Ejecutas una comprobación DMARC en tu dominio y lo ves:«No se ha encontrado ningún registro DMARC«.
Quizá te lo esperabas. Tal vez no. En cualquier caso, la pregunta es: ¿es un problema?
La respuesta corta es que depende. Pero una cosa es segura: sin un registro DMARC, no tienes ningún control sobre la forma en que los proveedores de correo electrónico gestionan los mensajes no autenticados de tu dominio.
Eso significa que un estafador podría falsificar tu dirección de correo electrónico, enviar correos de phishing con tu nombre y tus destinatarios no tendrían ni idea de que son falsos. Peor aún, los proveedores de correo electrónico también podrían empezar a dudar de tus correos legítimos.
Entonces, ¿necesita tu dominio DMARC y qué significa el error No se ha encontrado ningún registro DMARC? Vamos a desglosarlo.
«No se ha encontrado ningún registro DMARC» – ¿Qué significa el error?
Cualquiera puede falsificar tu dominio en un correo electrónico sin un registro DMARC (autenticación de mensajes basada en dominio, informes y conformidad). Pueden hacerse pasar por ti y enviar correos electrónicos de phishing.
Algunos de esos correos pueden llegar a las bandejas de entrada. Otros se marcarán como spam o se bloquearán por completo. Pero no tendrás control sobre nada de ello.
Esto es lo que puede ocurrir:
- Los estafadores pueden suplantar tu dominio – Clientes, socios e incluso empleados pueden caer en correos electrónicos que parecen proceder de ti.
- Los proveedores de correo electrónico podrían empezar a dudar de ti – Si un número suficiente de correos fraudulentos proceden de tu dominio (aunque no los hayas enviado tú), tus correos reales podrían acabar también en el spam.
- Tu reputación se resiente: los ISP hacen un seguimiento de los dominios con una seguridad débil. Si el tuyo parece desprotegido, tu capacidad de entrega se resiente.
Que no cunda el pánico. No todos los dominios necesitan una política DMARC estricta, y algunos se las arreglan perfectamente sin ella. La verdadera pregunta es: ¿por qué le falta DMARC a tu dominio?
¿Por qué un dominio no tiene registro DMARC?
La falta de un registro DMARC puede significar que nunca se configuró o que hay un error de configuración.
Puede que veas el mensaje «No se ha encontrado ningún registro DMARC» porque:
- Nunca se añadió – DMARC no está activado por defecto. Muchas empresas asumen que viene con la configuración del correo electrónico. Pero no es así. Si nadie lo configura manualmente, no existirá.
- Problemas de DNS – Aunque se haya añadido DMARC, un error tipográfico, una propagación lenta de DNS o un registro mal configurado en tu proveedor de DNS pueden hacer que parezca que falta.
- Dominio principal vs. subdominios – Puede que tengas DMARC en tu dominio principal, pero no en los subdominios, lo que puede dar lugar a falsas alarmas.
- Miedo a interrumpir la entrega del correo electrónico – A algunas empresas les preocupa que aplicar DMARC de forma demasiado estricta pueda bloquear correos electrónicos importantes, por lo que evitan configurarlo en absoluto.
Sea cual sea el motivo, sin DMARC, los proveedores de correo electrónico no tienen instrucciones claras para gestionar los correos electrónicos no autenticados procedentes de tu dominio. Y ése es un riesgo que no quieres correr.
Pero el DMARC por sí solo no soluciona los problemas de entregabilidad: los proveedores de correo electrónico también rastrean cómo interactúan los destinatarios con tus mensajes. Si las bajas tasas de apertura y las quejas por spam son un problema, descubre cómo InboxAlly puede ayudarte a reparar tu reputación de remitente para que tus correos lleguen donde deben.
¿Tiene tu dominio un registro DMARC? Aquí tienes cómo comprobarlo.
Antes de asumir que a tu dominio le falta DMARC, verifícalo. Aquí tienes tres formas de hacerlo:
- Comprobación mediante línea de comandos (para el enfoque práctico): Si quieres una respuesta directa, abre tu terminal y ejecuta: nslookup -type=txt _dmarc.tudominio.com Si no aparece nada, significa que no existe ningún registro DMARC o que hay un problema de propagación DNS.
