Ir al contenido principal

Herramienta gratuita de monitoring DMARC

Recibe, analiza y actúa sobre tus informes DMARC agregados

Publicas un registro DMARC, pero ¿realmente sabes lo que está pasando? Servicios legítimos fallan en el alineamiento SPF o DKIM. Terceros envían correo en nombre de tu dominio sin tu consentimiento. Sin monitoring DMARC, estás volando a ciegas. CaptainDNS recibe tus informes DMARC agregados automáticamente, analiza los resultados de autenticación SPF y DKIM, y te muestra exactamente quién envía correo por tu dominio, y si debería hacerlo.

Inicie sesión para gestionar sus dominios de monitorización DMARC

Inicie sesión para gestionar sus dominios de monitorización DMARC
Asistente de configuración inteligente

El asistente detecta tu registro DMARC actual: sin registro, existente con rua= o existente sin él. Genera el registro TXT exacto para crear o actualizar, preservando tu política (reject, quarantine, none).

Verificación de dominio compartida

Un solo registro TXT demuestra la propiedad del dominio en todos los servicios de CaptainDNS: monitoring DMARC, hosting MTA-STS, monitoring TLS-RPT y hosting BIMI.

Seguimiento del cumplimiento SPF/DKIM

Rastrea las puntuaciones de cumplimiento DMARC, las tasas de éxito SPF y DKIM, el alineamiento de identificadores y las disposiciones aplicadas por fuente. Identifica al instante remitentes legítimos mal configurados.

Ingesta de informes multiproveedor

Recibe informes DMARC agregados de Google, Microsoft, Yahoo, Apple y cualquier proveedor de correo compatible con DMARC vía HTTPS y email. Sin restricciones en las fuentes de informes.

Gestión multidominio

Monitorea informes DMARC de hasta 5 dominios desde un solo panel. Cada dominio tiene su propio colector de informes verificado y métricas de cumplimiento.

¿Por qué monitorear los informes DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance, RFC 7489) es el estándar de autenticación de correo que unifica SPF y DKIM para proteger tu dominio contra la suplantación de identidad y el phishing. Pero publicar un registro DMARC es solo el primer paso. Sin un monitoring continuo, no sabes:

  • Qué fuentes envían correo en nombre de tu dominio
  • Si tus flujos legítimos de correo pasan los controles SPF y DKIM con el alineamiento correcto
  • Si terceros no autorizados están explotando tu dominio para phishing o spam

Problemas frecuentes detectados mediante monitoring DMARC:

  • Remitentes de terceros mal configurados: un CRM, plataforma de newsletter o sistema de facturación envía correo por tu dominio sin alineamiento SPF o DKIM adecuado. Tus emails acaban en spam o son rechazados.
  • Suplantación de dominio y phishing: actores maliciosos falsifican tu dirección From para enviar emails de phishing. Sin monitoring, no tienes visibilidad sobre estos ataques.
  • Migraciones de correo incompletas: tras cambiar de proveedor de correo, el antiguo servicio sigue enviando correo sin alineamiento, arrastrando tu tasa de cumplimiento DMARC.
  • Servicios de correo no autorizados (shadow IT): departamentos usan servicios de correo que no autorizaste. Los informes DMARC revelan estos remitentes desconocidos.

Cómo funciona la autenticación DMARC

DMARC se basa en dos protocolos subyacentes: SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail). Cada uno autentica un aspecto diferente del correo:

ProtocoloQué verificaCómo funciona
SPFIP del remitente del sobreEl servidor receptor verifica si la IP del remitente está listada en el registro DNS SPF del dominio
DKIMIntegridad del mensajeUna firma criptográfica en el encabezado del correo se verifica contra una clave pública en DNS
DMARCAlineamiento de identificadoresVerifica que al menos SPF o DKIM pase y esté alineado con el dominio del encabezado From

El concepto clave es el alineamiento. SPF y DKIM pueden pasar ambos, pero si ninguno se alinea con el dominio del encabezado From, DMARC igualmente falla. Esta es la causa más común de fallos de autenticación, y la razón principal por la que el monitoring importa.

DMARC también define lo que los servidores receptores deben hacer cuando falla la autenticación: nada (p=none), poner en cuarentena el mensaje (p=quarantine) o rechazarlo (p=reject).

Cómo configurar el monitoring DMARC en 3 pasos

Paso 1: Agrega tu dominio y verifica la propiedad

Inicia sesión y registra el dominio que deseas monitorear. Agrega el registro TXT de verificación de CaptainDNS a tu DNS. Este sistema de verificación se comparte entre todos los servicios de CaptainDNS (hosting MTA-STS, monitoring TLS-RPT, hosting BIMI).

