¿Alguna vez te ha pasado que alguien te dice: “¿Me mandaste este correo raro?” o te llegan correos que parecen tuyos, pero tú no los enviaste? Eso es suplantación de identidad por correo, y sí, puede pasar con tu propio dominio (como @tunombre.com), incluso si tú no hiciste nada.
Aquí es donde entra DMARC, un sistema que se configura una sola vez y que actúa como un portero digital: si alguien intenta enviar correos falsos usando tu nombre, los bloquea o los marca como sospechosos.
Lo bueno:
- Protege tu reputación (personal o de marca).
- Evita que tus correos legítimos terminen en spam.
- Te da control y reportes sobre quién usa tu dominio.
Lo no tan bueno:
- Si lo configuras mal, puedes terminar bloqueando tus propios correos sin querer.
- Puedes perder correos que te envían desde servidores incorrectamente configurados.
- Requiere ayuda de tu proveedor de hosting/correo.
Los correos alojados en ideasmultiples, están protegidos con DMARC de forma automática, es importante que sepas como funciona y como te ayuda a que tus correos sean más seguros.
DMARC (Domain-based Message Authentication, Reporting and Conformance) es un protocolo de autenticación de correos electrónicos que ayuda a proteger tu dominio contra el spoofing (suplantación de identidad) y otros tipos de phishing. Básicamente, es una forma de decir: "Si alguien intenta enviar correos en mi nombre sin autorización, bloquealos o márcalos, y avísame."
¿Cómo funciona DMARC?
DMARC trabaja en conjunto con dos tecnologías previas: SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail). Vamos por pasos:
1. SPF verifica si un correo viene de una IP autorizada por el dominio.
Por ejemplo, si correo@tudominio.com se envía desde una IP no incluida en tu registro SPF, puede ser rechazado.
2. DKIM agrega una firma digital al correo, validable con una clave pública en DNS.
Esto permite verificar que el mensaje no ha sido alterado y que realmente fue enviado por el dueño del dominio.
3. DMARC une ambos y establece una política:
Si el correo pasa SPF o DKIM (y los alineamientos son correctos), se acepta.
Si falla ambos, se aplica lo que dice tu política DMARC:
v=DMARC1; p=none/quarantine/reject; rua=mailto:tu@email.com;
- p=none: solo recopila reportes (modo monitor).
- p=quarantine: manda correos sospechosos a la carpeta de spam.
- p=reject: rechaza el correo directamente.
Además, DMARC envía reportes (rua) con información de quién está enviando en tu nombre, desde dónde y si pasó SPF/DKIM. Súper útil para monitorear y ajustar tus políticas.
¿Por qué es importante?
Sin DMARC, cualquiera podría enviar correos usando tu dominio (facturacion@tudominio.com) y tú ni enterarte. Con DMARC puedes:
- Proteger la reputación de tu marca.
- Evitar que clientes caigan en estafas.
- Detectar intentos de suplantación.
Un ejemplo de un registro DMARC bien configurado para un dominio que ya está en producción y quiere protegerse activamente:
v=DMARC1; p=reject; rua=mailto:seguridad@tudominio.com; ruf=mailto:forense@tudominio.com; fo=1; adkim=s; aspf=s;
Vamos a desmenuzarlo:
| Campo | Significado |
| v=DMARC1 | Versión del protocolo (siempre va así). |
| p=reject | Política: rechaza correos que no pasen SPF o DKIM. (Nivel más estricto) |
| rua=mailto:seguridad@tudominio.com | Dirección donde recibirás reportes agregados diarios. |
| ruf=mailto:forense@tudominio.com | Dirección para recibir reportes forenses (detalles más profundos por mensaje fallido). |
| fo=1 | Solicita reportes si falla SPF o DKIM (aunque uno pase). |
| adkim=s | DKIM en modo strict (el subdominio debe coincidir exactamente). |
| aspf=s | SPF en modo strict también. |
¿Y qué pasa si lo pongo mal?
-
Si configuras
p=rejectsin haber validado bien tus envíos, podrías bloquear tus propios correos. -
Por eso se suele empezar con
p=nonepara observar, luego pasar aquarantine, y finalmente areject.
