DMARCbis:
La próxima generación de autenticación del correo electrónico
(DMARC 2.0)

DMARCbis (DMARC 2.0) aporta reportes más sólidos, políticas más claras y una detección de límites más inteligente con el DNS Tree Walk.

Sendmarc ya se está preparando para estos cambios para que puedas adoptar la norma actualizada sin problemas.

Reserva una demo

¿Qué es DMARCbis?

DMARCbis es la actualización más importante de DMARC (Domain-based Message Authentication, Reporting, and Conformance) desde la introducción del protocolo. El sufijo "bis" forma parte de la convención de nomenclatura del Grupo de Trabajo de Ingeniería de Internet (IETF) y señala la revisión de una norma existente.

A diferencia de la especificación DMARC original (RFC 7489), que se publicó como documento informativo en 2015, DMARCbis se publicará como propuesta de norma. Este avance formaliza el lugar de DMARC como protocolo de autenticación de correo electrónico probado y ampliamente adoptado, al tiempo que refuerza su papel global en la protección del correo electrónico y pone de relieve el creciente reconocimiento de su importancia en todos los sectores.

A menudo denominada "DMARC 2.0", esta actualización se basa en más de una década de implantación mundial y lecciones operativas.

Mejora el RFC original con:

  • Una estructura de especificaciones más clara y con más ejemplos
  • Mejora de la determinación de límites de dominio con mecanismos nativos de DNS
  • Simplificación de las etiquetas mediante la eliminación de legados
  • Aumento de los requisitos de reporte para reforzar la visibilidad y la seguridad

Es importante destacar que DMARCbis mantiene la compatibilidad con versiones anteriores. Sigue utilizando v=DMARC1 como la versión, lo que significa que las empresas con registros activos no necesitan hacer cambios inmediatos. En su lugar, pueden adoptar las nuevas funciones a su propio ritmo para reforzar la protección contra la suplantación de dominios y el uso no autorizado del correo electrónico.

Aunque DMARCbis no requiere que las empresas realicen cambios inmediatos, aprovechar una plataforma dedicada garantiza que tus registros, reportes y políticas sigan cumpliendo las normas a medida que éstas evolucionan.

Cambios incluidos en DMARCbis: actualizaciones clave

DMARCbis introduce varias actualizaciones importantes diseñadas para que la autenticación del correo electrónico sea más fiable, más fácil de implementary mejor adaptada al entorno de amenazas actual. A continuación se indican los cambios más significativos que deben conocer los profesionales de la seguridad y los propietarios de dominios.

Estructura del pliego de condiciones mejorada

El documento actualizado se divide ahora en tres borradores distintos:

  • Protocolo principal: Define DMARC
  • Reportes agregados: Describe cómo se generan y formatean los reportes diarios.
  • reporte de fallos: Detalla cómo los informes de fallos proporcionan información sobre los fallos de autenticación.

Esta separación facilita la comprensión, la implementar y el mantenimiento del protocolo a lo largo del tiempo.

Requisitos de conformidad para la plena participación

DMARCbis introduce normas más claras sobre lo que deben hacer las empresas y los receptores para ser plenamente compatibles con la norma. Al establecer expectativas claras, la actualización mejora la interoperabilidad y refuerza la adopción global.

Algoritmo DNS Tree Walk

Una de las actualizaciones más significativas que incluye DMARC 2.0 es la sustitución de la directiva Lista pública de sufijos (PSL) con un Algoritmo DNS Tree Walk. El algoritmo consulta los niveles sucesivos de la jerarquía de dominios, subiendo una etiqueta cada vez, hasta que encuentra un registro con psd=y (dominio de sufijo público) o psd=n (límite organizativo).

Detalles técnicos importantes:

  • El paseo está limitado a un máximo de ocho niveles para evitar un exceso de consultas DNS
  • Si un dominio tiene ocho o más etiquetas, elimina las etiquetas situadas más a la izquierda hasta que solo queden siete antes de iniciar el recorrido
  • El recorrido se detiene cuando encuentra un registro DMARC válido con un psd valor

Este enfoque nativo de DNS:

  • Elimina la dependencia de listas de terceros
  • Aumenta la probabilidad de actualizaciones uniformes
  • Mejora la precisión y fiabilidad de la detección de límites

Consideraciones sobre la transición: Durante el periodo de transición, algunas implementaciones pueden seguir utilizando el PSL mientras que otras utilizan Tree Walk, lo que puede dar lugar a diferentes determinaciones de dominio. Las empresas deben considerar el uso de una alineación estricta y la publicación de registros DMARC explícitos para todos los dominios con el fin de evitar problemas de interoperabilidad.

Gestionar esto manualmente puede ser complejo, pero una plataforma específica como Sendmarc puede simplificar el proceso.

Etiquetas nuevas (psd, np, t)

DMARCbis introduce nuevas etiquetas de política para ofrecer a las empresas un control más preciso. Estas son:

  • psd: Marca explícitamente los dominios de sufijo público
    • y indica que el dominio es un dominio de sufijo público
    • n indica que el dominio es el de la organización
    • u es el valor por defecto, dejando que Tree Walk determine el dominio organizativo
  • np: Define políticas para subdominios inexistentes, evitando ataques de spoofing utilizando nombres falsos como ceo.ejemplo.com.
  • t: Sustituye al legado pct etiqueta con una señal más clara de "modo de prueba".
    • y indica modo de prueba (la política no debe aplicarse)
    • n es el valor por defecto (aplicar la política publicada)

Etiquetas eliminadas (pct, rf, ri)

Algunas etiquetas heredadas han quedado obsoletas porque causaban incoherencias:

  • pct (porcentaje)
  • rf (formato de reporte)
  • ri (reporte intervalo dereporte )

El nuevo t proporciona una señal de prueba más sencilla, mientras que los formatos y los intervalos de reporte están ahora normalizados.

