Cómo leer un informe DMARC (Paso a paso para remitentes B2B)

Un informe agregado DMARC es un resumen enviado por los proveedores de correo que muestra cómo los emails que dicen ser de tu dominio se comportaron frente a las verificaciones de autenticación como SPF y DKIM.

Estos informes son esenciales para entender quién está enviando emails en tu nombre, el volumen de emails que se envían y si esos emails están pasando la autenticación. Son la fuente principal para identificar remitentes legítimos, configuraciones erróneas y posibles abusos.

Sin embargo, incluso los administradores de TI con experiencia a menudo tienen dificultades para interpretar los informes DMARC. Los datos son densos, muy técnicos y difíciles de traducir en pasos claros y accionables para mejorar la entregabilidad y seguridad del email.

Para los equipos no técnicos, el desafío es aún mayor. Los informes se entregan en formato XML y ofrecen poca orientación sobre lo que realmente importa o qué solucionar primero.

En esta guía, desglosamos los informes agregados DMARC en componentes prácticos, explicamos en qué enfocarse y mostramos cómo convertir los datos en acciones significativas para mejorar el rendimiento del email.

Tipos de informes DMARC

El estándar DMARC define dos tipos de informes. Sin embargo, solo uno de ellos está siempre disponible y es útil para la mayoría de los equipos B2B encargados de la entregabilidad del email.

Informes DMARC agregados (RUA)

Los informes DMARC agregados (RUA) son los informes principales con los que trabajarás.

Los envían a diario los proveedores de buzones y ofrecen un resumen a nivel de dominio de toda la actividad de email observada en un periodo de tiempo determinado. Cada informe agrupa los mensajes por fuente de envío y muestra los resultados de autenticación para SPF, DKIM y DMARC.

Proveedores de buzones como Google y Microsoft siempre ofrecen informes agregados. Por eso, son la base del monitoreo DMARC y el enfoque principal de esta guía.

Informes DMARC forenses (RUF)

Los informes DMARC forenses (RUF) están diseñados para ofrecer detalles a nivel de mensaje cuando la autenticación falla.

En realidad, rara vez están disponibles. Muchos proveedores de buzones ya no los envían o censuran muchos datos debido a restricciones de privacidad. El soporte varía mucho, y la mayoría de los dominios B2B nunca reciben informes forenses, incluso cuando los solicitan.

Por eso, la mayoría de los equipos dependen casi por completo de los informes agregados para el monitoreo continuo y la toma de decisiones.

¿Qué contiene un informe agregado de DMARC?

Un informe agregado de DMARC es un resumen estructurado de la actividad de email asociada a tu dominio durante un período definido. Estos informes tienen un alcance limitado intencionadamente. No muestran mensajes individuales, contenido ni destinatarios. En su lugar, se centran en señales de autenticación de alto nivel que los proveedores de buzones están dispuestos a compartir a gran escala.

Como los informes se entregan como archivos XML, no están pensados para una revisión manual. La mayoría de los equipos usan herramientas de análisis o plataformas DMARC para que los datos sean legibles. Esta limitación es también la razón por la que los informes agregados son preferidos por los proveedores de buzones. Equilibran la visibilidad con la privacidad y cuentan con el apoyo constante de los principales proveedores.

A nivel estructural, cada informe agregado de DMARC contiene los mismos componentes principales.

Organización informante

Esto identifica al proveedor de buzones que generó el informe. Las organizaciones informantes comunes incluyen Google y Microsoft. Cada proveedor envía su propio informe basándose en el tráfico que observó para tu dominio.

Rango de fechas

El informe cubre un período de tiempo específico, normalmente de 24 horas. Esto te permite rastrear el comportamiento de autenticación día a día y detectar cambios a lo largo del tiempo, en lugar de eventos aislados.

Fuentes de envío

Las fuentes de envío se listan a nivel de dirección IP. Cada fuente representa un servidor que envió email usando tu dominio durante el período del informe.

Volumen de mensajes por fuente

Para cada fuente de envío, el informe incluye el número de mensajes observados, lo que proporciona visibilidad sobre el volumen de emails enviados por cada IP en nombre de tu dominio durante el rango de tiempo especificado.

Resultados de autenticación

Cada fuente de envío incluye resultados de autenticación basados en tres mecanismos.

o   Los resultados de SPF muestran si el servidor de envío estaba autorizado para enviar emails en nombre del dominio.

o   Los resultados de DKIM muestran si los mensajes fueron firmados criptográficamente y si el dominio firmante se alineaba con el dominio visible del remitente (From).

o   La disposición DMARC muestra cómo el proveedor de buzones manejó los mensajes basándose en tu política DMARC publicada.

Marco paso a paso para leer un informe DMARC 

Los informes agregados de DMARC se entregan como archivos XML. Aunque puedan parecer técnicos, no es necesario entender cada etiqueta para obtener información valiosa de ellos.

Aquí tienes un ejemplo simplificado de un informe agregado de DMARC para example.com.

