El problema que DMARC resuelve
Imagina que mañana un estafador envía un correo desde facturas@tuempresa.com a todos tus clientes pidiéndoles que paguen una factura a una cuenta diferente. El correo llega, parece legítimo, y algunos clientes pagan.
Esto no es ciencia ficción — es uno de los fraudes empresariales más comunes del mundo y se llama Business Email Compromise (BEC). Y ocurre porque la mayoría de los dominios no tienen DMARC configurado.
⚠️ Si tu dominio no tiene DMARC, cualquier persona en el mundo puede enviar correos usando tu dirección de empresa. Ahora mismo. Sin necesitar acceso a tu correo.
El trío de seguridad: SPF, DKIM y DMARC
Estos tres protocolos trabajan juntos. Cada uno tiene un rol específico:
SPF — El guardaespaldas de la puerta
SPF (Sender Policy Framework) le dice al mundo qué servidores están autorizados para enviar correos en nombre de tu dominio. Es como una lista de invitados en la puerta de un evento — si el servidor no está en la lista, el correo debería rechazarse.
DKIM — La firma digital
DKIM (DomainKeys Identified Mail) agrega una firma criptográfica a cada correo que envías. El destinatario puede verificar que el correo realmente vino de tu servidor y no fue modificado en el camino. Es como un sello de lacre en un sobre.
DMARC — El árbitro final
DMARC (Domain-based Message Authentication, Reporting and Conformance) usa los resultados de SPF y DKIM para decidir qué hacer con los correos que fallan la verificación: ¿dejarlos pasar? ¿marcarlos como spam? ¿rechazarlos?
💡 Sin DMARC, incluso teniendo SPF y DKIM, un atacante puede enviar correos fraudulentos que llegan a la bandeja principal de tus clientes. DMARC es la pieza que cierra el ciclo.
Los tres niveles de DMARC
| Política | Qué hace | Cuándo usarla |
|---|---|---|
| none | Solo monitorea. No bloquea nada. | Al comenzar, para ver qué pasa. |
| quarantine | Envía correos sospechosos a spam. | Fase intermedia de implementación. |
| reject | Bloquea completamente los correos no autorizados. | Configuración final recomendada. |
El beneficio extra: los reportes
Una de las funciones menos conocidas de DMARC es que te envía reportes diarios sobre quién está enviando correos con tu dominio. Esto te permite:
- Detectar intentos de suplantación en tiempo real
- Ver qué servicios de terceros envían correos en tu nombre (newsletters, CRM, etc.)
- Identificar configuraciones incorrectas antes de que causen problemas
Cómo verificar si tu dominio tiene DMARC
Puedes verificarlo en menos de 30 segundos. Ve a mxtoolbox.com/dmarc y escribe tu dominio. Si el resultado dice "No DMARC Record Found", tu empresa está en riesgo ahora mismo.
🔒 En iProject3 configuramos SPF, DKIM y DMARC como parte de nuestra administración de dominios. Si quieres saber el estado actual de tu dominio, agenda un diagnóstico gratuito y lo revisamos juntos.
Fuentes y referencias
- DMARC.org — Visión general oficial de DMARC (dmarc.org, organización oficial del estándar)
- RFC 7489 — Domain-based Message Authentication, Reporting, and Conformance (IETF, especificación técnica oficial)
- Configurar DMARC en Microsoft 365 (Microsoft Learn, documentación oficial)
