Artículo de blog

  • 8 minutos leídos
Perfil del/a autor/a
  • Kiara Saloojee
  • DMARC Enthusiast

Informes DMARC : qué son y qué información proporcionan

Panel de control de informes digitales

Resumen de los informes DMARC :

  • Los informes RUA resumen los resultados de la autenticación en todo el tráfico de correo electrónico registrado
  • No todos los proveedores receptores envían informes DMARC : la cobertura es amplia, pero no universal.
  • Los datos de RUA revelan remitentes no autorizados, deficiencias en la autenticación y resultados de las medidas de cumplimiento

Publicar un DMARC es solo principio. El registro permite reporte y, si no se analizan esos datos, tu empresa no tendrá visibilidad sobre quién envía correos electrónicos en tu nombre ni sabrá si la autenticación funciona correctamente.

Este artículo trata específicamente sobre los informes DMARC (RUA): qué contienen, cómo se envían y qué significan los datos en la práctica. Los informes DMARC son la principal fuente de datos para cualquier empresa que quiera aplicar esta norma. Sin ellos, las decisiones sobre su aplicación se basan en conjeturas.

Sendmarc te ofrece una visión clara de cada remitente, cada resultado y cada deficiencia, antes de que tomes medidas.

Reserva una demo

Cómo interpretar los informes DMARC

reporte DMARC reporte un resumen diario que el servidor receptor envía al propietario del dominio. En él se detalla el resultado de los controles DKIM SPF DKIM a los que se han sometido los correos electrónicos que afirman proceder de tu dominio.

Los informes se envían como archivos XML comprimidos a la dirección especificada en el rua= etiqueta de tu DMARC . Ofrecen una visión general de alto nivel de todo el tráfico de correo electrónico que afirma proceder de tu dominio durante un reporte determinado.

Los informes agregados son distintos de los informes forenses (RUF). Los informes RUA no contienen el contenido de los mensajes ni las cabeceras; son solo resúmenes de los resultados de la autenticación. Estos dos reporte tienen finalidades distintas y cuentan con distintos niveles de compatibilidad entre los proveedores receptores.

Una salvedad importante: no todos los proveedores receptores envían informes agregados. La cobertura es amplia —participan los principales proveedores, como Google, Microsoft y Yahoo—, pero no es universal.

Qué contiene un informe agregado

Un informe estándar reporte RUA incluye los siguientes campos de datos:

  1. Organización que presenta el informe: el centro asistencial receptor que ha elaborado el reporte
  2. Intervalo de fechas: el periodo reporte el reporte
  3. Dominio: el dominio al que reporte
  4. Política aplicada: la DMARC vigente durante el reporte (p=none, p=quarantineo p=reject)
  5. IP de origen: la dirección IP desde la que se enviaron los mensajes
  6. SPF : si SPF o no
  7. DKIM : si DKIM o no la comprobación
  8. Disposición: la medida adoptada por el proveedor receptor (ninguna, cuarentena o rechazo)

Cómo se envían los informes agregados

Los informes llegan a la rua= direcciones en forma de archivos adjuntos XML, normalmente comprimidos en formato .gz o .zip. El XML sin procesar es técnicamente legible, pero no resulta práctico a gran escala.

Las empresas que envían los informes directamente a un buzón de correo recibirán archivos XML individuales de cada proveedor participante. Un solo dominio puede generar docenas de informes al día procedentes de diferentes destinatarios. Si se tienen en cuenta varios dominios, ese volumen aumenta rápidamente: algunos entornos reciben cientos o miles de informes al día.

La mayoría de las empresas utilizan un reporte o una plataforma reporte para analizar, agregar y visualizar los datos. Sin ello, el volumen y el formato de los informes dificultan la realización de análisis coherentes por parte de cualquier equipo, independientemente de su capacidad técnica.

Lo que revelan los informes agregados en la práctica

reporte agregados reporte permiten responder a preguntas que influyen directamente en las decisiones relativas a la aplicación de la normativa y en el nivel de seguridad.

Fuentes de envío

El campo «IP de origen» identifica qué direcciones IP envían mensajes que afirman proceder de tu dominio. Las direcciones IP desconocidas indican remitentes no autorizados, sistemas mal configurados o posibles actividades de suplantación de identidad. La clave para obtener una visión global de todas las herramientas de envío de correo electrónico —incluidas las plataformas de terceros— empieza aquí.

Lagunas en la autenticación

Los campos DKIM SPF DKIM muestran qué fuentes no superan las comprobaciones de autenticación y cuáles sí. Estas incidencias deben resolverse antes de que se aplique la medida. Pasando a p=quarantine o p=reject mientras haya remitentes legítimos que no superen la autenticación filtrará o bloqueará correos electrónicos válidos.

Resultados de la aplicación de las políticas

En p=quarantine o p=reject, el campo «disposición» confirma si los proveedores receptores están cumpliendo la política. Este es el ciclo de retroalimentación que te indica si la aplicación de la política está funcionando.

Anomalías de volumen

Los picos repentinos en el volumen de mensajes procedentes de una dirección IP pueden indicar suplantación de identidad o uso indebido. La supervisión reporte agregados reporte a lo largo del tiempo permite detectar estas anomalías.

Por qué son importantes los informes agregados

Las organizaciones no deberían pasar a p=quarantine ni p=reject sin revisar primero reporte agregados reporte . La aplicación de estas medidas antes de que se haya autenticado a todos los remitentes legítimos interrumpirá los flujos de correo electrónico válidos, incluidas las notificaciones de facturación, los mensajes transaccionales y las comunicaciones de marketing.

La fase de seguimiento (p=none con rua= (configurado) sirve para recopilar estos datos. solo resulta solo si se leen los informes y se toman medidas al respecto. Permanecer en p=none Te permite recopilar datos de forma indefinida, pero no ofrece ninguna protección contra la suplantación de identidad.

Los informes agregados son la señal que indica a los equipos cuándo es seguro aplicar las medidas de control. El tiempo necesario en la fase de supervisión varía según la empresa; depende de la complejidad del entorno de envío. Los entornos grandes o distribuidos, con múltiples unidades de negocio, regiones y herramientas SaaS, suelen requerir más tiempo para identificar y autenticar a todos los remitentes legítimos.

Cómo consultar informes agregados a gran escala

Leer manualmente los informes agregados —que abarcan docenas de dominios y cientos de direcciones IP— no es una solución escalable. La diferencia entre implementar DMARC hacer que se cumpla es un problema de datos.

Sendmarc procesa los informes RUA de toda tu cartera de dominios y destaca lo que realmente importa, para que tu equipo dedique su tiempo a tomar decisiones, en lugar de a archivos XML.

Con la plataformaDMARC , los equipos pueden:

  • Detecta a los remitentes no autenticados antes de que afecten a la capacidad de entrega o al cumplimiento normativo
  • Realizar un seguimiento de los resultados de la aplicación de las políticas entre los proveedores beneficiarios
  • Centralizar la visibilidad en todos los departamentos, regiones y remitentes externos
  • Facilitar la elaboración de reporte de cumplimiento reporte aumentar la carga de trabajo del equipo

Comprueba quién envía mensajes desde tus dominios y qué mensajes no se autentican.

Reserva una demo