← RFC Reference

DMARC — Autenticación, Informes y Conformidad Basados en Dominio

Informational Email Authentication Published March 2026
ELI5: [SPF](spf) verifica la dirección de retorno en el sobre. [DKIM](dkim) verifica el sello de cera en la carta. Pero ninguno de los dos confirma que el nombre en el membrete (la dirección `From:` que ve el usuario) coincida con la identidad verificada. DMARC es la regla que dice: "El nombre en el membrete debe coincidir con la dirección de retorno del sobre o con el sello de cera — y si no coincide, aquí está lo que hay que hacer con la carta."

Por qué Existe Este RFC

SPF y DKIM son potentes, pero cada uno tiene una brecha crítica. SPF valida el dominio del remitente de la envoltura, que los usuarios nunca ven. DKIM valida cualquier dominio que el firmante haya elegido, que puede ser el dominio de un ESP en lugar del remitente visible. Ninguno de los dos, solo, impide que un atacante suplante el encabezado From: que los usuarios realmente leen.

DMARC cierra esta brecha introduciendo dos conceptos:

  1. Alineación de identificadores: Al menos uno de SPF o DKIM debe pasar y su dominio autenticado debe alinearse con el dominio del encabezado From:.
  2. Política del propietario del dominio: El propietario del dominio publica un registro DNS declarando qué deben hacer los receptores cuando la alineación falla: monitorear (p=none), cuarentena (p=quarantine), o rechazar (p=reject).

DMARC también define un mecanismo de informes agregados, permitiendo que los propietarios de dominios reciban informes XML diarios mostrando cómo su dominio está siendo utilizado (y abusado) en toda la internet.

Cómo Funciona

El Flujo de Evaluación DMARC

  1. Un mensaje llega con From: user@example.com.
  2. El receptor verifica SPF contra el dominio del remitente de la envoltura. Si SPF pasa y el dominio de la envoltura coincide con example.com (o un subdominio, dependiendo del modo de alineación), SPF está "alineado".
  3. El receptor verifica DKIM. Si una firma válida tiene d=example.com (o un subdominio), DKIM está "alineado".
  4. Si al menos uno de SPF o DKIM está pasando y alineado, DMARC pasa.
  5. Si DMARC falla, el receptor consulta _dmarc.example.com por la política y la aplica.

Registro DNS DMARC

_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-forensic@example.com; adkim=r; aspf=r; pct=100"

Alineación en la Práctica

# Mensaje llega:
# Envoltura: MAIL FROM:<bounce@mail.example.com>
# Encabezado: From: sales@example.com
# Firma DKIM: d=example.com

# Verificación SPF:
Dominio SPF: mail.example.com (de la envoltura)
Dominio From: example.com
Alineación SPF (relajada): mail.example.com <-> example.com = PASS (mismo dominio de organización)

# Verificación DKIM:
Dominio DKIM d=: example.com
Dominio From: example.com
Alineación DKIM: example.com <-> example.com = PASS (coincidencia exacta)

Resultado DMARC: PASS (SPF y DKIM alineados)

Detalles Técnicos Clave

Etiquetas de Política

Etiqueta Valores Descripción
v DMARC1 Versión (requerida, debe ser primera)
p none, quarantine, reject Política para el dominio (requerida)
sp none, quarantine, reject Política para subdominios (por defecto es p)
rua mailto: URI(s) Dónde enviar informes agregados (separados por comas)
ruf mailto: URI(s) Dónde enviar informes forenses/de fallos
adkim r (relajada), s (estricta) Modo de alineación DKIM. Relajada permite subdominios.
aspf r (relajada), s (estricta) Modo de alineación SPF. Relajada permite subdominios.
pct 0–100 Porcentaje del correo fallido al que aplicar política (para implementación gradual)
fo 0, 1, d, s Opciones de informes de fallos

Modos de Alineación

Alineación relajada (por defecto, adkim=r / aspf=r): El dominio autenticado y el dominio From: comparten el mismo dominio organizacional. Por ejemplo, mail.example.com se alinea con example.com.

Alineación estricta (adkim=s / aspf=s): El dominio autenticado debe coincidir exactamente con el dominio From:. mail.example.com no se alinea con example.com.

Informes Agregados (rua)

Los receptores que soportan DMARC envían informes agregados diarios en formato XML a la dirección rua. Estos informes contienen:

Estos informes son invaluables para descubrir remitentes no autorizados, identificar fuentes legítimas mal configuradas y construir confianza antes de endurecer su política de none a reject.

Verificación de Destino Externo

Si su dirección rua o ruf está en un dominio diferente (por ejemplo, rua=mailto:reports@analytics.com), el dominio receptor debe publicar un registro DNS autorizándolo:

example.com._report._dmarc.analytics.com. IN TXT "v=DMARC1"

Sin este registro, los remitentes de informes no entregarán informes a la dirección externa, como protección contra el uso de informes DMARC como vector de denegación de servicio.

Errores Comunes

Impacto en Entrega

Related RFCs