← RFC Reference

RFC 6591: Informe de Fallos de Autenticación (AFRF)

Current Standard Abuse Reporting & Feedback Published March 2026
ELI5: Cuando alguien falsifica tu dominio en un correo electrónico y falla en las verificaciones de autenticación (SPF, DKIM, DMARC), el servidor receptor puede enviarte un informe detallado del incidente. RFC 6591 define el formato para ese informe — extiende el formato de denuncia de spam estándar ([ARF](5965)) con campos adicionales específicos para fallos de autenticación.

Por qué existe

Los mecanismos de autenticación de correo electrónico como SPF, DKIM y DMARC detectan mensajes falsificados o no autorizados. Cuando estas verificaciones fallan, el servidor receptor toma medidas (rechazar, poner en cuarentena o permitir). Pero el propietario del dominio — el que está siendo falsificado — necesita saber sobre estos fallos para:

Los informes agregados de DMARC (rua) proporcionan resúmenes estadísticos, pero no incluyen detalles de mensajes. Los informes forenses de DMARC (ruf) utilizan el formato AFRF definido por esta RFC para proporcionar detalle por mensaje: los encabezados reales, los resultados de autenticación y la razón de fallo específica.

RFC 6591 extiende RFC 5965 (ARF) al agregar el tipo de informe Feedback-Type: auth-failure y definir campos adicionales para datos específicos de autenticación.

Cómo funciona

Un informe AFRF es un mensaje ARF (multipart/report con report-type=feedback-report) donde la parte legible por máquina utiliza Feedback-Type: auth-failure e incluye campos específicos de autenticación.

Ejemplo de informe AFRF

From: dmarc-reporter@receiver.example.com
To: dmarc-ruf@example.com
Subject: Auth failure report for example.com
MIME-Version: 1.0
Content-Type: multipart/report; report-type=feedback-report;
    boundary="AFRF-BOUNDARY-001"

--AFRF-BOUNDARY-001
Content-Type: text/plain

Authentication failure report for a message claiming
to be from example.com, received from IP 192.0.2.55.

--AFRF-BOUNDARY-001
Content-Type: message/feedback-report

Feedback-Type: auth-failure
User-Agent: Receiver-DMARC/2.0
Version: 1
Original-Mail-From: spoofed@example.com
Arrival-Date: Tue, 10 Mar 2026 16:42:00 -0500
Source-IP: 192.0.2.55
Auth-Failure: dmarc
Authentication-Results: receiver.example.com;
    dkim=fail header.d=example.com;
    spf=fail smtp.mailfrom=spoofed@example.com;
    dmarc=fail header.from=example.com
Reported-Domain: example.com
DKIM-Domain: example.com
Delivery-Result: reject

--AFRF-BOUNDARY-001
Content-Type: text/rfc822-headers

From: ceo@example.com
To: finance@receiver.example.com
Subject: Urgent wire transfer needed
Message-ID: <fake-msg-001@192.0.2.55>
DKIM-Signature: v=1; a=rsa-sha256; d=example.com;
    s=selector1; b=INVALID...

--AFRF-BOUNDARY-001--

Detalles técnicos clave

Campos agregados por RFC 6591

Estos campos aparecen en la parte message/feedback-report junto con los campos ARF estándar:

Campo Requerido Descripción
Auth-Failure Tipo de fallo de autenticación: adsp, bodyhash, dkim, dmarc, iprev, sender, spf
Delivery-Result No Qué pasó con el mensaje: delivered, spam, policy, reject, other
DKIM-Domain No El valor d= de la firma DKIM que falló
DKIM-Identity No El valor i= de la firma DKIM que falló
DKIM-Selector No El valor s= de la firma DKIM que falló
Authentication-Results No Resultados de autenticación completos según RFC 8601
Reported-Domain No El dominio cuya política de autenticación fue violada

Valores de Auth-Failure

Valor Significado
dmarc La evaluación de la política DMARC falló (ni SPF ni DKIM alineados)
dkim La verificación de la firma DKIM falló
spf La verificación SPF falló para el remitente del sobre
bodyhash El hash del cuerpo DKIM no coincidió (el cuerpo del mensaje fue modificado en tránsito)
iprev La verificación de DNS inverso en la IP de envío falló
sender La verificación del encabezado Sender falló
adsp La verificación de DKIM ADSP falló (heredado; raramente utilizado)

Relación con la informática de DMARC

DMARC (RFC 7489) define dos direcciones de informe en su registro DNS:

En la práctica, la informática forense a través de ruf tiene una adopción limitada. Muchos proveedores grandes de buzones (Gmail, Yahoo) no envían informes forenses debido a preocupaciones de privacidad. Los que lo hacen a menudo redactan el cuerpo del mensaje y la dirección del destinatario. Los informes agregados (rua) siguen siendo la fuente principal de retroalimentación de DMARC.

Errores comunes

Impacto en la entregabilidad

Related RFCs