Iniciar sesión
CaptainDNS

Propagación y diagnósticos

Compara resolutores públicos y analiza las respuestas devueltas.

Autenticación de correo

Herramientas para verificar y validar la autenticación de tu correo.

Validador de sintaxis SPF

Revisa las cadenas include, el orden de los mecanismos y el límite de 10 consultas DNS antes de publicar cambios.

Inspector de registros SPF

Resuelve el TXT publicado, detecta límites de consultas y examina cada mecanismo con detalle.

Validador de sintaxis DKIM

Comprueba rápidamente la sintaxis de tus registros DKIM.

Verificación de registro DKIM

Resuelve un selector y analiza el registro TXT DKIM publicado.

Validador de sintaxis DMARC

Comprueba los destinos rua/ruf, los modos de alineación y la política activa antes de publicarla.

Inspector de registros DMARC

Resuelve la política publicada, revisa los diagnósticos y confirma la aplicación antes de activar el rechazo.

Validador de sintaxis BIMI

Valida las etiquetas BIMI, el logotipo y el certificado VMC antes de publicarlo.

Inspector de registros BIMI

Resuelve el registro BIMI publicado y revisa los diagnósticos de logo y VMC en un solo lugar.

Auditoría de entregabilidad de email

Analiza MX, SPF, DKIM y DMARC para confirmar que un dominio está listo para enviar.

Analizador de encabezados

Descifra participantes, resultados SPF/DKIM/DMARC y el recorrido del mensaje a partir de los encabezados brutos.

Generador de registros DMARC

Crea registros DMARC conformes con todas las opciones de política y reporte.

Texto

Transforma, codifica y mide tus textos al instante.

Convertidor de mayúsculas/minúsculas

Convierte cualquier bloque de texto a minúsculas o mayúsculas al instante.

Codificador / decodificador Base64

Codifica o decodifica contenido Base64 sin salir del navegador.

Generador de slug

Convierte cualquier titular en un slug optimizado para SEO en segundos.

Contador de palabras y caracteres

Calcula al instante cuántas palabras y caracteres contiene cualquier texto.

Imágenes

Previsualiza y valida tus logos BIMI antes de publicarlos.

Inspector de logo BIMI

Analiza la URL de un logo BIMI, su formato, metadatos y visualización.

Certificados

Analiza tus CSR, logotipos BIMI y certificados VMC antes del despliegue.

Analizador de CSR

Analiza un CSR, extrae los datos del sujeto, las huellas y los SAN solicitados.

Inspector VMC

Revisa un Verified Mark Certificate: entidad emisora, validez y SAN antes de publicar BIMI.

IP

Consulta direcciones, propietarios, registros inversos y rangos.

Búsqueda inversa

Resuelve un registro PTR y verifica la coherencia DNS.

WhoIs IP

Identifica al propietario de un rango IP y sus contactos.

Máscara IPv4

Calcula la red, el broadcast y los hosts utilizables de cualquier bloque IPv4.

Mi dirección IP

Detecta tus direcciones IPv4/IPv6 y su geolocalización.

ARC: conservar la confianza de un correo cuando pasa por intermediarios

Por CaptainDNS
Publicado el 23 de octubre de 2025

  • #Email
  • #ARC
  • #SPF
  • #DKIM
  • #DMARC
  • #Seguridad

En pocas palabras: ARC (Authenticated Received Chain) es un estándar que permite a los relays (listas de distribución, pasarelas antispam, redirecciones, etc.) preservar y sellar los resultados de autenticación (SPF, DKIM, DMARC) que observaron. Así, el destinatario puede decidir con criterio si confía en el mensaje aunque SPF/DKIM fallen legítimamente tras una modificación o redirección.

Diagrama: recorrido de un correo y sellos ARC añadidos en cada relay

¿Por qué necesitamos ARC?

Sin ARC, un mensaje legítimo puede ser rechazado después de reenviarse:

  • SPF falla porque la IP emisora pasa a ser la del relay;
  • la firma DKIM original puede invalidarse si el relay modifica encabezados o cuerpo (banner, footer, marcado antispam);
  • como consecuencia, DMARC falla en el destinatario aun cuando el correo era correcto en origen.

ARC permite que el relay declare: «Recibí un mensaje que aprobó SPF/DKIM/DMARC; aquí están mis resultados y los estoy firmando
El servidor final revisa la cadena de sellos para decidir si el correo sigue siendo confiable.