<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <date_range>
      <begin>1705968000</begin>
      <end>1706054399</end>
    </date_range>
  </report_metadata>

  <policy_published>
    <domain>example.com</domain>
    <p>none</p>
    <adkim>r</adkim>
    <aspf>r</aspf>
  </policy_published>

  <record>
    <row>
      <source_ip>209.85.220.41</source_ip>
      <count>120</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
  </record>

  <record>
    <row>
      <source_ip>198.51.100.23</source_ip>
      <count>450</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>

  <record>
    <row>
      <source_ip>203.0.113.77</source_ip>
      <count>6</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>
</feedback>

No necesitas leer esto línea por línea. En su lugar, aplica el siguiente escaneo de cuatro pasos cada vez.

Paso 1: Quién envió el email

Look for the <source_ip> field in each record.

En este ejemplo, tres direcciones IP enviaron emails usando example.com. Cada IP representa un sistema de envío observado por el proveedor de buzones. En esta etapa, tu única tarea es el reconocimiento. Pregunta si la IP pertenece a una fuente conocida como Google Workspace, Microsoft 365, una herramienta de prospección de ventas o una plataforma de marketing.

Paso 2: Volumen de correos enviados

Next, look at the <count> value for each source.

El volumen te ayuda a priorizar a qué prestar atención. Las fuentes con mucho volumen importan más que las de poco. Una sola IP desconocida que envía miles de correos merece una investigación inmediata. Unos pocos mensajes pueden simplemente indicar intentos de 'spoofing' en segundo plano.

Paso 3: ¿Pasó la autenticación?

Al revisar un informe agregado de DMARC, estás respondiendo a tres preguntas clave por cada fuente de envío. Cada una se corresponde directamente con una etiqueta XML específica en el informe.

Now look at the authentication outcomes inside <policy_evaluated>.

Todavía no estás diagnosticando las causas raíz. Simplemente estás observando los resultados:

• ¿Pasó SPF?

SPF results appear in the <policy_evaluated> block under the <spf> tag. If the report shows <spf>fail</spf>, SPF validation failed. The sending IP was not authorized by your domain’s SPF record at the time the message was evaluated.

If it shows <spf>pass</spf>, the sending server was authorized to send email on behalf of the domain.

• ¿Pasó DKIM?

DKIM results appear under the <dkim> tag in the same block. A value of <dkim>pass</dkim> means the message was correctly signed and the signature aligned with the visible From domain.

A value of <dkim>fail</dkim> means the message was not properly signed, the signature was invalid, or domain alignment failed.

• ¿DMARC lo evaluó como conforme?

DMARC’s final decision appears in the <disposition> tag. A value of <disposition>none</disposition> means no enforcement was applied, which is typical when a domain is in monitoring mode.

Valores como 'quarantine' (cuarentena) o 'reject' (rechazo) indican que el mensaje falló la evaluación de DMARC y que se aplicó la política según lo publicado.

Estas tres etiquetas responden al tercer paso del marco que viste antes. Una vez que sabes quién envió el correo y cuánto envió, SPF, DKIM y la disposición te dicen si esa actividad fue autenticada y cómo la trataron los proveedores de buzones.

Paso 4: Evalúa si el patrón es el esperado

Finalmente, combina la identidad, el volumen y los resultados de autenticación.

• Una IP conocida de Google Workspace que pasa SPF y DKIM es lo esperado.
• Una herramienta conocida que falla SPF pero pasa DKIM puede ser normal.
• Una IP desconocida que falla ambas verificaciones, incluso con poco volumen, es inesperado.

Aquí es donde el XML en bruto se convierte en una señal útil.

¿Cómo interpretar las señales de autenticación?

Una vez que entiendes quién envió el correo y el volumen enviado, el siguiente paso es interpretar los resultados de autenticación. Aquí es donde los informes DMARC se vuelven útiles para la toma de decisiones.

Los resultados de autenticación ayudan a los proveedores de buzones a decidir si un correo es confiable. Tu trabajo es entender qué significan estas señales y cómo leerlas.

Fuentes de envío y tendencias de volumen
Cada fila en un informe DMARC representa un grupo de mensajes de una IP específica. Las tendencias de volumen importan porque los proveedores de buzones construyen la reputación gradualmente. Los picos repentinos a menudo indican configuraciones erróneas, nuevas herramientas o abuso.

‍Un volumen bajo pero recurrente de IPs desconocidas suele indicar intentos de 'domain spoofing'.

Resultados de SPF
SPF verifica si una IP de envío está autorizada para enviar correos en nombre de tu dominio.

‍Los fallos de SPF son comunes y no siempre son un problema. Frecuentemente ocurren debido a reenvíos, registros incompletos o herramientas que dependen de DKIM en su lugar.

Un fallo de SPF se convierte en una preocupación cuando se repite a gran escala o se combina con fallos de DKIM.

Resultados DKIM
DKIM verifica la integridad del mensaje y la alineación del dominio. Es la señal de autenticación más fuerte para la entregabilidad B2B porque sobrevive a los reenvíos y es muy confiable para Google y Microsoft.
Para la mayoría de los remitentes B2B, los controles DKIM consistentes y la alineación en todas las herramientas son innegociables.

