arrobaMail
Entregabilidad · Política

DMARCtu política contra el spoofing

Domain-based Message Authentication, Reporting & Conformance

Domain-based Message Authentication, Reporting & Conformance toma SPF y DKIM y los junta con una política: qué hacer cuando alguien envía con tu dominio sin autorización. Es lo que cierra el círculo de la autenticación.

arrobaMail · deliverabilityDMARC
Concepto

¿Qué es DMARC y cómo se diferencia de SPF/DKIM?

DMARC (RFC 7489) no autentica por sí mismo. Lo que hace es decirle al receptor "cuando un mail no pasa ni SPF ni DKIM alineados con mi dominio, hacé X". Ese X es la política.

Las tres políticas posibles: p=none (no hagas nada, solo reportame), p=quarantine (mandalo a spam) y p=reject (rechazá directamente).

Además de la política, DMARC habilita reportes: el receptor te manda XMLs con todos los intentos de envío usando tu dominio. Eso te muestra spoofing real, includes que te falta agregar y subdominios que no controlás.

Anatomía

Anatomía de un registro DMARC

Ejemplo real

_dmarc.tudominio.com  TXT  "v=DMARC1; p=quarantine; rua=mailto:reports@tudominio.com; pct=100; sp=quarantine; adkim=s; aspf=s"
v=DMARC1

Versión

Indica que es un registro DMARC versión 1.

p=quarantine

Política principal

p=none (monitoreo), p=quarantine (a spam) o p=reject (rechazo). Empezás siempre en none.

rua=mailto:reports@tudominio.com

Aggregate reports

Email donde recibir los reportes agregados diarios de los receptores (XMLs).

pct=100

Porcentaje

Qué porcentaje de mails aplican la política. Empezás en pct=10 si querés ir gradual.

sp=quarantine

Política subdominios

Política para subdominios. Si no se especifica, heredan la principal.

adkim=s · aspf=s

Alineación estricta

s = strict (exact match). r = relaxed (relaxed match, default). Empezá en relaxed.

Paso a paso

Cómo configurarlo correctamente

Pasos en orden. Saltar uno suele derivar en problemas que tardan días en diagnosticar.

  1. 01

    Asegurate que SPF y DKIM están OK

    DMARC requiere al menos uno de los dos alineado con tu dominio. Si SPF está roto y DKIM también, DMARC fallará en todo.

  2. 02

    Publicá DMARC con p=none al inicio

    Empezá con monitoreo puro: v=DMARC1; p=none; rua=mailto:reports@tudominio.com. No bloqueás nada, solo recibís reportes.

    Tip: Esto es crucial. Saltar este paso e ir directo a quarantine es la causa #1 de mails legítimos perdidos.

  3. 03

    Analizá los reportes durante 2-4 semanas

    Los reportes XML que llegan a rua= muestran qué servidores envían en tu nombre, cuáles pasan SPF/DKIM y cuáles no. Detectás includes que te faltan y posibles spoofers.

    Tip: Hay herramientas que parsean los XML automáticamente (Postmark DMARC, Dmarcian, Valimail).

  4. 04

    Corregí huecos en SPF y DKIM

    Si ves servidores legítimos que no pasan, sumalos al SPF y configurales DKIM. Si ves spoofers, ya tenés data para escalar luego.

  5. 05

    Subí a p=quarantine con pct gradual

    Cuando los reportes muestren que 95%+ de tus mails están autenticados, subí a p=quarantine pct=10. Después pct=25, 50, 100. Recién cuando todo esté limpio, p=reject.

Errores comunes

Lo que se rompe seguido (y cómo arreglarlo)

Saltar de p=none a p=reject

Pasar directo a reject sin monitorear es garantía de perder mails legítimos.

Cómo arreglarlo: Respetá el camino: none → quarantine pct gradual → reject. Mínimo 1 mes en cada etapa.

No procesar los reportes RUA

Los reportes son XMLs que llegan a tu mail. Sin parsearlos, no aprendés nada y DMARC no agrega valor más allá del bloqueo.

Cómo arreglarlo: Usá Dmarcian, Postmark DMARC, Valimail o un parser propio. Los reportes son oro.

Olvidarse de los subdominios

Si no especificás sp=, los subdominios heredan p=. Pero si tenés subdominios que no usás, conviene poner sp=reject explícito.

Cómo arreglarlo: Definí sp= explícito según uso real. Subdominios sin uso van directo a sp=reject.

Alineación estricta con SPF/DKIM relajado

Si configurás adkim=s o aspf=s pero tu plataforma usa subdominios para tracking, la alineación falla y DMARC bloquea.

Cómo arreglarlo: Arrancá con adkim=r y aspf=r (relaxed). Subí a strict solo si confirmás que no rompe nada.

Verificación

Cómo confirmar que quedó bien

Tres maneras de verificar — desde tu terminal o desde herramientas online. Si todas devuelven OK, ya está.

01

Linux/Mac terminal

dig TXT _dmarc.tudominio.com +short

Devuelve el registro DMARC publicado.

02

Mail de prueba a Gmail

Headers > Show original > DMARC

Aparece "dmarc=pass action=none header.from=tudominio.com".

03

Online

mxtoolbox.com/dmarc.aspx

Validación del registro + diagnóstico de SPF/DKIM relacionados.

Cómo lo hace arrobaMail

En arrobaMail te asistimos con el armado del registro DMARC, la interpretación de los primeros reportes y la migración escalonada de p=none a p=reject sin romper tus envíos legítimos.

Preguntas frecuentes

Lo que más se consulta sobre DMARC

Sí, son cosas distintas. SPF y DKIM autentican. DMARC aplica política sobre lo que pasa cuando fallan. Sin DMARC, cada receptor decide por su cuenta qué hacer con un mail que no pasa autenticación.

Cuando los reportes muestran que 99%+ de tus mails legítimos están autenticando OK y monitoreaste sin sorpresas durante varias semanas. No hay apuro: p=quarantine ya protege contra phishing.

Que el dominio del Header-From visible (lo que ve el usuario) coincida con el dominio autenticado por SPF/DKIM. Sin alineación, DMARC falla aunque SPF y DKIM individualmente pasen.

No. Los reportes agregados son estadísticas: cuántos mails, de qué IPs, con qué resultados. No incluyen contenido. Los reportes forenses (RUF) sí, pero casi nadie los envía por privacidad.

Gmail, Yahoo y Microsoft están endureciendo los requisitos para senders bulk (más de 5.000 mails/día). Sin DMARC, te enviarán cada vez más a spam o directamente bloquearán. Lo que era opcional hoy es virtualmente obligatorio.

Empezá con arrobaMail
en menos de 5 minutos.

Plan Gratuito, generaciones de IA incluidas, sin tarjeta de crédito y soporte real en español.

Probar gratis ahora
WhatsAppTe responde el equipo