¿Cómo funciona ARC? (visión general)

En cada relay se añaden tres encabezados ARC con un índice i=1, i=2, …:

  1. ARC-Authentication-Results (AAR) — copia los resultados SPF/DKIM/DMARC tal como los vio el relay.
  2. ARC-Message-Signature (AMS) — firma criptográfica del mensaje según lo observó el relay (análogo a DKIM).
  3. ARC-Seal (AS) — un sello que firma el conjunto (AAR + AMS + sellos previos) para encadenar la confianza.

Los tres encabezados ARC y su función (AAR, AMS, AS)

Ejemplo de encabezados ARC (simplificado)

ARC-Seal: i=1; a=rsa-sha256; d=relay.example.net; s=arc1; cv=none; b=...
ARC-Message-Signature: i=1; a=rsa-sha256; d=relay.example.net; s=arc1; h=from:to:subject:date:message-id; bh=...; b=...
ARC-Authentication-Results: i=1; relay.example.net; spf=pass smtp.mailfrom=example.org; dkim=pass header.d=example.org; dmarc=pass header.from=example.org
  • i=: posición en la cadena (1 en el primer relay, luego +1 por salto).
  • d= / s=: dominio y selector (como en DKIM) usados para publicar la clave pública en DNS.
  • cv= (en ARC-Seal): Chain Validation declarada por el relay para la cadena que ve; valores comunes: none, pass, fail.
  • h=, bh=, b=: campos típicos de la firma (lista de encabezados firmados, hash del cuerpo, firma).

«Veo encabezados ARC sin redirección, ¿es normal?»

Sí. Muchos proveedores grandes (webmail, suites colaborativas, pasarelas de seguridad) firman de forma sistemática el tráfico entrante con ARC.
Objetivos: fijar un punto de verdad interno, rastrear el paso por su infraestructura y facilitar reenvíos posteriores sin perder confianza.

¿Cómo evalúa el destinatario la cadena ARC?

  1. Verificar todas las firmas ARC-Message-Signature y ARC-Seal, empezando por el i más alto.
  2. Comprobar la continuidad: que no falte ningún i y que cada sello cubra a los anteriores.
  3. Revisar cv= en el último ARC-Seal (lo que el firmante declara sobre la cadena).
  4. Cruzar con DMARC: si los SPF/DKIM actuales fallan, decidir si se da crédito a los resultados registrados en ARC-Authentication-Results de confianza.

Importante: ARC no obliga a aceptar un mensaje; ofrece contexto verificable para que el destinatario tome una decisión más afinada.

Leyenda de los valores cv=none/pass/fail en ARC-Seal

Buenas prácticas (lado operador)

  • Firmar y validar ARC en tus relays (listas, alias, pasarelas de seguridad).
  • Conservar los encabezados ARC existentes; no elimines sellos válidos.
  • Gestionar tus claves (rotación, TTL de DNS, supervisión de fallos de verificación).
  • Limitar los cambios del mensaje una vez sellado (banners, reescrituras) o volver a sellar tras modificarlo.
  • Registrar las decisiones DMARC influenciadas por ARC para medir su impacto.

Errores frecuentes

  • Añadir un ARC-Authentication-Results sin ARC-Message-Signature y ARC-Seal.
  • Romper la cadena (índices i duplicados/omitidos, sello que no cubre al anterior).
  • Confiar a ciegas en cualquier dominio d= desconocido. La reputación del firmante importa.

Preguntas frecuentes

¿ARC reemplaza DKIM/DMARC?
No. Complementa SPF/DKIM/DMARC preservando los resultados observados por los relays.

¿Quién puede añadir ARC?
Cualquier intermediario de transporte (MTA, pasarela, servicio de correo) que maneje el mensaje.

¿Qué significa exactamente cv=?
Es la declaración del firmante sobre el estado de la cadena que ve: none (sin cadena previa), pass (cadena coherente y verificable), fail (cadena inválida). El destinatario realiza su propia validación.

¿Por qué el mismo mensaje tiene varios i=?
Cada relay incrementa i y añade su propio triplete AAR/AMS/AS.

Para profundizar

Hoja rápida

  • Objetivo: preservar y sellar los resultados SPF/DKIM/DMARC a través de los relays.
  • 3 encabezados: ARC-Authentication-Results (resultados) + ARC-Message-Signature (firma del mensaje) + ARC-Seal (sello de cadena).
  • Decisión del destinatario: firmas válidas + reputación del firmante + política DMARC interna.
¿Qué es ARC (Authenticated Received Chain)?