | - Utilice soluciones DMARC administradas - Configure tanto SPF como DKIM con su configuración DMARC - Verifique sus registros DNS utilizando herramientas de verificación de registros DNS - Monitorea tus informes |
| No se recibieron informes | - Correo electrónico de RUA no válido - El proveedor de correo electrónico del destinatario no admite informes RUF | - Asegúrate de que tu correo RUA sea válido y activo |
| FPS Permerror | - Superar el límite de 10 búsquedas DNS - Se superó el límite de longitud de caracteres del registro SPF - Errores de sintaxis SPF y otros errores de configuración | - Se utilizaron soluciones SPF alojadas - Utilice servicios de optimización de SPF como aplanamiento o preferiblemente Macros. |
Cómo PowerDMARC simplifica la configuración de DMARC
| Característica | PowerDMARC | Configuración de bricolaje |
|---|---|---|
| Informes automatizados | ✅ Sí | ❌ Análisis manual |
| Monitoreo MTA-STS | ✅ Incluido | ❌ Configuración adicional |
| SPF, DKIM y DMARC alojados | ✅ Totalmente alojado | ❌ Autogestionado |
| Ayuda para la configuración de DNS | ✅ Asistente incorporado | ❌ Configuración manual |
| Visor de informes agregados | ✅ Panel de control visual | ❌ Informes XML sin procesar |
| Manejo de informes forenses | ✅ Cifrado PGP | ❌ Necesita un analizador personalizado |
| Alertas | ✅ Alertas en tiempo real | ❌ Sin alertas nativas |
| Soporte BIMI | ✅ Disponible | ❌ Configuración manual compleja |
| Agrupación de dominios | ✅ Fácil agrupación | ❌ No compatible |
| Gestión de acceso de usuarios | ✅ Control basado en roles | ❌ Coordinación manual |
Estudio de caso: Cómo la Fatty Liver Foundation simplificó la configuración de DMARC empresarial con PowerDMARC
“El conjunto de herramientas que ofrece PowerDMARC es intuitivo y se encarga de la configuración de funciones como DMARC y DKIM de forma muy intuitiva”. – Wayne Eskridge, director ejecutivo de Fatty Liver Foundation
Para leer la historia completa de cómo esta empresa sin fines de lucro con sede en EE. UU. simplificó la configuración y la gestión de DMARC , consulte nuestro estudio de caso .
Preguntas frecuentes sobre la configuración de DMARC
- ¿Puedo configurar DMARC sin DKIM o SPF?
No. DMARC se basa en los resultados de las comprobaciones de autenticación SPF o DKIM (o ambas). Debe configurar al menos uno de estos protocolos (SPF o DKIM) para su dominio antes de implementar DMARC.
- ¿Con qué frecuencia debo consultar los informes DMARC?
La frecuencia de su seguimiento depende de varios factores:
- Si es una gran empresa, un MSSP que administra la seguridad del correo electrónico para sus clientes, se encuentra en las fases iniciales de implementación o ha implementado recientemente su política DMARC, le recomendamos que revise sus informes periódicamente.
- Una vez que las cosas estén estables, puedes recurrir a revisar los informes semanalmente, prestando especial atención cuando se agreguen nuevas fuentes de envío.
Experto en ciberseguridad, CEO de PowerDMARC
Maitham es un emprendedor tecnológico, experto en ciberseguridad, CEO y fundador de PowerDMARC con más de 15 años de experiencia en el sector. Maitham posee un MBA Global por la Universidad de Manchester y varias certificaciones profesionales, entre ellas CISSP, CISM, CRISC e ISC2 CCSP.
Últimos comentarios de Maitham Al Lawati (ver todos)
- Cómo crear y publicar un registro DMARC - 3 de marzo de 2025
- Cómo solucionar el problema "No se ha encontrado ningún registro SPF" en 2025 - 21 de enero de 2025
- Cómo leer un informe DMARC - 19 de enero de 2025
