¿Qué es DMARC?
DMARC (Domain-based Message Authentication, Reporting and Conformance) es un protocolo de autenticación de email que permite a los propietarios de un dominio especificar qué servidores están autorizados para enviar correos en su nombre, y qué debe hacer el servidor receptor cuando recibe un correo que no pasa las validaciones. En palabras simples: DMARC le dice al mundo quién puede enviar correos como "@tuempresa.cl" y qué hacer con los correos falsos.
¿Por qué es tan crítico?
Sin DMARC configurado, cualquier persona en el mundo puede enviar un correo que aparentemente viene de "@tuempresa.cl". Esto se llama email spoofing, y es la base de la mayoría de los ataques de phishing empresarial. Imagina que un atacante envía un correo a tus clientes diciendo que su cuenta fue bloqueada, con el remitente exacto de tu empresa, pidiendo que ingresen sus credenciales. Tus clientes no tienen forma de distinguirlo de un correo real tuyo. Las consecuencias van desde pérdida de confianza hasta multas regulatorias si el ataque deriva en una brecha de datos de clientes.
DMARC se apoya en SPF y DKIM
DMARC no funciona solo. Necesita que tengas configurados SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail). SPF especifica qué servidores de IP pueden enviar correos de tu dominio. DKIM firma criptográficamente cada correo para que el destinatario pueda verificar que no fue alterado en el camino. DMARC usa ambas verificaciones y define qué hacer cuando fallan: no hacer nada (monitoreo), mover a spam (quarantine) o rechazar completamente (reject).
El problema del "permissive by default"
La mayoría de las empresas que tienen algún registro DMARC lo tienen configurado en modo "none" o "p=none", lo que significa que solo monitorean sin bloquear nada. Esto es útil al inicio para ver qué flujos de correo legítimos podrían verse afectados, pero muchas empresas llevan años en este modo sin nunca avanzar a "quarantine" o "reject". El resultado es que tienen la ilusión de protección sin tener la protección real.
Cómo implementarlo paso a paso
El proceso tiene cuatro etapas: primero, configurar SPF con los servidores que usas para enviar email (tu proveedor de correo, herramientas de marketing, etc.). Segundo, activar DKIM en cada uno de esos sistemas. Tercero, crear un registro DMARC en modo "none" con tu dirección de reportes para observar el tráfico durante 2-4 semanas. Cuarto, analizar los reportes y mover gradualmente a "quarantine" y luego a "reject". Cada paso puede hacerse editando registros TXT en tu proveedor de DNS, lo que toma minutos si sabes exactamente qué escribir.
El rol de una plataforma como DMARC Security
El principal obstáculo no es la dificultad técnica sino la visibilidad: los reportes DMARC llegan en formato XML crudo, difícil de interpretar para quienes no son especialistas. Una plataforma de monitoreo traduce esos reportes en dashboards comprensibles, alerta cuando hay anomalías, guía la configuración paso a paso y confirma cuando la protección es efectiva. Para equipos sin un especialista en seguridad de email dedicado, esta visibilidad hace la diferencia entre una implementación exitosa y un DMARC que nunca avanza más allá del modo "none".
¿Quieres proteger tu dominio o crear tu identidad profesional?