Defaults.Exposed › Informes
Publicar a ciegas: la mayoría de los registros DMARC no piden informes
Publicado 2026-07-03 · actualizado 2026-07-03
Cifras a fecha de 2026-06-29 · metodología v7. Datos del censo de todos los dominios que publican un registro DMARC analizable, deduplicados por dominio. La presencia de
rua=se mide sobre todos los registros, por lo que su solapamiento exacto con cualquier política concreta no es derivable; cuando este artículo hace afirmaciones sobre ese solapamiento, indica cotas, nunca tablas cruzadas exactas. Todas las cifras son agregadas: nunca publicamos la calificación de una empresa individual.
La mayoría de los registros DMARC no están vigilando
De los 65 millones de dominios que publican un registro DMARC, solo 23 millones —el 35,7%— incluyen la etiqueta rua= que solicita los informes agregados. El otro 64,3% publica a ciegas: hay una política en el registro, pero nadie ha pedido que le informen de lo que ocurre bajo ella. Eso son 42 millones de dominios con un registro DMARC que no puede mostrarles nada.
Un registro DMARC sin informes es un timbre sin nadie en casa. Los receptores de correo comprueban diligentemente cada mensaje contra él, y sus hallazgos —la lista de todos los que envían en nombre de tu dominio— no van a ninguna parte. El mecanismo funciona; simplemente, el propietario no está escuchando.
Qué hace realmente rua=
DMARC tiene dos mitades. La mitad de la política (p=none, quarantine o reject) le dice a los receptores qué hacer con el correo que no supera la autenticación. La mitad de los informes —la etiqueta rua=, una dirección de buzón— pide a los receptores que te envíen informes agregados diarios: qué servidores enviaron en nombre de tu dominio, cuánto correo y si superó SPF y DKIM.
Esa segunda mitad es todo el bucle de retroalimentación. Los informes son la forma de descubrir la plataforma de boletines que nadie documentó, la herramienta de facturación que marketing conectó, el remitente en la sombra en otra región, antes de aplicar la política y romperlos. Sin rua=, nada de esa información llega nunca hasta ti. Añadirla cuesta una sola edición de DNS: agrega rua=mailto:[email protected] (o la dirección de un servicio de monitorización) al registro existente.
La brecha entre las etapas 2 y 3: publicado y a ciegas
En las seis etapas de la madurez de DMARC, la etapa 3 —Observación— comienza cuando DMARC está publicado y los informes agregados están fluyendo. Un registro sin rua= no cumple. Se queda en la brecha entre las etapas 2 y 3 —publicado y a ciegas—, un lugar que el modelo deja deliberadamente sin un número propio.
Esto importa porque toda etapa posterior depende de los informes. No puedes identificar a tus remitentes (etapa 4) a partir de informes que nunca recibes; no puedes aplicar la política de forma segura (etapa 5) sin conocer a tus remitentes. Un registro a ciegas no es un primer paso en el camino: es un apartadero justo al margen de él. Y el censo sugiere que la mayoría de los titulares de registros están estacionados ahí o cerca: el 57,5% de todos los registros DMARC nunca llega a la aplicación.
Peor que inútil, porque parece progreso
Un registro DMARC ausente al menos parece lo que es: una carencia. Uno a ciegas parece una casilla marcada. Alguien pasó una lista de comprobación de cumplimiento, o una guía de entregabilidad, o un arreglo de una línea de un proveedor —publicó v=DMARC1; p=none— y el escáner se puso en verde. La organización ahora siente que ha avanzado más que la organización que no tiene ningún registro, cuando funcionalmente está en el mismo sitio: sin visibilidad, sin aplicación, sin camino hacia ninguna de las dos.
La consecuencia es silenciosa y acumulativa. Los registros a ciegas no fallan a gritos; simplemente nunca generan la evidencia que justificaría el siguiente movimiento. Años después, el registro sigue diciendo p=none, nadie sabe decir qué remitentes son legítimos, y aplicar la política parece más arriesgado que nunca, precisamente porque nunca se recopiló ningún informe.