Reporte mejorado

Los reporte agregados y sobre fallos se definen ahora en borradores específicos, en los que los reporte agregados adoptan requisitos más estrictos para mejorar la coherencia y la seguridad. Las actualizaciones incluyen:

  • Validación URI externa obligatoria para los reportes enviados fuera del dominio
  • Formato y nombres de archivo normalizados para los archivos adjuntos
  • Aplicación más estricta de XML y gzip

Orientación importante sobre las listas de distribución

DMARCbis introduce orientaciones importantes en relación con las listas de correo y el reenvío de correo electrónico. La especificación desaconseja ahora el uso de una política p=reject cuando exista la posibilidad de que las listas de correo estén implicadas en los flujos de correo electrónico de tu empresa. Esto se debe a que las listas de correo a menudo incumplen la alineación SPF y DKIM, lo que puede provocar el rechazo de correos electrónicos legítimos y la baja automática de usuarios de las listas de correo.

Las empresas deben considerar cuidadosamente su ecosistema de correo electrónico antes de implementar políticas de rechazo estrictas. Dicho esto, Sendmarc anima encarecidamente a los propietarios de dominios a trabajar hacia una política p=reject siempre que sea posible, porque es la única forma de garantizar una protección total contra el uso no autorizado de su dominio.

Reserva una demo

Cronología de DMARCbis y estado de IETF/RFC

DMARCbis tiene un estado de publicación complejo que los propietarios de dominios deben comprender. El documento principal de DMARCbis (draft-ietf-dmarc-dmarcbis-41) y el documento de reporte agregado (reporte) fueron aprobados por el Grupo Director de Ingeniería de Internet (IESG) en 2025.

Pero el anterior Grupo de Trabajo (WG) DMARC se disolvió, dejando tras de sí un documento de reporte de fallos incompleto (reporte) que crea un problema de referencia.

Situación actual: Se ha creado un nuevo grupo de trabajo DMARC específicamente para resolver el problema del documento reporte fallos. Este grupo de trabajo debe:

  • Completar la especificación reporte fallos y presentarla al IESG en los seis meses siguientes a la constitución del GT.

o

  • Eliminar por completo las referencias reporte fallos del documento DMARCbis base (y, opcionalmente, del documento reporte agregado).

El documento base se actualizó por última vez el 4 de abril de 2025 (borrador de la versión 41). Aunque los expertos del sector esperaban inicialmente que se publicara en algún momento de 2025, las complicaciones actuales con el grupo de documentos hacen que el calendario sea incierto hasta que se resuelva el problema reporte fallos.

Asegura tu dominio para el futuro

DMARCbis representa la siguiente etapa en la autenticación del correo electrónico, mejorando la claridad, la seguridad y la flexibilidad operativa. Se basa en más de una década de experiencia con DMARC para introducir mejoras prácticas que facilitan la gestión de las políticas y aumentan la eficacia frente a las modernas amenazas de phishing y spoofing.

Las principales ventajas son:

  • Detección más precisa de dominios organizativos mediante el algoritmo DNS Tree Walk
  • Gestión simplificada de etiquetas con señales de prueba más claras
  • Reportes agregados mejorados para una mejor visibilidad
  • Mayor protección contra la suplantación de identidad en subdominios inexistentes.
  • Mejor soporte para estructuras de dominio complejas y dominios de sufijo público.
  • Mayor interoperabilidad gracias a requisitos de conformidad más estrictos

En Sendmarc, planeamos alinear nuestra plataforma con DMARCbis tan pronto como se finalice el estándar, asegurando que los clientes puedan adoptar las nuevas características sin problemas. Esto significa que podrás sacar ventaja de las mejoras del protocolo sin complejidad adicional.

Reserva una demostración con Sendmarc para ver cómo podemos ayudarte a prepararte para "DMARC 2.0" y asegurar tu entorno de correo electrónico para el futuro.

Reserva una demo

Preguntas frecuentes sobre DMARCbis

¿Qué es DMARCbis?

DMARCbis es la versión actualizada de Domain-based Message Authentication, Reporting, and Conformance (DMARC). También denominada "DMARC 2.0", introduce mejoras técnicas como el algoritmo DNS Tree Walk, nuevas etiquetas de políticas y un reporte mejorado, al tiempo que mantiene la compatibilidad con los registros DMARC existentes.

No, no necesitaa cambiar tu registro DMARC actual para DMARCbis. La actualización sigue utilizando el mismo identificador de versión, v=DMARC1. Tus registros existentes siguen siendo válidos, pero puedes adoptar las nuevas funciones con el tiempo para reforzar la autenticación y la seguridad del correo electrónico.

El DNS Tree Walk mejora la autenticación en DMARCbis sustituyendo la dependencia de la Public Suffix List (PSL). En su lugar, consulta el DNS directamente, moviéndose a través de los niveles de dominio hasta que identifica el límite organizativo correcto.