Definición
DMARC (Domain-based Message Authentication, Reporting, and Conformance) es un mecanismo escalable de autenticación de email que permite al dueño de un dominio publicar una política machine-readable en DNS, declarando qué deben hacer los servidores receptores cuando un mensaje entrante falla los chequeos de alineamiento SPF o DKIM, y permitiendo a esos servidores enviar reportes estructurados de vuelta al dueño. Los tres valores de política de DMARC —none, quarantine y reject— le dan al dueño del dominio control gradual sobre cómo se trata el correo no autenticado que pretende venir de su dominio.
DMARC se desarrolló colaborativamente por un grupo de actores de la industria que incluyó a PayPal, Google, Microsoft, Yahoo, ReturnPath y otros stakeholders del ecosistema, y se publicó por primera vez como IETF RFC 7489 en marzo de 2015. La especificación la mantiene el grupo de trabajo de DMARC.org. Extiende y coordina dos estándares previos de autenticación: SPF (RFC 7208) y DKIM (RFC 6376), que usa como señales de entrada pero no reemplaza.
Cómo funciona
Una política DMARC se publica como registro DNS TXT en _dmarc.<dominio>. Un registro representativo se ve así: v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; adkim=s; aspf=s. Los tags clave son:
v=DMARC1: identificador de versiónp=: política:none(solo monitorear),quarantine(entregar a spam/junk) oreject(descartar el mensaje por completo)rua=: URI destino para reportes agregados; recibe resúmenes XML diarios de resultados de autenticación de los proveedores de bandeja participantesruf=: URI destino para reportes forenses; recibe reportes redactados a nivel mensaje para fallos individualespct=: porcentaje de mensajes a los que aplica la política (permite rollout gradual)adkim=yaspf=: modo de alineamiento:s(estricto, requiere coincidencia exacta) or(relajado, permite matching de subdominio)
La innovación crítica que introduce DMARC es el alineamiento de identificador. Un pase SPF o un pase DKIM solo se considera DMARC-compliant si el dominio autenticado se alinea con el dominio del header RFC5322.From: la dirección “From:” que ven los usuarios. Eso cierra el hueco que dejan SPF y DKIM operando independientemente: un mensaje puede pasar SPF en un dominio distinto (el envelope sender) y pasar DKIM por un dominio firmante de terceros y aun así ser fraudulento si el header From muestra otro dominio. DMARC requiere que al menos uno de SPF o DKIM produzca un pase alineado.
Los reportes agregados (RUA) se entregan como archivos XML comprimidos, típicamente dentro de las 24 horas de cierre del período de reporte, por proveedores de bandeja como Google (Gmail), Microsoft (Outlook/Exchange Online Protection), Yahoo Mail, Apple iCloud Mail, Comcast y otros. Estos reportes contienen conteos por IP de origen, resultados SPF, resultados DKIM y disposición DMARC. Herramientas como DMARCIAN, Valimail, Postmark DMARC Digests y Google Postmaster Tools proveen dashboards que parsean y visualizan estos reportes.
Dónde aparece
DMARC se encuentra donde haya envíos de email de alto volumen o stakes elevados. Desde febrero de 2024, Google y Yahoo exigen ambos a remitentes con más de 5.000 mensajes diarios a Gmail o Yahoo Mail tener un registro DMARC publicado con al menos p=none: un cambio significativo de política de industria que hizo a DMARC efectivamente obligatorio para envíos masivos. Microsoft anunció requisitos similares para Outlook.com en 2025.
Para plataformas de concurso que despachan correos de confirmación a escala, DMARC cumple dos roles. Primero, protege la reputación del dominio remitente al instruir a los servidores receptores rechazar mensajes falsificados, evitando que un tercero falsifique la dirección From de la plataforma en campañas de phishing que dañarían la entregabilidad. Segundo, los reportes agregados de DMARC proveen un canal operativo de monitoreo: el dueño puede ver, a través de los proveedores participantes, qué fracción de los mensajes salientes está pasando SPF y DKIM y detectar mala configuración de infraestructura antes de que cause fallos masivos en correos de confirmación.
Los proveedores de email como SendGrid, Mailgun, Amazon SES, Postmark y SparkPost publican guías para configurar DMARC junto a su propia infraestructura de envío. Herramientas DNS como MXToolbox DMARC Lookup, DMARC Inspector de DMARCIAN y el record checker de EasyDMARC permiten validar políticas publicadas.
Ejemplos prácticos
Una empresa de concursos empieza a enviar correos de confirmación usando un nuevo subdominio confirm.votes.example.com. El dominio padre votes.example.com tiene p=reject en su DMARC. Como los registros SPF y DKIM del nuevo subdominio aún no están configurados, los correos de confirmación fallan el alineamiento DMARC y son rechazados por Gmail. El admin diagnostica el issue a través de los datos agregados que muestran 100% de fallo DMARC en el subdominio, agrega los registros DNS apropiados de SPF include y selector DKIM, y resetea la política DMARC del subdominio (sp=none) temporariamente durante el rollout.
Una marca corre un concurso de envío de fotos con premios totales de USD 50.000. Un estafador intenta mandar correos de phishing usando el dominio del concurso como dirección From, dirigiendo a votantes a una página de confirmación falsa para cosechar credenciales. Como la política DMARC del dominio es p=reject, Gmail, Outlook y Yahoo Mail descartan los mensajes fraudulentos antes de la entrega, protegiendo a los participantes y a la reputación del remitente.
Conceptos relacionados
DMARC depende de Registro SPF y DKIM como sus inputs de autenticación: un pase DMARC requiere al menos uno de los dos alineado con el dominio del header From. Para operaciones de concurso, el efecto combinado de SPF, DKIM y DMARC sobre el inbox placement es el factor técnico primario que determina si los mensajes de Voto con confirmación por correo llegan a las bandejas de los votantes. El estándar BIMI, que permite mostrar el logo de la marca en clientes de inbox como indicador de confianza, requiere una política DMARC p=quarantine o p=reject como prerrequisito.
