DMARC (Domain-based Message Authentication, Reporting & Conformance)

¿Qué es DMARC?

DMARC es una política de autenticación de email que se apoya en SPF y DKIM para decirle a los servidores receptores cómo manejar los mensajes que fallan la autenticación. También provee un canal de reportes para que los dueños de dominio puedan ver quién envía correo en su nombre, incluyendo intentos de suplantación.

Por qué importa

Sin DMARC no tienes visibilidad sobre el correo falsificado que usa tu dominio ni forma de forzar el rechazo de mensajes suplantados. Gmail y Yahoo ahora exigen DMARC para los remitentes masivos, así que ignorarlo puede hacer que tu correo de marketing sea bloqueado directamente. Los equipos de seguridad ganan defensa contra phishing, los marketers ganan colocación en bandeja de entrada y los dueños de marca protegen su reputación.

Cómo funciona

El dueño del dominio publica un registro TXT en _dmarc que especifica una política y direcciones de reporte.

_dmarc.acme.io IN TXT "v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100; aspf=s; adkim=s"

Cuando un receptor recibe un mensaje, verifica SPF y DKIM y confirma que al menos uno alinee con el dominio del From. Si ninguno alinea, la política DMARC (none, quarantine o reject) decide el destino. Los reportes agregados se envían por correo a la dirección rua en formato XML.

Ejemplos

• Comenzar en p=none y recolectar reportes durante cuatro semanas antes de apretar
• Pasar a p=quarantine; pct=25 para mandar el 25 por ciento del correo fallido a spam como prueba
• Alcanzar p=reject completo después de eliminar todas las fuentes legítimas no autenticadas

Mejores prácticas

• Empieza en p=none para recolectar datos antes de aplicar
• Usa una herramienta de agregación de reportes para que el XML sea realmente legible
• Escala pct gradualmente de 0 a 100 en lugar de saltar directo a reject
• Asegúrate de que SPF y DKIM pasen las verificaciones de alineación, no solo la validación cruda

Preguntas frecuentes

¿Qué es la alineación en DMARC?

La alineación significa que el dominio usado en SPF o DKIM debe coincidir con el dominio del header From visible. Un SPF o DKIM crudo aprobado no es suficiente; a DMARC le importa si coinciden con lo que el usuario ve.

¿Necesito SPF y DKIM para DMARC?

Solo uno necesita pasar y alinear, pero publicar ambos te da redundancia. Si uno falla por el forwarding, el otro aún puede llevar el mensaje.

¿Cuánto hay que esperar para pasar a p=reject?

La mayoría de los dominios necesitan de 4 a 12 semanas en p=none para descubrir todas las fuentes legítimas de envío y corregir malas configuraciones antes de apretar la política.