Cómo leer un informe DMARC (paso a paso para remitentes B2B)

Un informe agregado DMARC es un resumen enviado por los proveedores de buzones de correo que muestra cómo se comportaron los correos electrónicos que afirmaban provenir de su dominio frente a comprobaciones de autenticación como SPF y DKIM.

Estos informes son esenciales para comprender quién envía correos electrónicos en su nombre, el volumen de correos electrónicos que se envían y si esos correos electrónicos superan la autenticación. Son la principal fuente de información veraz para identificar remitentes legítimos, configuraciones erróneas y posibles abusos.

Sin embargo, incluso los administradores de TI con experiencia suelen tener dificultades para interpretar los informes DMARC. Los datos son densos, muy técnicos y difíciles de traducir en pasos claros y prácticos para mejorar la entregabilidad y la seguridad del correo electrónico.

Para los equipos sin conocimientos técnicos, el reto es aún mayor. Los informes se entregan en formato XML y ofrecen poca orientación sobre lo que realmente importa o lo que hay que solucionar primero.

En esta guía, desglosamos los informes agregados de DMARC en componentes prácticos, explicamos en qué centrarse y mostramos cómo convertir los datos en acciones significativas para mejorar el rendimiento del correo electrónico.

Tipos de informes DMARC

El estándar DMARC define dos tipos de informes. Sin embargo, solo uno de ellos está disponible de forma constante y resulta útil para la mayoría de los equipos B2B responsables de la entregabilidad del correo electrónico.

Informes agregados DMARC (RUA)

Los informes agregados DMARC (RUA) son los informes principales con los que trabajarás.

Los proveedores de buzones de correo los envían a diario y proporcionan un resumen a nivel de dominio de toda la actividad de correo electrónico observada durante un intervalo de tiempo determinado. Cada informe agrupa los mensajes por origen de envío y muestra los resultados de autenticación para SPF, DKIM y DMARC.

Los proveedores de buzones de correo electrónico, como Google y Microsoft, proporcionan informes agregados de forma sistemática. Por ello, constituyen la base de la supervisión DMARC y son el tema principal de esta guía.

Informes forenses DMARC (RUF)

Los informes forenses DMARC (RUF) están diseñados para proporcionar detalles a nivel de mensaje cuando falla la autenticación.

En realidad, rara vez están disponibles. Muchos proveedores de buzones de correo ya no los envían o censuran gran parte de los datos debido a restricciones de privacidad. La asistencia varía mucho, y la mayoría de los dominios B2B nunca reciben informes forenses, incluso cuando se solicitan.

Como resultado, la mayoría de los equipos dependen casi por completo de los informes agregados para el seguimiento continuo y la toma de decisiones.

¿Qué contiene un informe agregado DMARC?

Un informe agregado DMARC es un resumen estructurado de la actividad de correo electrónico asociada a su dominio durante un período definido. Estos informes tienen un alcance deliberadamente limitado. No muestran mensajes individuales, contenidos ni destinatarios. En su lugar, se centran en señales de autenticación de alto nivel que los proveedores de buzones de correo están dispuestos a compartir a gran escala.

Dado que los informes se envían como archivos XML, no están pensados para su revisión manual. La mayoría de los equipos utilizan herramientas de análisis sintáctico o plataformas DMARC para que los datos sean legibles. Esta limitación es también la razón por la que los proveedores de buzones de correo prefieren los informes agregados. Estos informes equilibran la visibilidad con la privacidad y son compatibles con los principales proveedores.

A nivel estructural, todos los informes agregados DMARC contienen los mismos componentes básicos.

Organización informante

Esto identifica al proveedor de correo electrónico que generó el informe. Entre las organizaciones que suelen elaborar informes se incluyen Google y Microsoft. Cada proveedor envía su propio informe basado en el tráfico que ha observado en su dominio.

Intervalo de fechas

El informe abarca un intervalo de tiempo específico, normalmente un periodo de 24 horas. Esto le permite realizar un seguimiento del comportamiento de autenticación día a día y detectar cambios a lo largo del tiempo, en lugar de eventos aislados.