Paso 2: Configura tu registro DNS DMARC

El asistente analiza el estado DNS actual y propone el registro exacto a publicar:

  • Sin registro DMARC existente: se genera un registro completo con p=none y nuestra dirección rua=
  • Registro DMARC existente: tu política, configuración de alineamiento y direcciones rua= existentes se preservan; nuestra dirección se añade automáticamente
  • Registro existente inválido: el problema se señala y se propone un reemplazo limpio

Solo copia el host (_dmarc.tudominio.com) y el valor, luego pégalos en tu proveedor DNS.

Paso 3: Los informes se reciben y analizan automáticamente

Los proveedores de correo comienzan a enviar informes agregados en las siguientes 24 a 48 horas. CaptainDNS los ingiere, descomprime el XML, analiza los resultados de autenticación y muestra los hallazgos en tu panel: puntuaciones de cumplimiento, IPs de origen, tasas de éxito/fallo y disposiciones aplicadas.

Comprender los informes DMARC agregados

Los informes DMARC agregados (rua) son archivos XML enviados periódicamente (generalmente cada 24 horas) por proveedores de correo como Google, Microsoft, Yahoo y Apple. Describen los resultados de autenticación de cada fuente que envió correo usando tu dominio durante el período del informe.

RUA vs RUF: informes agregados vs informes de fallo

DMARC define dos tipos de informes:

Tipo de informeTagFrecuenciaContenidoSoporte de proveedores
Agregado (RUA)rua=Diario (generalmente cada 24h)Datos de autenticación resumidos por IP de origenAmpliamente soportado por todos los principales proveedores
Forense (RUF)ruf=Por falloDetalles de mensajes individuales incluyendo encabezadosMuy limitado (la mayoría de los proveedores no envían informes RUF por razones de privacidad)

CaptainDNS se centra en los informes agregados (RUA), que proporcionan los datos necesarios para el seguimiento del cumplimiento y la identificación de fuentes. Los informes forenses rara vez están disponibles en la práctica.

¿Qué contiene un informe DMARC agregado?

CampoDescripción
Organización emisoraEl proveedor de correo que generó el informe (Google, Microsoft, Yahoo, etc.)
Rango de fechasMarcas de tiempo de inicio y fin de la ventana de reporte
Política publicadaTu política DMARC (none, quarantine, reject) y los porcentajes aplicados
Resultados por IP de origenPara cada IP de envío: cantidad de mensajes, resultado SPF, resultado DKIM, estado de alineamiento, disposición aplicada
Identificadores de encabezadoDominio del encabezado From y dominios usados para la evaluación SPF y DKIM

Ejemplo de un informe DMARC agregado

Aquí tienes un extracto simplificado de un informe DMARC agregado en formato XML:

<?xml version="1.0" encoding="UTF-8"?>
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <date_range>
      <begin>1710201600</begin>
      <end>1710288000</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>example.com</domain>
    <p>none</p>
    <sp>none</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>203.0.113.1</source_ip>
      <count>1547</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <row>
      <source_ip>198.51.100.42</source_ip>
      <count>23</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>
</feedback>

La primera fila muestra 1.547 mensajes de una fuente legítima que pasa ambos controles. La segunda fila revela 23 mensajes de una IP desconocida que falla tanto SPF como DKIM, un posible intento de suplantación. CaptainDNS analiza estos informes automáticamente y presenta los datos en tu panel.

Referencia de tags del registro DMARC

Un registro TXT DMARC se publica en _dmarc.tudominio.com. Estos son los tags disponibles:

TagRequeridoEjemploDescripción
vv=DMARC1Versión del protocolo (siempre DMARC1)
pp=nonePolítica para el dominio: none, quarantine o reject
spNosp=rejectPolítica para subdominios (hereda de p si no se define)
ruaNorua=mailto:reports@example.comDónde enviar los informes agregados
rufNoruf=mailto:forensics@example.comDónde enviar los informes de fallo
adkimNoadkim=sModo de alineamiento DKIM: r (relajado, por defecto) o s (estricto)
aspfNoaspf=rModo de alineamiento SPF: r (relajado, por defecto) o s (estricto)
pctNopct=50Porcentaje de mensajes sujetos a la política (por defecto 100)
foNofo=1Opciones de informes forenses: 0 (por defecto), 1, d, s
riNori=86400Intervalo de reporte en segundos (por defecto 86400 = 24h)

Usa nuestro Generador DMARC para crear un registro válido, o el Verificador de sintaxis DMARC para validar uno existente.

