¿Cómo configurar DMARC? Guía de instalación y configuración de DMARC

Una configuración DMARC adecuada protege a su organización de la suplantación de identidad, el phishing y otros ciberataques basados en el correo electrónico. Al configurar el protocolo DMARC (Domain-based Message Authentication Reporting and Conformance), creas una sólida capa de seguridad para tus correos electrónicos, garantizando que estén autenticados y cumplan con los estándares modernos. Este proceso de configuración implica crear un registro DNS y trabajar con su proveedor de alojamiento para publicarlo, haciendo que la seguridad del correo electrónico sea más accesible y manejable.

Requisitos previos para configurar DMARC

Antes de pasar al proceso de configuración de DMARC, asegúrese de que dispone de lo siguiente:

1. Acceso a su consola de gestión de DNS: Es esencial para crear y publicar registros DNS.
2. Lista de remitentes de correo electrónico autorizados: Identifique todos los servicios y servidores que envían correos electrónicos en su nombre para evitar bloqueos involuntarios.
3. Registro SPF y/o DKIM existente en su DNS: Al menos uno de estos registros ya debería estar configurado en su DNS, ya que DMARC depende de ellos para la autenticación del correo electrónico.

Cómo configurar DMARC Paso a paso

Para poner en marcha la configuración DMARC DNS, siga los pasos que se indican a continuación:

Paso 1: Crear el registro DMARC

Empiece por crear un registro DNS que defina su política y establezca la implementación.

Para crear un registro gratuito utilice nuestro generador DMARC como se muestra en la captura de pantalla anterior. Una vez que abra la pantalla de la herramienta habrá algunos criterios obligatorios que deberá rellenar.

Simplifique la configuración de DMARC con PowerDMARC.

Paso 2: Elija una política DMARC adecuada para sus correos electrónicos

La etiqueta de política p= es una etiqueta obligatoria que debe configurarse en su configuración DMARC. Si la omite, el registro no será válido. 

Para evitar que sus correos electrónicos sean suplantados, debe configurar una política política DMARC de p=quarantine o superior. Sin embargo, puede elegir una política "none" si desea supervisar sus correos electrónicos antes de comprometerse a una aplicación completa.

Paso 3: Activar la generación de informes y hacer clic en "Generar" 

El resto de los criterios para una configuración DMARC no son obligatorios, sin embargo, si desea configurar flexibilidades de alineación para DKIM y SPF o habilitar los informes DMARC, puede hacerlo. Los informes RUA y RUF pueden ayudarle a realizar un seguimiento del flujo de correo y de los resultados de autenticación para detectar incoherencias rápidamente.

Por último, haga clic en el botón "generar" para finalizar la configuración DMARC y terminar el proceso de creación de su registro.

Paso 4: Publicar y validar la configuración del registro

Una vez que haya terminado de crear el registro TXT, utilice el botón "copiar" para copiar directamente la sintaxis y, a continuación, diríjase a su consola de gestión de DNS. Pegue el registro en su DNS para finalizar la configuración DMARC.

Lea nuestra guía detallada sobre cómo publicar un registro DMARC en su DNS para obtener más información.

Verificación de la configuración DMARC

Una vez que haya configurado DMARC, debe verificar sus configuraciones para asegurarse de que el protocolo funciona según sus necesidades y para que no se encuentre con el error muy común "No se ha encontrado ningún registro DMARC". Sin las comprobaciones y la supervisión adecuadas, la autenticación de los mensajes de correo electrónico puede resultar muy complicada y dar lugar a falsos positivos o fallos que afecten al rendimiento de la entrega del correo.

Para verificar su configuración, puede utilizar la herramienta de comprobación DMARC de PowerDMARC de forma gratuita. Es una herramienta instantánea y eficaz para validar su registro DNS TXT que no solo muestra el estado de validez de su registro, sino que también resalta errores y sugiere mejoras para lograr el cumplimiento antes.

Para usarlo:

1. Introduzca el nombre de su dominio en la casilla de destino (es decir, si la URL de su sitio web es https://company.com su nombre de dominio será empresa.es)
2. Pulse el botón "Búsqueda
3. Ver los resultados en la pantalla

Recomendamos este método de verificación como alternativa a la verificación manual para una experiencia más rápida, precisa y sin complicaciones.

Ejemplo de configuración DMARC

Este es un ejemplo de una configuración DMARC típica:

v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; fo=0;

Nota: Mientras comienza su viaje de autenticación de correo electrónico, puede mantener su política DMARC (p) en ninguno en lugar de rechazar, para supervisar su flujo de correo electrónico y resolver problemas antes de cambiar a una política estricta.

Sintaxis de registro DMARC

La sintaxis de su configuración DMARC es la parte más importante de su implementación, ya que determina cómo se autenticarán sus correos electrónicos y la acción que se tomará después de la verificación. Veamos algunos de los principales mecanismos:

1. El campo "v" determina la versión del protocolo DMARC que es DMARC1
2. El campo "p" es el campo obligatorio de la política DMARC que puede establecerse como ninguno/rechazar/política de cuarentena
3. Los campos "rua" comentarios agregados y "ruf" informes forenses son opciones de informes DMARC que ayudan a los ESP receptores a proporcionar comentarios sobre los mensajes de correo electrónico enviados a sus destinatarios, que se enviarían a su dirección de correo electrónico definida o buzón de correo dedicado

Estos son sólo algunos ejemplos, pero puede encontrar más información en nuestro blog detallado sobre etiquetas DMARC.