Entendiendo los resultados de las políticas DMARC

Las políticas DMARC definen cómo los proveedores de buzones deben manejar los correos electrónicos que fallan las verificaciones de autenticación. Estos resultados aparecen en los informes agregados como la disposición final para cada fuente de envío.

Estas políticas gestionan la exposición al riesgo, no la entrega en la bandeja de entrada. Controlan lo que sucede con los correos electrónicos no autenticados, no si los correos electrónicos autenticados llegan a la bandeja de entrada.

Las políticas DMARC reducen la exposición al spoofing y al uso no autorizado de tu dominio. No mejoran el engagement, la reputación del remitente ni la entrega en la bandeja de entrada por sí solas.

La autenticación establece la legitimidad. La entregabilidad se determina por la reputación y el comportamiento a lo largo del tiempo.

Identificando remitentes legítimos vs. abuso

Una vez que entiendes los resultados de la autenticación, el siguiente paso es decidir qué fuentes de envío son confiables y cuáles requieren atención.

Esta determinación rara vez se basa en una sola señal. Las IPs desconocidas o los fallos de autenticación aislados no indican, por sí solos, abuso. La confianza se establece a través de patrones observados a lo largo del tiempo, especialmente cuando hay volumen y repetición.

Cómo clasificar cada fuente de envío

Una buena forma de revisar los informes DMARC es etiquetar cada fila en una de tres categorías.

Esta clasificación sencilla hace que la revisión DMARC sea eficiente y evita cambios innecesarios que podrían interrumpir el flujo de correos legítimos.

Patrones comunes de fallos DMARC

Los informes agregados de DMARC suelen mostrar las mismas combinaciones de resultados de autenticación con el tiempo. Estas combinaciones son útiles porque señalan causas probables, no garantizadas.

Los proveedores de buzones evalúan la autenticación de forma ligeramente diferente, y las rutas de envío pueden variar según el reenvío, los gateways y las herramientas. Los patrones a continuación deben leerse como atajos de diagnóstico, no como conclusiones absolutas.

• SPF pasa, DKIM falla
  A menudo falta o está desalineado el DKIM.
  
  
• DKIM pasa, SPF falla
  Es común con el reenvío o la infraestructura compartida. Normalmente es aceptable.
  
  
• SPF falla, DKIM falla
  Es un patrón de alto riesgo. Indica suplantación de identidad (spoofing) o una mala configuración.
  
• 
  Uno pasa pero DMARC falla
  Problema de alineación entre la autenticación y el dominio del remitente.

Cómo solucionar lo que muestran los informes DMARC

Los informes DMARC señalan problemas exactos en la configuración de email. Arregla primero los problemas más grandes y luego ve solucionando los demás paso a paso.

• Autoriza herramientas de email legítimas: Añade cada herramienta que uses (Outlook, plataformas de marketing) a tu lista de remitentes aprobados. Esto evita errores de "remitente no autorizado".
• Activa DKIM para todos los emails: DKIM añade una firma digital para probar que los emails vienen de ti y no fueron modificados. Actívalo en todos los lugares desde donde envíes.
• Simplifica tus registros SPF: Mantén la lista de remitentes aprobados corta y actualizada. Demasiadas entradas confunden a los sistemas de email. Elimina herramientas antiguas o que no uses.
• Detén fuentes de email no deseadas: Bloquea a los remitentes incorrectos que intentan hacerse pasar por tu empresa. Concéntrate en IPs desconocidas que envían muchos mensajes.
• Verifica los resultados después de los cambios: Revisa los informes durante 7-14 días. Los problemas solucionados muestran una disminución en el volumen de errores y un aumento en las tasas de aprobación.

Empieza con los problemas grandes

¿Cómo priorizar los problemas?

Los informes DMARC llegan a diario. No todos los problemas requieren una acción inmediata. Observa las tendencias durante varios días para separar los cambios normales de los problemas de alto impacto.

De la autenticación a la ubicación en la bandeja de entrada

DMARC demuestra legitimidad. Pero no se gana la confianza.

Los proveedores de buzones de correo al final recompensan comportamientos como la interacción positiva de los usuarios, la consistencia y la reputación a lo largo del tiempo. Aquí es donde muchos equipos se estancan. Arreglan la autenticación, ven que todo pasa, y aun así sus emails terminan en spam.

Es lo esperado.

La autenticación elimina obstáculos. La reputación impulsa los resultados.

MailReach complementa a DMARC al manejar la capa que DMARC no puede influenciar. El email warmup gradual genera señales de interacción que enseñan a Google y Microsoft a confiar en tu comportamiento de envío. Las pruebas de spam sacan a la luz riesgos de contenido y formato antes de que dañen tu reputación. El monitoreo continuo asegura que los problemas técnicos no erosionen silenciosamente la entregabilidad.

DMARC despeja el camino. MailReach construye la confianza para que tus emails sean leídos y respondidos.

Empieza a construir una reputación de remitente en la que las bandejas de entrada confíen. Usa MailReach para el email warmup de tus cuentas de correo, probar la ubicación en la bandeja de entrada y proteger tu entregabilidad.