DMARC - Autenticación de correo basada en dominio

Lectura de 2 min aprox.

DMARC (Domain-based Message Authentication, Reporting and Conformance) es un protocolo que autentica el dominio de origen del correo electrónico y previene los mensajes falsificados. Al integrar las dos tecnologías existentes SPF y DKIM y añadir una política de tratamiento para los mensajes que no superan la autenticación junto con una función de informes, se está convirtiendo en el estándar internacional de seguridad del correo electrónico como una medida eficaz contra el phishing y el spear phishing.

La estructura de tres capas de SPF, DKIM y DMARC

Para entender la autenticación del correo electrónico es necesario aclarar las funciones de tres tecnologías. SPF (Sender Policy Framework) es un mecanismo que declara, en los registros DNS de un dominio, las direcciones IP que pueden enviar correo desde ese dominio. El servidor receptor verifica si la IP de origen del mensaje está incluida en el registro SPF.

DKIM (DomainKeys Identified Mail) es un mecanismo en el que el servidor emisor añade una firma digital al mensaje y el servidor receptor verifica la firma mediante la clave pública publicada en el DNS. Garantiza que el contenido del mensaje no ha sido alterado durante el tránsito.

DMARC es la «capa de política» que une a ambos. Verifica la coherencia entre el resultado de autenticación de SPF o DKIM y el dominio que aparece en el encabezado From del mensaje (el dominio que el usuario ve realmente). Esto se denomina «alineación». DMARC complementa la «legitimidad del dominio remitente visible» que SPF y DKIM por sí solos no podían cubrir.

Adopción gradual de los modos de política

Una política DMARC se puede configurar en tres etapas. p=none es el modo de monitoreo; aunque falle la autenticación, no afecta la entrega del mensaje y solo recopila informes.p=quarantine deriva los mensajes que no superan la autenticación a la carpeta de correo no deseado.p=reject rechaza por completo los mensajes que no superan la autenticación.

En la práctica, configurarlo directamente en reject es peligroso. Si las rutas de envío legítimas no están bien configuradas para SPF/DKIM, hasta tus propios mensajes legítimos serán rechazados. El procedimiento de implementación recomendado es usar primero none durante 2-4 semanas para recopilar informes y conocer las rutas de envío de correo de tu propio dominio. Luego pasa a quarantine para comprobar el impacto y, si no hay problemas, elevarlo a reject. Este enfoque gradual permite reforzar la seguridad mientras se mantiene al mínimo el impacto sobre los mensajes legítimos.

La obligatoriedad de 2024 impuesta por Google y Yahoo

En febrero de 2024, Google y Yahoo hicieron obligatoria la configuración de DMARC para los remitentes masivos (más de 5000 mensajes al día). Esta decisión es un punto de inflexión en la seguridad del correo electrónico. Los mensajes de los remitentes que no cumplen ven restringida su entrega o son clasificados como spam en Gmail y Yahoo Mail.

El impacto de esta obligatoriedad fue de gran alcance. Todo tipo de remitentes masivos se vieron obligados a adaptarse, incluidas las empresas que envían correo de marketing en gran volumen, los servicios de envío de boletines y los correos de confirmación de pedidos de los sitios de comercio electrónico. En particular, las empresas que usan varios servicios de envío de correo a la vez (como SendGrid, Amazon SES y Mailchimp) necesitaban configurar correctamente SPF y DKIM en cada ruta de envío, y muchas tuvieron dificultades para cumplir. También desde la perspectiva de la protección contra el phishing, esta obligatoriedad es un gran avance.

Cómo leer y aprovechar los informes DMARC

Una vez que configuras DMARC, los servidores receptores envían dos tipos de informes. El informe agregado (Aggregate Report, RUA) está en formato XML y resume estadísticamente los resultados de autenticación por IP de origen. El informe forense (Failure Report, RUF) contiene información detallada sobre los mensajes individuales que no superaron la autenticación.

Como el XML de los informes agregados es difícil de leer directamente para las personas, la práctica habitual en el sector es usar herramientas de visualización como DMARC Analyzer o dmarcian. La información importante que hay que leer en los informes son las «IP de origen que dicen ser tu dominio pero no superan la autenticación». Si se trata de tu propio servidor legítimo, indica un error de configuración; si es una IP desconocida, puede indicar suplantación. Los informes DMARC también son eficaces para detectar mensajes falsificados combinados con la ingeniería social.libros sobre seguridad del correo electrónico (Amazon) explican los pasos concretos para el análisis de informes.

Tasas de adopción actuales y desafíos

A fecha de 2025, la tasa de adopción de DMARC entre las empresas Fortune 500 ha alcanzado alrededor del 90%, pero reject solo cerca de la mitad de esas empresas ha llegado a una política reject. La tasa de adopción entre las empresas japonesas es aún más baja, y especialmente entre las pequeñas y medianas empresas hay muchos casos en los que ni siquiera se conoce la existencia de DMARC. Al igual que el cifrado, DMARC es una medida de seguridad a nivel de infraestructura y, al ser difícil de percibir, afronta un desafío estructural: su prioridad de inversión tiende a no aumentar. En medio de la creciente amenaza del phishing generado por IA, proteger las cuentas de correo electrónico es cada vez más importante.