Envío de fuentes

Las fuentes de envío se enumeran a nivel de dirección IP. Cada fuente representa un servidor que envió correos electrónicos utilizando su dominio durante el período del informe.

Volumen de mensajes por fuente

Para cada fuente de envío, el informe incluye el número de mensajes observados, lo que proporciona visibilidad sobre el volumen de correos electrónicos enviados por cada IP en nombre de su dominio durante el intervalo de tiempo especificado.

Resultados de la autenticación

Cada fuente de envío incluye resultados de autenticación basados en tres mecanismos.

o Los resultados del SPF muestran si el servidor remitente estaba autorizado para enviar correos electrónicos en nombre del dominio.

o Los resultados DKIM muestran si los mensajes fueron firmados criptográficamente y si el dominio de firma coincidía con el dominio visible del remitente.

o La disposición DMARC muestra cómo el proveedor de correo electrónico gestionó los mensajes según la política DMARC publicada.

Marco paso a paso para leer un informe DMARC 

Los informes agregados DMARC se entregan como archivos XML. Aunque puedan parecer técnicos, no es necesario comprender todas las etiquetas para obtener información significativa de ellos.

A continuación se muestra un ejemplo simplificado de un informe agregado DMARC para example.com.

<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <date_range>
      <begin>1705968000</begin>
      <end>1706054399</end>
    </date_range>
  </report_metadata>

  <policy_published>
    <domain>example.com</domain>
    <p>none</p>
    <adkim>r</adkim>
    <aspf>r</aspf>
  </policy_published>

  <record>
    <row>
      <source_ip>209.85.220.41</source_ip>
      <count>120</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
  </record>

  <record>
    <row>
      <source_ip>198.51.100.23</source_ip>
      <count>450</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>

  <record>
    <row>
      <source_ip>203.0.113.77</source_ip>
      <count>6</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
  </record>
</feedback>

No es necesario que lea esto línea por línea. En su lugar, aplique siempre el siguiente escaneo de cuatro pasos.

Paso 1: ¿Quién envió el correo electrónico?

Look for the <source_ip> field in each record.

En este ejemplo, tres direcciones IP enviaron correos electrónicos utilizando example.com. Cada IP representa un sistema de envío observado por el proveedor de correo electrónico. En esta etapa, su única tarea es el reconocimiento. Pregunte si la IP pertenece a una fuente conocida, como Google Workspace, Microsoft 365, una herramienta de ventas o una plataforma de marketing.

Paso 2: Volumen de correos electrónicos enviados

Next, look at the <count> value for each source.

El volumen te ayuda a priorizar la atención. Las fuentes de gran volumen son más importantes que las de bajo volumen. Una sola IP desconocida que envía miles de correos electrónicos merece una investigación inmediata. Unos pocos mensajes pueden indicar simplemente intentos de suplantación de identidad en segundo plano.

Paso 3: ¿Se ha superado la autenticación?

Al revisar un informe agregado de DMARC, se responden tres preguntas fundamentales para cada fuente de envío. Cada una de ellas se corresponde directamente con una etiqueta XML específica del informe.

Now look at the authentication outcomes inside <policy_evaluated>.

Aún no estás diagnosticando las causas fundamentales. Simplemente estás observando los resultados:

• ¿Se aprobó el SPF?

SPF results appear in the <policy_evaluated> block under the <spf> tag. If the report shows <spf>fail</spf>, SPF validation failed. The sending IP was not authorized by your domain’s SPF record at the time the message was evaluated.

If it shows <spf>pass</spf>, the sending server was authorized to send email on behalf of the domain.

• ¿Se ha aprobado DKIM?

DKIM results appear under the <dkim> tag in the same block. A value of <dkim>pass</dkim> means the message was correctly signed and the signature aligned with the visible From domain.

A value of <dkim>fail</dkim> means the message was not properly signed, the signature was invalid, or domain alignment failed.

• ¿DMARC lo evaluó como conforme?