- Prueba una herramienta de búsqueda DMARC en línea: Si quieres algo más rápido, MXToolbox o Google Postmaster Tools pueden escanear tu dominio y decirte si DMARC está configurado.
- Comprueba si estás recibiendo informes DMARC: Si estás recibiendo informes DMARC, entonces sí existe un registro, pero puede que no esté bien configurado.
Pero, ¿el DMARC está perjudicando realmente la entregabilidad de tu correo electrónico? Puede que sí. Puede que no. Una forma de averiguarlo es ejecutar el comprobador de correo electrónico gratuito de InboxAlly y ver dónde llegan realmente tus correos electrónicos.
Qué aspecto tiene un registro DMARC (y cómo funciona)
Un registro DMARC no es más que un simple registro TXT en el DNS de tu dominio, pero hace mucho en segundo plano. Mediante un par de líneas de código, indica a los proveedores de correo electrónico cómo gestionar los mensajes de tu dominio en función de los resultados de la autenticación.
Este es el aspecto de un registro DMARC básico:
v=DMARC1; p=cuarentena; rua=mailto:dmarc_reports@yourdomain.com;
Descomponiéndolo:
- v=DMARC1 – Obligatorio. Especifica la versión del protocolo DMARC.
- p=cuarentena – La política que determina lo que ocurre con los correos electrónicos no autenticados. Las opciones incluyen:
- ninguno – Sólo supervisar, sin aplicación.
- Cuarentena – Envía los correos sospechosos a spam.
- Rechazar – Bloquear completamente los correos electrónicos no autentificados.
- rua=mailto:dmarc_reports@yourdomain.com – La dirección de informes. Aquí es donde obtendrás los informes DMARC que muestran qué correos electrónicos superan o no la autenticación.
Pero no basta con añadir un registro DMARC. Si está mal configurado, puede causar más problemas de los que resuelve.
Solucionar el error «No se ha encontrado ningún registro DMARC» – De la forma correcta
Configurar DMARC es algo más complicado que simplemente añadir un registro, por lo que es importante que lo hagas bien para evitar interrupciones en el correo electrónico
- Empieza con una Política de Seguimiento (p=ninguna)
Saltar directamente a la aplicación estricta puede causar problemas. En su lugar, empieza con p=ninguno para comprobar los fallos de autenticación sin afectar al flujo de correo electrónico.
- Añade rua=mailto:your-email@example.com para recibir informes DMARC.
- Estos informes mostrarán qué correos electrónicos fallan la autenticación, para que puedas solucionar los problemas antes de aplicar normas más estrictas.
- Revisar informes y ajustar SPF/DKIM
El DMARC funciona conjuntamente con el Marco de Política del Remitente (SPF) y el Correo Identificado por Clave de Dominio (DKIM). Si cualquiera de los dos está mal configurado, DMARC también fallará.
- Asegúrate de que tu registro SPF incluye a todos los remitentes autorizados.
- Asegúrate de que la firma DKIM está correctamente configurada en tus servidores de correo saliente.
- Si observas fallos en tus informes DMARC, arréglalos antes de endurecer las políticas.
- Aplica gradualmente políticas más estrictas
Cuando estés seguro de que todo funciona, empieza a aplicar políticas más estrictas:
- p=cuarentena: Los correos sospechosos van al spam.
- p=rechazar: Bloquea completamente los correos no autorizados.
No te precipites: haz que la aplicación sea más estricta paso a paso: ninguno > cuarentena > rechazo, mientras controlas los informes.
Y eso es todo. Con DMARC correctamente configurado, tu dominio es más difícil de falsificar, y es mucho menos probable que tus correos acaben en spam.
Reflexiones finales
DMARC es tu primera línea de defensa contra la suplantación de identidad y el phishing. Sin un registro DMARC publicado, tu dominio es un blanco abierto. Con él, tú defines las reglas y proteges tu reputación.
Configurarlo es sólo el principio. Para profundizar en SPF, DKIM y DMARC, consulta esta guía.
Si la entregabilidad te está lastrando, reserva una demostración gratuita con InboxAlly y toma el camino sin complicaciones para conseguir que tu reputación de remitente esté en plena forma.