Por qué debe configurar DMARC

El 90% de los ataques de phishing utilizan el correo electrónico como vector, lo que hace indispensable la autenticación del correo electrónico. El Centro de Denuncias de Delitos en Internet del FBI de 2020 (Informe IC3 2020 del FBI) informó de que se recibieron 28.500 denuncias en EE.UU. sobre ataques basados en el correo electrónico. Estadísticas de phishing por correo electrónico como estas hacen que DMARC pase instantáneamente a primer plano.

¿Sabías que?

• El 75% de los dominios de organizaciones de todo el mundo fueron suplantados en 2020 para enviar correos electrónicos de phishing a las víctimas
• El 74% de esas campañas de phishing tuvieron éxito
• La frecuencia de las BEC ha aumentado un 15% desde el año pasado
• IBM informó de que una de cada 5 empresas en el último año ha sufrido violaciones de datos causadas por correos electrónicos maliciosos

Compruebe su dominio y compruebe hasta qué punto está protegido contra el fraude por correo electrónico.

Ventajas y usos de una configuración DMARC

Una configuración DMARC puede ser útil en las siguientes situaciones:

• Para garantizar que sólo los remitentes autorizados puedan enviar correos electrónicos en nombre de su dominio de correo electrónico
• Para evitar los ataques de suplantación de identidad por correo electrónico y de dominio directo
• Para ver las direcciones IP o las fuentes que envían correos electrónicos en su nombre
• Para evitar que los mensajes de spam lleguen a sus destinatarios
• Mejorar la entregabilidad del tráfico legítimo de correo electrónico

Preguntas frecuentes sobre la configuración de DMARC

1. ¿Se puede configurar DMARC sin DKIM o SPF?

No. Usted necesita configurar cualquiera de los dos para asegurarse de que sus correos electrónicos son autenticados. Puede optar por configurar ambos, que es el enfoque recomendado para la máxima seguridad, sin embargo, eso es completamente opcional.

Hemos tratado en profundidad ambos enfoques en nuestra base de conocimientos.

2. ¿Cuál es la mejor configuración DMARC?

La mejor configuración DMARC, si desea la máxima protección contra ataques basados en correo electrónico, es p=reject (donde p es el mecanismo utilizado para especificar su política de registro). Una configuración DMARC adecuada depende del grado de cumplimiento que desee (el grado de rigor con el que desea que los receptores gestionen los correos electrónicos que no superen el DMARC).

Sólo para la supervisión, puede configurar DMARC con una política "ninguna", mientras que puede configurar "cuarentena" si desea revisar los correos electrónicos no autorizados en su carpeta de cuarentena o spam antes de descartarlos o aceptarlos.

Tenga en cuenta que si desea configurar DMARC para evitar que su dominio sea suplantado y mantener a raya los ataques de phishing y BEC, le recomendamos que seleccione el siguiente criterio al generar su registro DMARC:

Establezca su política DMARC en p=rechazar

¿Qué significa esto?

Cuando configuras la aplicación de DMARC en tu organización eligiendo "rechazar" la configuración DMARC, esto significa que siempre que un mensaje de correo electrónico enviado desde tu dominio falle la autenticación DMARC, el correo electrónico malicioso es rechazado instantáneamente por el servidor de correo electrónico receptor, en lugar de ser entregado a la bandeja de entrada de tu destinatario de correo electrónico.

3. ¿Cómo desactivar DMARC?

Es importante tener en cuenta que desactivar la autenticación de correo electrónico para sus dominios no se recomienda ni se fomenta, ya que deja sus dominios vulnerables a una amplia gama de ciberataques y proporciona acceso abierto a los ciberdelincuentes para suplantar su dominio. Si aún así quieres desactivar el protocolo, sigue los pasos que se indican a continuación:

1. Acceda a la consola de gestión de su registrador DNS
2. Navegue hasta el editor DNS avanzado para editar su configuración DNS
3. Localice el dominio para el que desea desactivar DMARC
4. Eliminar el registro DMARC TXT
5. Guarde los cambios y espere un poco a que se reflejen.

También puede ponerse en contacto con el registrador de su dominio para que le ayude a eliminar el registro en caso de que no tenga acceso a la consola. 

La eliminación de la entrada DNS para DMARC desactivará automáticamente el protocolo para el dominio en cuestión. Sin embargo, si tiene varios dominios con DMARC activado, deberá eliminar manualmente las entradas DNS de dichos dominios para desactivarlos para su organización.

Configure DMARC fácilmente con PowerDMARC

Cuando crea una cuenta en PowerDMARC, nos encargamos de la implementación y configuración del protocolo por usted. También gestionamos y supervisamos la salud de su dominio y correos electrónicos, analizamos sus informes agregados y organizamos sus resultados de autenticación en un panel dedicado.

Si no quiere pasar por la molestia de una configuración manual, puede automatizar el proceso realizando una prueba gratuita de 15 días con nosotros. Para disfrutar de las ventajas de la autenticación de correo electrónico y configurar DMARC de forma que proteja eficazmente su dominio, regístrese en hoy mismo.

• Acerca de
• Últimas publicaciones

Maitham Al Lawati

Experto en ciberseguridad, CEO de PowerDMARC

Maitham es un emprendedor tecnológico, experto en ciberseguridad, CEO y fundador de PowerDMARC con más de 15 años de experiencia en el sector. Maitham posee un MBA Global por la Universidad de Manchester y varias certificaciones profesionales, entre ellas CISSP, CISM, CRISC e ISC2 CCSP.

Últimos comentarios de Maitham Al Lawati (ver todos)

• Cómo crear y publicar un registro DMARC - 3 de marzo de 2025
• Cómo solucionar el problema "No se ha encontrado ningún registro SPF" en 2025 - 21 de enero de 2025
• Cómo leer un informe DMARC - 19 de enero de 2025