Del monitoring a la aplicación: el camino hacia p=reject

DMARC es más efectivo con p=reject, donde los mensajes suplantados se descartan por completo. Pero pasar directamente a reject sin monitoring es peligroso: los remitentes legítimos con autenticación mal configurada verán su correo bloqueado.

Progresión recomendada:

  1. p=none (solo monitoring): recopila informes durante 2 a 4 semanas. Identifica todas las fuentes legítimas y corrige cualquier problema de alineamiento SPF/DKIM. Objetivo: tasa de cumplimiento superior al 95%.

  2. p=quarantine (aplicación parcial): los mensajes que fallan se envían a spam en lugar de la bandeja de entrada. Usa pct=25 inicialmente, luego aumenta al 50% y 100% durante 2 a 4 semanas. Monitorea si correo legítimo está siendo puesto en cuarentena.

  3. p=reject (aplicación total): los mensajes que fallan se descartan. La suplantación de dominio queda completamente bloqueada. Empieza con pct=25, luego aumenta hasta el 100%.

Plazo: La mayoría de las organizaciones completan este proceso en 4 a 8 semanas. No te apresures. Cada etapa debe confirmar que ningún flujo de correo legítimo se ve afectado.

Alcanzar p=reject también desbloquea BIMI (Brand Indicators for Message Identification), que muestra el logotipo de tu marca junto a tus emails en los buzones compatibles.

Requisitos DMARC de Google y Yahoo

Desde febrero de 2024, Google y Yahoo aplican requisitos de autenticación de correo más estrictos para los remitentes masivos (5.000+ mensajes por día a direcciones Gmail o Yahoo):

  • Registro DMARC obligatorio: los remitentes masivos deben publicar un registro DMARC con al menos p=none
  • SPF y DKIM obligatorios: ambos protocolos deben estar configurados, no solo uno
  • Alineamiento obligatorio: el dominio del encabezado From debe estar alineado con SPF o DKIM
  • Desuscripción en un clic: los emails de marketing deben soportar la desuscripción en un clic según RFC 8058

El monitoring DMARC es esencial para cumplir estos requisitos. Sin él, no puedes verificar que tus fuentes de correo pasan los controles de autenticación ni mantener la tasa de cumplimiento requerida. Los remitentes no conformes arriesgan que Google y Yahoo limiten o rechacen su correo.

Fallos DMARC comunes y cómo corregirlos

FalloCausaSolución
Fallo de alineamiento SPFEl dominio del remitente del sobre difiere del dominio del encabezado FromConfigura el servicio de terceros para usar tu dominio como remitente del sobre, o agrega sus IPs de envío a tu registro SPF
Fallo de alineamiento DKIMLa firma DKIM usa un dominio diferente al del encabezado FromConfigura la firma DKIM con tu dominio (no el dominio predeterminado del proveedor)
SPF excede el límite de consultas DNSEl registro SPF tiene más de 10 consultas DNSAplana tu registro SPF o elimina includes no utilizados. Usa nuestro Verificador de sintaxis SPF
Remitente de terceros falla en ambosEl servicio envía en tu nombre sin SPF ni DKIMAgrega las IPs del servicio a tu registro SPF y configura la firma DKIM
Suplantación de subdominiosLos atacantes usan subdominios que no has protegidoAgrega sp=reject a tu registro DMARC para aplicar la política reject a todos los subdominios
Fallo en correo reenviadoEl reenvío de correo rompe SPF; DKIM sobrevive si el cuerpo no se modificaAsegúrate de que DKIM esté configurado, sobrevive al reenvío. Considera el soporte ARC (Authenticated Received Chain)

Casos de uso reales

Caso 1: Identificar un servicio de terceros mal configurado

Síntoma: La tasa de cumplimiento DMARC cae del 98% al 72% en una semana.

Diagnóstico: El panel muestra una nueva IP de origen enviando un volumen significativo sin alineamiento DKIM. Se trata del nuevo CRM de marketing, configurado sin firma DKIM para tu dominio.

Acción: Configura la firma DKIM en el CRM. La tasa de cumplimiento se recupera en los informes siguientes.

Caso 2: Detectar suplantación de dominio

Síntoma: IPs de origen desconocidas aparecen en los informes, enviando correo en nombre de tu dominio con fallo total en SPF y DKIM.

Diagnóstico: Los informes DMARC revelan intentos de phishing desde servidores en jurisdicciones sospechosas. Tu política p=none deja pasar estos mensajes.

Acción: Cambia progresivamente tu política de p=none a p=quarantine y luego a p=reject. Los informes siguientes confirman que los mensajes fraudulentos están siendo rechazados.