Lo que el censo puede y no puede decir
Como la presencia de rua= se mide sobre los 65 millones de registros —no en tablas cruzadas por política—, el número exacto de registros p=none que además están a ciegas no es derivable de estas cifras marginales. Las cotas siguen siendo contundentes. 37 millones de registros (el 57,4% de los titulares) están en p=none; solo 23 millones de registros en todo el censo solicitan informes. Así que como máximo 23 millones de esos registros p=none pueden estar recibiendo informes, y al menos 14 millones de ellos con seguridad no lo hacen, incluso si cada dirección de informes del censo perteneciera a un dominio p=none. Sea cual sea el reparto real del solapamiento, millones de dominios están en “modo de monitorización” con el monitor desenchufado.
El arreglo de una sola edición
Si tu registro DMARC no tiene etiqueta rua=, el arreglo es un único cambio de DNS y es seguro en cualquier nivel de política:
- Elige un destino para los informes: un buzón que vayas a procesar de verdad, o un servicio de monitorización DMARC gratuito o de pago que convierta el XML en algo legible.
- Añádelo al registro:
v=DMARC1; p=none; rua=mailto:[email protected]. Si el destino es un dominio distinto, ese dominio debe autorizar la recepción de tus informes (un pequeño registro DNS adicional en su lado). - Espera unos días y luego lee. Los informes llegan a diario desde los grandes receptores. Lo que muestran —cada fuente que envía en nombre de tu dominio— es el mapa para el resto del camino.
Entonces el registro deja de ser un mueble y empieza a ser un instrumento. (Arregla DMARC →.)
Preguntas frecuentes
¿Qué es un informe rua de DMARC? Un informe XML agregado que los receptores de correo participantes envían (normalmente a diario) a la dirección de la etiqueta rua= de tu registro, resumiendo qué fuentes enviaron correo en nombre de tu dominio y si superaron la alineación de SPF y DKIM. No contiene el contenido de los mensajes: solo la infraestructura de los remitentes y los recuentos de aprobados/rechazados.
¿DMARC sin rua no sirve para nada? No es que no sirva para nada: una política de aplicación sigue bloqueando la suplantación sin ella. Pero en p=none, un registro sin rua= no bloquea nada y no te muestra nada; su única tarea restante es marcar la casilla del requisito mínimo de los proveedores de buzones. E incluso los dominios en aplicación sin informes pierden la detección de desviaciones que mantiene la aplicación segura a medida que aparecen nuevos remitentes. p=none no es protección en cualquier caso; sin informes, ni siquiera es preparación.
¿Puede rua= apuntar a cualquier buzón? Sí, incluido uno en un dominio distinto: la mayoría de los servicios de monitorización funcionan exactamente así. El dominio receptor publica un pequeño registro de verificación que autoriza tus informes. Lo que importa es que algo procese realmente el XML; un buzón que nadie lee es ceguera con pasos de más.
¿Los informes agregados exponen datos privados? No. Los informes agregados rua llevan estadísticas de fuente de envío y de autenticación, no cuerpos de mensajes ni listas de destinatarios. (Los informes de fallos ruf, que son distintos, sí pueden contener fragmentos de mensajes, por lo que muchos receptores ya no los envían; rua es el que importa.)
Comprueba si tu registro está vigilando
Un registro DMARC que no pide informes es uno de los hallazgos más fáciles de arreglar de todo el camino: una sola edición de DNS convierte lo ciego en Observación. Puedes comprobarlo de forma privada y gratuita, y ver cuáles de las 34 comprobaciones superas y cómo arreglar las que no.
Comprueba tu dominio → · Las 6 etapas de la madurez de DMARC → · El pilar de DMARC → · Solo datos agregados. Datos almacenados y procesados en la UE.