Herramienta DMARC

Verificador DMARC y Analizador de Políticas de Seguridad de Dominio

Utiliza nuestro DMARC checker gratuito para comprobar tu nivel de seguridad de correo, recibir reportes DNS de telemetría y blindar tu marca contra el phishing.

Búsqueda de registros públicos DNS TXT mediante tecnología segura DoH.

¿Qué es DMARC (Domain-based Message Authentication, Reporting, and Conformance) y por qué es fundamental?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) es una potente política de seguridad y protocolo de **email authentication** publicado en los registros TXT de tu sistema DNS. Actúa como la capa superior de gobernanza de correo corporativo, vinculando y alineando los resultados obtenidos por las validaciones previas de **SPF** y **DKIM**.

Su función principal es dar instrucciones precisas y vinculantes a los servidores receptores (como Gmail, Outlook o Yahoo) sobre qué hacer exactamente cuando reciben un mensaje sospechoso que pretende provenir de tu empresa, pero que falla las pruebas de autenticidad. Sin una política DMARC activa, las firmas SPF y DKIM pierden gran parte de su efectividad defensiva.

Las 3 Políticas de Protección DMARC

A través de la etiqueta de política obligatoria p=, le indicas al destinatario de tu correo qué nivel de acción tomar ante mensajes no autorizados:

1. Monitoreo (p=none)

Es la política inicial recomendada. Los servidores de destino entregan los correos no verificados directamente a la bandeja de entrada, pero envían informes a tu dominio detallando la procedencia de esos mensajes. Sirve para analizar tu ecosistema de envíos sin arriesgar la pérdida de correos legítimos, aunque **no ofrece prevención activa contra el fraude**.

2. Cuarentena (p=quarantine)

Indica a los servidores receptores que, si un correo falla la autenticación, debe ser tratado con alta sospecha y enviado inmediatamente a la carpeta de correo no deseado o **Spam** del usuario. Representa un nivel de protección intermedia ideal durante la transición a la seguridad total.

3. Rechazo (p=reject)

Es el estándar de oro en seguridad. Instruye a los destinatarios a bloquear y descartar de inmediato cualquier correo electrónico no autenticado. El correo malicioso nunca llega a tus clientes o proveedores, garantizando la máxima **prevención de spoofing** y blindando tu identidad de marca por completo.

Importancia de DMARC para la Entregabilidad y Seguridad de Correo Corporativo

El uso periódico de un **DMARC checker** o **verificador DMARC** en tus auditorías de TI es vital para asegurar que no se produzcan bloqueos inesperados. Al mantener una política DMARC alineada en tus **DNS records**, tu negocio obtiene:

  • Prevención de Spoofing y Ransomware: Bloquea ataques avanzados en los que cibercriminales intentan utilizar tu dominio para enviar campañas fraudulentas a gran escala.
  • Mejora de la Entregabilidad (Email Deliverability): Los proveedores de correo confían plenamente en los dominios que adoptan políticas DMARC estrictas, lo que incrementa el éxito de colocación de tus mensajes de marketing y transaccionales en la bandeja principal.
  • Visibilidad Total con Reportes RUA: Te permite recolectar datos detallados en formato XML para auditar si hay proveedores legítimos mal configurados en tu empresa.

Ejemplo de Sintaxis DMARC para Bloqueo Total de Fraudes

Un registro DMARC bien estructurado y seguro se define de la siguiente manera:

v=DMARC1; p=reject; rua=mailto:reportes@inboxseguro.com; pct=100; aspf=r; adkim=r

Desglose de etiquetas esenciales:

  • 📌 v=DMARC1: Identifica la versión del protocolo (debe ser la primera etiqueta).
  • 📌 p=reject: Política estricta de rechazo de correos no autorizados.
  • 📌 rua=mailto:reportes@inboxseguro.com: Dirección donde se recibirán los informes agregados sobre el estado de la autenticación.
  • 📌 pct=100: Porcentaje de mensajes a los que se les aplica la política (100% recomendado).
  • 📌 aspf=r / adkim=r: Modo de alineación de SPF y DKIM (relajado por defecto, o estricto con 's').

Errores Frecuentes al Configurar DMARC

Nuestra experiencia como especialistas en entregabilidad nos demuestra que los siguientes fallos son muy habituales en organizaciones de LATAM:

1. Dejar la política en "none" para siempre

Establecer p=none sirve para recopilar reportes al inicio, pero si no escalas a quarantine o reject a mediano plazo, tu dominio seguirá estando desprotegido frente a ataques de suplantación.

2. Desalineación de Dominios (Domain Alignment Failures)

Para que DMARC apruebe un correo, el dominio del remitente visible (cabecera From) debe coincidir con el dominio utilizado por SPF (Return-Path) o por DKIM (firma d=). Si no están correctamente alineados, DMARC fallará aunque los registros individuales sean válidos.

Preguntas Frecuentes (FAQ) sobre el Verificador DMARC

¿DMARC funciona si no tengo SPF o DKIM configurados?

No de forma efectiva. DMARC requiere obligatoriamente apoyarse en los resultados de SPF o DKIM. Si implementas DMARC sin tener SPF o DKIM activos y alineados, todos tus correos legítimos podrían ser rechazados o enviados a spam al no poder verificarse.

¿Qué son los reportes agregados RUA y en qué se diferencian de RUF?

Los reportes **RUA** (Agregados) proveen estadísticas generales diarias sobre los servidores de correo que envían mensajes a tu nombre. Los reportes **RUF** (Forenses o a nivel de falla) son notificaciones en tiempo real que se envían ante cada correo específico que falla la autenticación (contienen detalles más invasivos y a veces información confidencial, por lo que muchos proveedores ya no los envían).

¿Cómo paso de p=none a p=reject de manera segura?

El proceso seguro recomendado consiste en: 1) Publicar p=none y analizar los reportes RUA durante varias semanas para identificar todos tus remitentes válidos. 2) Configurar SPF y DKIM para cada remitente legítimo. 3) Escalar gradualmente a p=quarantine con porcentajes parciales (ej: pct=25). 4) Finalmente, definir p=reject al 100%.