DMARC’s final decision appears in the <disposition> tag. A value of <disposition>none</disposition> means no enforcement was applied, which is typical when a domain is in monitoring mode.

Valores como «cuarentena» o «rechazo» indican que el mensaje no superó la evaluación DMARC y que se aplicó la política publicada.

Estas tres etiquetas responden al tercer paso del marco que viste anteriormente. Una vez que sabes quién envió el correo electrónico y cuánto envió, SPF, DKIM y disposición te indican si esa actividad fue autenticada y cómo la trataron los proveedores de buzones de correo.

Paso 4: Evaluar si el patrón es el esperado.

Por último, combine los resultados de identidad, volumen y autenticación.

• Se espera una IP conocida de Google Workspace que supere SPF y DKIM.
• Es posible que una herramienta conocida que no supere el SPF pero sí el DKIM sea normal.
• Una IP desconocida que no supera ambas comprobaciones, incluso con un volumen bajo, es algo inesperado.

Aquí es donde el XML sin procesar se convierte en una señal procesable.

¿Cómo interpretar las señales de autenticación?

Una vez que se sabe quién ha enviado el correo electrónico y el volumen enviado, el siguiente paso es interpretar los resultados de la autenticación. Aquí es donde los informes DMARC resultan útiles para la toma de decisiones.

Los resultados de la autenticación ayudan a los proveedores de buzones de correo a decidir si un correo electrónico es fiable. Tu trabajo consiste en comprender qué significan estas señales y cómo interpretarlas.

Envío de fuentes y tendencias de volumen
Cada fila de un informe DMARC representa un grupo de mensajes procedentes de una IP específica. Las tendencias de volumen son importantes porque los proveedores de buzones de correo construyen su reputación gradualmente. Los picos repentinos suelen indicar configuraciones erróneas, nuevas herramientas o abusos.

Un volumen bajo pero recurrente procedente de direcciones IP desconocidas suele indicar intentos de suplantación de dominio.

Resultados de SPF
SPF verifica si una IP remitente está autorizada para enviar correos electrónicos en nombre de su dominio.

Los fallos de SPF son comunes y no siempre suponen un problema. A menudo se producen debido al reenvío, a registros incompletos o a herramientas que utilizan DKIM en su lugar.

Un fallo de SPF se convierte en un problema cuando se repite a gran escala o se combina con fallos de DKIM.

Resultados de DKIM
DKIM verifica la integridad de los mensajes y la alineación de los dominios. Es la señal de autenticación más sólida para la entregabilidad B2B, ya que sobrevive al reenvío y cuenta con la máxima confianza de Google y Microsoft.
Para la mayoría de los remitentes B2B, las comprobaciones DKIM coherentes y la alineación entre todas las herramientas son imprescindibles.

Comprender los resultados de la política DMARC

Las políticas DMARC definen cómo deben gestionar los proveedores de buzones de correo los correos electrónicos que no superan las comprobaciones de autenticación. Estos resultados aparecen en informes agregados como la disposición final para cada fuente de envío.

Estas políticas gestionan la exposición al riesgo, no la colocación en la bandeja de entrada. Controlan lo que ocurre con los correos electrónicos no autenticados, no si los correos electrónicos autenticados llegan a la bandeja de entrada.

Las políticas DMARC reducen la exposición al spoofing y al uso no autorizado de su dominio. Por sí solas, no mejoran la interacción, la reputación del remitente ni la colocación en la bandeja de entrada.

La autenticación establece la legitimidad. La capacidad de entrega viene determinada por la reputación y el comportamiento a lo largo del tiempo.

Identificación de remitentes legítimos frente a abusos

Una vez que comprenda los resultados de la autenticación, el siguiente paso es decidir qué fuentes de envío son fiables y cuáles requieren atención.

Esta determinación rara vez se basa en una sola señal. Las direcciones IP desconocidas o los fallos de autenticación aislados no indican por sí mismos un uso indebido. La confianza se establece a través de patrones observados a lo largo del tiempo, especialmente cuando hay volumen y repetición.

