DMARC
¿Qué es DMARC?
DMARCEstándar de autenticación de correo definido en el RFC 7489 que permite al propietario del dominio publicar una política indicando a los receptores qué hacer con los mensajes que fallen SPF/DKIM y alineamiento.
DMARC (Domain-based Message Authentication, Reporting and Conformance), especificado en el RFC 7489, se apoya en SPF (RFC 7208) y DKIM (RFC 6376) exigiendo alineamiento entre el dominio del From: y el dominio autenticado por SPF o DKIM. El titular publica un registro TXT en _dmarc.example.com con la política (p=none, quarantine o reject), tratamiento de subdominios, modo de alineamiento, porcentaje y URIs de informes (rua, ruf). Los receptores envían informes agregados (RFC 7489) y forenses (RFC 6591) que los operadores analizan para legitimar los orígenes antes de aplicar reject. DMARC frena el spoofing directo del dominio, habilita BIMI y es obligatorio en las reglas de remitentes masivos adoptadas en 2024 por Yahoo y Google.
● Ejemplos
- 01
Publicar v=DMARC1; p=reject; rua=mailto:dmarc@example.com para imponer autenticación estricta en example.com.
- 02
Usar los informes XML agregados para descubrir y autenticar una plataforma de marketing olvidada antes de pasar de p=none a p=reject.
● Preguntas frecuentes
¿Qué es DMARC?
Estándar de autenticación de correo definido en el RFC 7489 que permite al propietario del dominio publicar una política indicando a los receptores qué hacer con los mensajes que fallen SPF/DKIM y alineamiento. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa DMARC?
Estándar de autenticación de correo definido en el RFC 7489 que permite al propietario del dominio publicar una política indicando a los receptores qué hacer con los mensajes que fallen SPF/DKIM y alineamiento.
¿Cómo funciona DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance), especificado en el RFC 7489, se apoya en SPF (RFC 7208) y DKIM (RFC 6376) exigiendo alineamiento entre el dominio del From: y el dominio autenticado por SPF o DKIM. El titular publica un registro TXT en _dmarc.example.com con la política (p=none, quarantine o reject), tratamiento de subdominios, modo de alineamiento, porcentaje y URIs de informes (rua, ruf). Los receptores envían informes agregados (RFC 7489) y forenses (RFC 6591) que los operadores analizan para legitimar los orígenes antes de aplicar reject. DMARC frena el spoofing directo del dominio, habilita BIMI y es obligatorio en las reglas de remitentes masivos adoptadas en 2024 por Yahoo y Google.
¿Cómo defenderse de DMARC?
Las defensas contra DMARC combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para DMARC?
Nombres alternativos comunes: Autenticación, informes y conformidad basados en dominio.
● Términos relacionados
- network-security№ 1076
SPF (Sender Policy Framework)
Mecanismo de autenticación de correo del RFC 7208 que permite a un dominio publicar en DNS qué direcciones IP u hosts están autorizados a enviar correo con su dominio en el MAIL FROM del sobre.
- network-security№ 330
DKIM
Estándar de autenticación de correo (RFC 6376) por el que el dominio remitente añade una firma criptográfica a los mensajes para que los receptores verifiquen que cabeceras y cuerpo no se alteraron.
- network-security№ 095
BIMI
Estándar de correo que permite mostrar un logo de marca verificado junto a los mensajes autenticados en clientes compatibles, siempre que el dominio aplique una política DMARC de quarantine o reject.
- attacks№ 375
Suplantación de correo electrónico
Falsificación de las cabeceras de un correo para que parezca enviado por un remitente de confianza, habitualmente para phishing, fraude o malware.
- attacks№ 135
Compromiso de correo empresarial
Fraude dirigido en el que el atacante suplanta o toma el control de un buzón corporativo para engañar a un empleado y hacer transferencias, cambiar datos de pago o entregar información sensible.
- network-security№ 984
Pasarela de correo seguro
Servicio perimetral o en la nube que filtra el correo entrante y saliente buscando spam, phishing, malware, fugas de datos e infracciones de política antes de llegar a los buzones.
● Véase también
- № 707MTA-STS
- № 058ARC (Authenticated Received Chain)
- № 452Greylisting
- № 336DNSBL (lista negra DNS)