Caso 3: Cumplir los requisitos de remitentes masivos de Google

Síntoma: Gmail comienza a aplazar tus emails de marketing con errores temporales 4xx. Las tasas de entrega caen.

Diagnóstico: El monitoring DMARC muestra que tu plataforma de newsletter envía correo sin alineamiento DKIM con el dominio del encabezado From. La política de remitentes masivos de Google exige cumplimiento de autenticación.

Acción: Configura la firma DKIM para tu dominio en la plataforma de newsletter y verifica el alineamiento a través de los informes DMARC. Las tasas de entrega vuelven a la normalidad en días.

FAQ - Preguntas frecuentes

P: ¿Qué es el monitoring DMARC?

R: El monitoring DMARC consiste en recibir y analizar los informes agregados (rua) enviados por los proveedores de correo. Estos informes muestran qué fuentes envían correo en nombre de tu dominio y si pasan los controles SPF y DKIM con el alineamiento correcto.

P: ¿Cuál es la diferencia entre los informes agregados DMARC (RUA) y los informes de fallo (RUF)?

R: Los informes agregados (rua) se envían diariamente y contienen datos de autenticación resumidos por IP de origen. Los informes de fallo (ruf) se envían por cada fallo individual e incluyen más detalle, como los encabezados del mensaje. La mayoría de los proveedores solo envían informes agregados. CaptainDNS se centra en el análisis de informes agregados.

P: ¿Cómo funciona DMARC con SPF y DKIM?

R: DMARC se basa en SPF y DKIM añadiendo el alineamiento de identificadores. SPF valida la IP del remitente del sobre, DKIM valida una firma criptográfica, y DMARC verifica que al menos uno pase con alineamiento al dominio del encabezado From. El monitoring revela cuándo falla el alineamiento.

P: ¿Con qué política DMARC debería empezar?

R: Empieza con p=none para monitorear sin afectar la entrega del correo. Una vez que tu tasa de cumplimiento DMARC esté consistentemente por encima del 95%, pasa a p=quarantine. Tras confirmar que ningún correo legítimo se ve afectado, establece p=reject para una protección total contra la suplantación.

P: ¿Cómo configuro el monitoring DMARC?

R: Agrega tu dominio en CaptainDNS, verifica la propiedad mediante el registro TXT y luego sigue el asistente de configuración que detecta tu registro DMARC actual y propone la actualización exacta necesaria. Los informes comienzan a llegar en las siguientes 24 a 48 horas.

P: ¿El monitoring DMARC es gratuito con CaptainDNS?

R: Sí, completamente gratuito para hasta 5 dominios. Sin costes ocultos, sin período de prueba. Cada dominio debería poder monitorear sus informes DMARC agregados independientemente del presupuesto.

P: ¿Google y Yahoo exigen DMARC?

R: Sí. Desde febrero de 2024, Google y Yahoo exigen a los remitentes masivos (5.000+ mensajes por día) que publiquen un registro DMARC. El monitoring te ayuda a cumplir y mantener estos requisitos rastreando el cumplimiento de autenticación.

P: ¿Qué ocurre si establezco mi política DMARC en reject?

R: Con p=reject, los servidores receptores descartan los mensajes que fallan tanto en el alineamiento SPF como DKIM. Esto previene completamente la suplantación de dominio, pero puede bloquear correo legítimo si los remitentes de terceros no están correctamente configurados. Siempre monitorea primero con p=none.

P: ¿Cuánto tiempo tarda en recibir informes DMARC?

R: La mayoría de los proveedores de correo envían informes agregados cada 24 horas. Tras publicar tu dirección rua=, espera los primeros informes en las siguientes 24 a 48 horas dependiendo de tu volumen de correo.

P: ¿Cuál es la relación entre el monitoring DMARC y un registro DMARC?

R: El registro DMARC define tu política de autenticación (none, quarantine, reject) y el tag rua= especifica dónde enviar los informes. El monitoring DMARC analiza esos informes para mostrarte quién usa tu dominio y si la autenticación funciona correctamente.

Herramientas complementarias

HerramientaUtilidad
Verificación de registro DMARCVerificar el registro DMARC DNS de tu dominio
Generador DMARCGenerar un registro DNS DMARC
Verificación de sintaxis DMARCValidar la sintaxis de un registro DMARC
Verificación de registro SPFVerificar tu registro DNS SPF
Verificación de registro DKIMVerificar tu registro DNS DKIM
Hosting MTA-STSAlojar gratuitamente tu política MTA-STS
Monitoring TLS-RPTSupervisar los informes SMTP TLS
Hosting BIMIAlojar gratuitamente tu logotipo y certificado BIMI

Recursos útiles