Problemas DMARC : cómo diagnosticarlos y solucionarlos

Qué significa un error DMARC

DMARC solo si SPF DKIM . También comprueba si el dominio autenticado coincide con el dominio «De» visible, es decir, la dirección que ve el destinatario en su cliente de correo electrónico. A esto se le denomina «coincidencia de identificadores».

Para que un mensaje supere DMARC, debe cumplirse al menos una de las siguientes condiciones:

1. El dominio del remitente de la envoltura SPF coincide con el dominio del campo «De».
2. El dominio de la DKIM d= la etiqueta coincide con el dominio del campo «De».

Un mensaje puede superar las verificaciones de SPF DKIM , aun así, no superar la de DMARC ninguna de ellas se remite al dominio del campo «De» del encabezado.

Cómo identificar problemas DMARC en los informes

Informes DMARC (RUA) proporcionan los resultados de la autenticación de todos los correos electrónicos procesados por los servidores receptores. Se envían en forma de archivos XML a la dirección especificada en el rua= etiqueta de tu DMARC .

Cada reporte un desglose por cada origen de envío, en el que se muestran el SPF , DKIM y la política aplicada. Los campos en los que hay que fijarse son:

• <spf> – Si SPF o no la prueba
• <dkim> – Si DKIM o ha fallado
• <disposition> – ¿Qué se hizo con el mensaje?: p=none, p=quarantineo p=reject
• <source_ip> – La dirección IP de origen: utilízala para identificar qué fuente generó el tráfico

Busca fuentes de envío que presenten fallos de alineación recurrentes en varios mensajes. Los fallos aislados pueden ser puntuales. Los fallos recurrentes procedentes de la misma dirección IP de origen indican que el remitente está mal configurado, por lo que es necesario solucionarlo antes de pasar a la aplicación de medidas coercitivas.

Causas habituales de los problemas DMARC

La mayoría de los problemas DMARC se deben a uno de estos tres problemas de configuración. Identificar la causa correcta es fundamental para encontrar la solución.

• SPF mal configurado: la IP remitente no figura en el SPF . Esto suele ocurrir cuando se añade una nueva plataforma de terceros sin actualizar el DNS.
• DKIM incorrecta: el remitente no está firmando los correos electrónicos salientes con DKIM de tu dominio. Es posible que el mensaje incluya DKIM del propio proveedor, que no coincide con tu dominio de remitente.
• Confusión con los subdominios: en el modo estricto, «mail.example.com» no coincide con «example.com». Si tu infraestructura de envío utiliza subdominios, la coincidencia estricta puede provocar errores.

Cómo solucionar los problemas DMARC

Sigue estos pasos en el orden indicado. No cambies tu DMARC a p=quarantine o p=reject hasta que haya confirmado que todos los remitentes legítimos están alineados.

1. Identifica el remitente problemático: utiliza los informes DMARC para localizar la dirección IP de origen que genera errores de alineación. Compara esa dirección IP con tu lista de servicios de envío autorizados: CRM, plataformas de RR. HH., herramientas de marketing y sistemas transaccionales.
2. Corregir SPF – Comprueba que todas las direcciones IP de envío del servicio identificado figuren en tu registro SPF . Añade las direcciones IP que falten o include: mecanismos. Comprueba que el dominio de la ruta de retorno coincida con tu dominio «De», o que comparta el mismo dominio de la organización si utilizas la alineación flexible.
3. Corregir DKIM : configura el servicio de envío para que firme los mensajes salientes con DKIM de tu dominio, y no con la del proveedor. Para ello, es necesario generar un par DKIM , publicar la clave pública en el registro TXT del DNS y configurar el servicio de envío para que firme con la clave privada.
4. Prueba antes de aplicar los cambios: los cambios en el DNS pueden tardar hasta 48 horas en propagarse. Una vez que se hayan propagado, comprueba que la corrección ha funcionado utilizando los informes DMARC o una herramienta de verificación DMARC . Asegúrate de que el remitente obtiene un DMARC satisfactorio antes de cambiar tu política a p=quarantine o p=reject.

Si se pasa a la aplicación de las medidas sin confirmar la conformidad, se bloquearán o filtrarán mensajes legítimos. Repita este proceso para cada remitente que no cumpla los requisitos identificado en sus informes agregados.

Cómo te ayuda Sendmarc a resolver los problemas de alineación

La resolución de problemas de alineación puntuales es solo una parte de la autenticación del correo electrónico. A medida que tu entorno de envío crezca —con nuevas unidades de negocio, herramientas SaaS y plataformas regionales—, volverán a surgir desajustes de alineación si no se lleva a cabo una supervisión y una gestión continuas.

DMARC para empresas de Sendmarc ofrece a los equipos:

• DMARC : realiza un seguimiento del estado de cumplimiento en todas las fuentes y dominios de envío. Gestiona la evolución de las políticas de forma sistemática, con visibilidad sobre qué remitentes están impidiendo el paso a p=reject.
• SPF : mantén SPF precisos y actualizados a medida que se añaden o modifican los remitentes autorizados. SPF obsoletos o incompletos son una causa habitual de fallos en la validación.
• DKIM : comprueba que las claves de firma estén correctamente implementadas en todos los servicios de envío. Identifica a los remitentes que firman con el dominio de un proveedor en lugar del tuyo propio.
• Visibilidad centralizada: detecta a los remitentes no autorizados en todos los dominios y servicios antes de que burlen la autenticación o se hagan pasar por tu empresa.

Sendmarc te acompaña desde la visibilidad inicial hasta la aplicación completa de las políticas en todos tus dominios.