Cómo clasificar cada fuente de envío

Una buena forma de trabajar con los informes DMARC es etiquetar cada fila en una de las tres categorías.

Esta sencilla clasificación mantiene la eficiencia de la revisión DMARC y evita cambios innecesarios que podrían interrumpir el flujo legítimo de correos electrónicos.

Patrones comunes de fallos de DMARC

Los informes agregados de DMARC suelen mostrar las mismas combinaciones de resultados de autenticación a lo largo del tiempo. Estas combinaciones son útiles porque apuntan a causas probables, no a causas garantizadas.

Los proveedores de buzones de correo evalúan la autenticación de forma ligeramente diferente, y las rutas de envío pueden variar en función del reenvío, las puertas de enlace y las herramientas. Los patrones que se indican a continuación deben interpretarse como atajos de diagnóstico, no como conclusiones absolutas.

• SPF aprobado, DKIM fallido
  DKIM a menudo ausente o desalineado.
  
  
• DKIM aprobado, SPF rechazado
  Es habitual en el reenvío o en infraestructuras compartidas. Normalmente es aceptable.
  
  
• Fallo de SPF, fallo de DKIM
  Patrón de alto riesgo. Indica suplantación de identidad o configuración incorrecta.
  
• 
  Un pase, pero DMARC fallido
  Problema de alineación entre la autenticación y el dominio remitente.

Corregir lo que muestran los informes DMARC

Los informes DMARC señalan problemas concretos en la configuración del correo electrónico. Solucione primero los problemas más graves y, a continuación, vaya resolviendo los demás paso a paso.

• Autoriza las herramientas de correo electrónico legítimas: añade todas las herramientas que utilizas (Outlook, plataformas de marketing) a tu lista de remitentes aprobados. Esto evita los errores de «remitente no autorizado».
• Activa DKIM para todos los correos electrónicos: DKIM añade una firma digital para demostrar que los correos electrónicos proceden de ti y no han sido modificados. Actívalo en todos los lugares desde los que envías correos.
• Simplifique sus registros SPF: mantenga la lista de remitentes aprobados breve y actualizada. Demasiadas entradas confunden a los sistemas de correo electrónico. Elimine las herramientas antiguas o que no se utilicen.
• Detenga las fuentes de correo electrónico no deseadas: bloquee a los remitentes fraudulentos que se hacen pasar por su empresa. Concéntrese en las direcciones IP desconocidas que envían muchos mensajes.
• Comprueba los resultados después de los cambios: observa los informes durante 7-14 días. Los problemas solucionados muestran una disminución en el volumen de errores y un aumento en las tasas de aprobación.

Empieza con los problemas importantes.

¿Cómo priorizar los problemas?

Los informes DMARC llegan a diario. No todos los problemas requieren una acción inmediata. Observe las tendencias durante varios días para distinguir los cambios normales de los problemas de gran impacto.

De la autenticación a la colocación en la bandeja de entrada

DMARC demuestra la legitimidad. No genera confianza.

Los proveedores de buzones de correo premian en última instancia comportamientos como la participación positiva de los usuarios, la coherencia y la reputación a lo largo del tiempo. Aquí es donde muchos equipos se estancan. Arreglan la autenticación, ven que todo pasa y siguen recibiendo spam.

Es lo que se espera.

La autenticación elimina los obstáculos. La reputación impulsa los resultados.

MailReach complementa DMARC al gestionar la capa sobre la que DMARC no puede influir. email warmup gradual email warmup señales de interacción que enseñan a Google y Microsoft a confiar en su comportamiento como remitente. Las pruebas de spam revelan los riesgos relacionados con el contenido y el formato antes de que dañen su reputación. La supervisión continua garantiza que los problemas técnicos no erosionen silenciosamente la capacidad de entrega.

DMARC allana el camino. MailReach genera la confianza necesaria para que los correos electrónicos se lean y se respondan.

Empieza a construir una reputación de remitente en la que confíen los buzones de correo. Utiliza MailReach para activar tus cuentas de correo electrónico, comprobar la entrega en el buzón y proteger tu capacidad de entrega.